AlertEvidence
Van toepassing op:
- Microsoft Defender XDR
De AlertEvidence tabel in het geavanceerde opsporingsschema bevat informatie over verschillende entiteiten(bestanden, IP-adressen, URL's, gebruikers of apparaten) die zijn gekoppeld aan waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
AlertId |
string |
Unieke id voor de waarschuwing |
Title |
string |
Titel van de waarschuwing |
Categories |
string |
Lijst met categorieën waartoe de informatie behoort, in JSON-matrixindeling |
AttackTechniques |
string |
MITRE ATT&CK-technieken die zijn gekoppeld aan de activiteit die de waarschuwing heeft geactiveerd |
ServiceSource |
string |
Product of service die de waarschuwingsgegevens heeft verstrekt |
DetectionSource |
string |
Detectietechnologie of sensor die het opvallende onderdeel of de activiteit heeft geïdentificeerd |
EntityType |
string |
Type object, zoals een bestand, een proces, een apparaat of een gebruiker |
EvidenceRole |
string |
Hoe de entiteit betrokken is bij een waarschuwing, die aangeeft of deze wordt beïnvloed of alleen gerelateerd is |
EvidenceDirection |
string |
Geeft aan of de entiteit de bron of het doel van een netwerkverbinding is |
FileName |
string |
Naam van het bestand waarop de vastgelegde actie is toegepast |
FolderPath |
string |
Map met het bestand waarop de vastgelegde actie is toegepast |
SHA1 |
string |
SHA-1 van het bestand waarop de vastgelegde actie is toegepast |
SHA256 |
string |
SHA-256 van het bestand waarop de opgenomen actie is toegepast. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
FileSize |
long |
Grootte van het bestand in bytes |
ThreatFamily |
string |
Malwarefamilie waarvoor het verdachte of schadelijke bestand of proces is geclassificeerd onder |
RemoteIP |
string |
IP-adres waarmee verbinding werd gemaakt |
RemoteUrl |
string |
URL of FQDN (Fully Qualified Domain Name) waarmee verbinding werd gemaakt |
AccountName |
string |
Gebruikersnaam van het account |
AccountDomain |
string |
Domein van het account |
AccountSid |
string |
Beveiligings-id (SID) van het account |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountUpn |
string |
UPN (User Principal Name) van het account |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
LocalIP |
string |
IP-adres dat is toegewezen aan het lokale apparaat dat tijdens de communicatie wordt gebruikt |
NetworkMessageId |
string |
Unieke id voor het e-mailbericht, gegenereerd door Office 365 |
EmailSubject |
string |
Onderwerp van het e-mailbericht |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
ApplicationId |
int |
Unieke id voor de toepassing |
OAuthApplicationId |
string |
Unieke id van de OAuth-toepassing van derden |
ProcessCommandLine |
string |
Opdrachtregel die wordt gebruikt om het nieuwe proces te maken |
RegistryKey |
string |
Registersleutel waarop de vastgelegde actie is toegepast |
RegistryValueName |
string |
Naam van de registerwaarde waarop de vastgelegde actie is toegepast |
RegistryValueData |
string |
Gegevens van de registerwaarde waarop de geregistreerde actie is toegepast |
AdditionalFields |
string |
Aanvullende informatie over de entiteit of gebeurtenis |
Severity |
string |
Geeft de mogelijke impact (hoog, gemiddeld of laag) van de bedreigingsindicator of inbreukactiviteit aan die door de waarschuwing is geïdentificeerd |
CloudResource |
string |
Naam van cloudresource |
CloudPlatform |
string |
Het cloudplatform waartoe de resource behoort, kan Azure, Amazon Web Services of Google Cloud Platform zijn |
ResourceType |
string |
Type cloudresource |
ResourceID |
string |
Unieke id van de cloudresource die wordt geopend |
SubscriptionId |
string |
Unieke id van het cloudserviceabonnement |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.