Delen via


AlertEvidence

Van toepassing op:

  • Microsoft Defender XDR

De AlertEvidence tabel in het geavanceerde opsporingsschema bevat informatie over verschillende entiteiten(bestanden, IP-adressen, URL's, gebruikers of apparaten) die zijn gekoppeld aan waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
AlertId string Unieke id voor de waarschuwing
Title string Titel van de waarschuwing
Categories string Lijst met categorieën waartoe de informatie behoort, in JSON-matrixindeling
AttackTechniques string MITRE ATT&CK-technieken die zijn gekoppeld aan de activiteit die de waarschuwing heeft geactiveerd
ServiceSource string Product of service die de waarschuwingsgegevens heeft verstrekt
DetectionSource string Detectietechnologie of sensor die het opvallende onderdeel of de activiteit heeft geïdentificeerd
EntityType string Type object, zoals een bestand, een proces, een apparaat of een gebruiker
EvidenceRole string Hoe de entiteit betrokken is bij een waarschuwing, die aangeeft of deze wordt beïnvloed of alleen gerelateerd is
EvidenceDirection string Geeft aan of de entiteit de bron of het doel van een netwerkverbinding is
FileName string Naam van het bestand waarop de vastgelegde actie is toegepast
FolderPath string Map met het bestand waarop de vastgelegde actie is toegepast
SHA1 string SHA-1 van het bestand waarop de vastgelegde actie is toegepast
SHA256 string SHA-256 van het bestand waarop de opgenomen actie is toegepast. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar.
FileSize long Grootte van het bestand in bytes
ThreatFamily string Malwarefamilie waarvoor het verdachte of schadelijke bestand of proces is geclassificeerd onder
RemoteIP string IP-adres waarmee verbinding werd gemaakt
RemoteUrl string URL of FQDN (Fully Qualified Domain Name) waarmee verbinding werd gemaakt
AccountName string Gebruikersnaam van het account
AccountDomain string Domein van het account
AccountSid string Beveiligings-id (SID) van het account
AccountObjectId string Unieke id voor het account in Microsoft Entra ID
AccountUpn string UPN (User Principal Name) van het account
DeviceId string Unieke id voor het apparaat in de service
DeviceName string Fully Qualified Domain Name (FQDN) van het apparaat
LocalIP string IP-adres dat is toegewezen aan het lokale apparaat dat tijdens de communicatie wordt gebruikt
NetworkMessageId string Unieke id voor het e-mailbericht, gegenereerd door Office 365
EmailSubject string Onderwerp van het e-mailbericht
Application string Toepassing die de vastgelegde actie heeft uitgevoerd
ApplicationId int Unieke id voor de toepassing
OAuthApplicationId string Unieke id van de OAuth-toepassing van derden
ProcessCommandLine string Opdrachtregel die wordt gebruikt om het nieuwe proces te maken
RegistryKey string Registersleutel waarop de vastgelegde actie is toegepast
RegistryValueName string Naam van de registerwaarde waarop de vastgelegde actie is toegepast
RegistryValueData string Gegevens van de registerwaarde waarop de geregistreerde actie is toegepast
AdditionalFields string Aanvullende informatie over de entiteit of gebeurtenis
Severity string Geeft de mogelijke impact (hoog, gemiddeld of laag) van de bedreigingsindicator of inbreukactiviteit aan die door de waarschuwing is geïdentificeerd
CloudResource string Naam van cloudresource
CloudPlatform string Het cloudplatform waartoe de resource behoort, kan Azure, Amazon Web Services of Google Cloud Platform zijn
ResourceType string Type cloudresource
ResourceID string Unieke id van de cloudresource die wordt geopend
SubscriptionId string Unieke id van het cloudserviceabonnement

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.