AlertEvidence
Dotyczy:
- Microsoft Defender XDR
Tabela AlertEvidence w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o różnych jednostkach — plikach, adresach IP, adresach URL, użytkownikach lub urządzeniach — skojarzonych z alertami z Ochrona punktu końcowego w usłudze Microsoft Defender, Ochrona usługi Office 365 w usłudze Microsoft Defender, Microsoft Defender for Cloud Apps i Microsoft Defender for Identity. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
AlertId |
string |
Unikatowy identyfikator alertu |
Title |
string |
Tytuł alertu |
Categories |
string |
Lista kategorii, do których należą informacje, w formacie tablicy JSON |
AttackTechniques |
string |
MITRE ATT&techniki CK skojarzone z działaniem, które wyzwoliło alert |
ServiceSource |
string |
Produkt lub usługa, która dostarczyła informacje o alertie |
DetectionSource |
string |
Technologia wykrywania lub czujnik, który zidentyfikował istotny składnik lub działanie |
EntityType |
string |
Typ obiektu, taki jak plik, proces, urządzenie lub użytkownik |
EvidenceRole |
string |
Jak jednostka jest zaangażowana w alert, wskazując, czy ma to wpływ, czy jest jedynie powiązana |
EvidenceDirection |
string |
Wskazuje, czy jednostka jest źródłem, czy miejscem docelowym połączenia sieciowego |
FileName |
string |
Nazwa pliku, do którego została zastosowana zarejestrowana akcja |
FolderPath |
string |
Folder zawierający plik, do który zastosowano zarejestrowaną akcję |
SHA1 |
string |
SHA-1 pliku, do który zastosowano zarejestrowaną akcję |
SHA256 |
string |
SHA-256 pliku, do który zastosowano zarejestrowaną akcję. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępna. |
FileSize |
long |
Rozmiar pliku w bajtach |
ThreatFamily |
string |
Rodzina złośliwego oprogramowania, pod którą sklasyfikowano podejrzany lub złośliwy plik lub proces |
RemoteIP |
string |
Adres IP, z który był połączony |
RemoteUrl |
string |
Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie |
AccountName |
string |
Nazwa użytkownika konta |
AccountDomain |
string |
Domena konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
LocalIP |
string |
Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail wygenerowany przez Office 365 |
EmailSubject |
string |
Temat wiadomości e-mail |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
int |
Unikatowy identyfikator aplikacji |
OAuthApplicationId |
string |
Unikatowy identyfikator aplikacji OAuth innej firmy |
ProcessCommandLine |
string |
Wiersz polecenia używany do utworzenia nowego procesu |
RegistryKey |
string |
Klucz rejestru, do który zastosowano zarejestrowaną akcję |
RegistryValueName |
string |
Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję |
RegistryValueData |
string |
Dane wartości rejestru, do których zastosowano zarejestrowaną akcję |
AdditionalFields |
string |
Dodatkowe informacje o jednostce lub zdarzeniu |
Severity |
string |
Wskazuje potencjalny wpływ (wysoki, średni lub niski) działania wskaźnika zagrożenia lub naruszenia zidentyfikowanego przez alert |
CloudResource |
string |
Nazwa zasobu w chmurze |
CloudPlatform |
string |
Platformą w chmurze, do której należy zasób, mogą być platformy Azure, Amazon Web Services lub Google Cloud Platform |
ResourceType |
string |
Typ zasobu w chmurze |
ResourceID |
string |
Unikatowy identyfikator zasobu w chmurze, do których uzyskano dostęp |
SubscriptionId |
string |
Unikatowy identyfikator subskrypcji usługi w chmurze |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.