Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela zachowań usługi Microsoft Defender dla punktów końcowych (MDE). Zawiera informacje o jednostkach (plik, proces, urządzenie, użytkownik i inne osoby), które są zaangażowane w zachowanie lub obserwację, w tym wykryte zagrożenia.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie rejestrami |
| Log podstawowy | Tak |
| Transformacja czasu ingestii | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| DomenaKonta | ciąg | Domena konta. |
| Nazwa konta | ciąg | Nazwa użytkownika konta. |
| IdentyfikatorObiektuKonta | ciąg | Unikatowy identyfikator konta w usłudze Azure AD. |
| AccountSid | ciąg | Identyfikator zabezpieczeń (SID) konta. |
| AccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta. |
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. Powiązane z określonymi technikami MITRE ATT&CK. |
| Dodatkowe pola | ciąg | Dodatkowe informacje o jednostce lub zdarzeniu. |
| Aplikacja | ciąg | Aplikacja, która wykonała zarejestrowaną akcję. |
| Identyfikator aplikacji | ciąg | Unikatowy identyfikator aplikacji. |
| Identyfikator zachowania | ciąg | Unikatowy identyfikator zachowania. |
| _RozmiarRachunku | prawdziwy | Rozmiar rekordu w bajtach |
| Kategorie | ciąg | Typy wskaźników zagrożeń lub aktywności naruszenia zabezpieczeń zidentyfikowane przez alert. Określona przez Metrykę MITRE ATT&CK dla przedsiębiorstw. |
| Źródła danych | ciąg | Produkty lub usługi, które dostarczyły informacji o zachowaniu. |
| SzczegółowaRolaJednostki | ciąg | Rola jednostki w zachowaniu |
| Źródło wykrywania | ciąg | Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie. |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| Nazwa urządzenia | ciąg | Pełna nazwa domeny (FQDN) urządzenia. |
| IdentyfikatorKlastraEmail | ciąg | Identyfikator grupy podobnych wiadomości e-mail grupowanych w oparciu o analizę heurystyczną ich zawartości. |
| Temat e-maila | ciąg | Temat wiadomości e-mail. |
| EntityRole | ciąg | Wskazuje, czy jednostka jest bezpośrednio dotknięta, czy tylko powiązana. |
| Typ jednostki | ciąg | Typ obiektu, taki jak plik, proces, urządzenie lub użytkownik. |
| NazwaPliku | ciąg | Nazwa pliku zaangażowanego w alert. Puste, chyba że parametr EntityType ma wartość "Plik" lub "Proces". |
| Rozmiar pliku | długi | Rozmiar pliku w bajtach. Puste, chyba że parametr EntityType ma wartość "File" lub "Process" |
| FolderPath | ciąg | Folder zawierający plik. Puste, chyba że parametr EntityType ma wartość "Plik" lub "Proces". |
| _JestOdpłatne | ciąg | Określa, czy wczytywanie danych jest objęte opłatą. Gdy _IsBillable jest ustawione na false, przetwarzanie nie jest rozliczane na twoim koncie platformy Azure. |
| LokalnyIP | ciąg | Adres IP przypisany do komputera lokalnego używanego podczas komunikacji. |
| IdentyfikatorWiadomościSieciowej | ciąg | Unikatowy identyfikator wiadomości e-mail w formacie UUID wygenerowany przez usługę Office 365. |
| Identyfikator aplikacji OAuth | ciąg | Unikatowy identyfikator aplikacji OAuth innej firmy w formacie UUID. |
| ProcessCommandLine | ciąg | Wiersz polecenia używany do utworzenia nowego procesu. |
| Klucz rejestru | ciąg | Klucz rejestru, na który zastosowano zarejestrowaną akcję. |
| DaneWartościRejestru | ciąg | Dane wartości rejestru, do których zastosowano zarejestrowaną akcję. |
| NazwaWartościRejestru | ciąg | Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję. |
| RemoteIP (adres IP zdalnego urządzenia) | ciąg | Adres IP, z który był połączony. |
| RemoteUrl | ciąg | Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą była połączona. |
| ServiceSource | ciąg | Produkt lub usługa, która dostarczyła informacje o alercie. |
| SHA1 | ciąg | Skrót SHA-1 pliku. Puste, chyba że parametr EntityType ma wartość "Plik" lub "Proces". |
| SHA256 | ciąg | SHA-256 pliku. Puste, chyba że parametr EntityType ma wartość "Plik" lub "Proces". |
| SourceSystem | ciąg | Typ agenta, przez który zdarzenie zostało zarejestrowane. Na przykład OpsManager dla agentów systemu Windows, korzystających z bezpośredniego połączenia lub programu Operations Manager, Linux dla wszystkich agentów systemu Linux lub Azure dla Azure Diagnostics. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Rodzina Zagrożeń | ciąg | Rodzina złośliwego oprogramowania, w ramach którego sklasyfikowano podejrzany lub złośliwy plik lub proces. |
| Czas wygenerowania | data/godzina | Data i godzina wygenerowania rekordu. |
| Typ | ciąg | Nazwa tabeli |