Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela zachowań usługi Microsoft Defender dla punktów końcowych (MDE). Zawiera informacje o zachowaniach, które w kontekście usługi Microsoft 365 Defender odnoszą się do wniosku lub szczegółowych informacji na podstawie jednego lub większej liczby nieprzetworzonych zdarzeń, które mogą zapewnić analitykom więcej kontekstu w badaniach.
Właściwości tabeli
| Attribute | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | Zabezpieczenia |
| Rozwiązania | Zarządzanie rejestrami |
| Podstawowy log | Tak |
| Przekształcanie podczas przyjmowania danych | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| Identyfikator obiektu konta | ciąg | Unikatowy identyfikator konta w usłudze Azure AD. |
| AccountUpn | ciąg | Główna nazwa użytkownika (UPN) konta. |
| Typ akcji | ciąg | Typ działania, które wyzwoliło zdarzenie. Powiązane z określonymi technikami MITRE ATT&CK. |
| Dodatkowe pola | ciąg | Dodatkowe informacje o jednostce lub zdarzeniu. |
| Techniki ataków | ciąg | Techniki MITRE ATT&CK powiązane z działaniem, które wyzwoliło alert. Określona przez Metrykę MITRE ATT&CK dla przedsiębiorstw. |
| Identyfikator zachowania | ciąg | Unikatowy identyfikator zachowania. |
| _RozmiarRachunku | prawdziwy | Rozmiar rekordu w bajtach |
| Kategorie | ciąg | Typy wskaźników zagrożeń lub aktywności naruszenia zabezpieczeń zidentyfikowane przez alert. Określona przez Metrykę MITRE ATT&CK dla przedsiębiorstw. |
| Źródła danych | ciąg | Produkty lub usługi, które dostarczyły informacji o zachowaniu. |
| Opis | ciąg | Opis zachowania. |
| Źródło wykrywania | ciąg | Technologia wykrywania lub czujnik, który zidentyfikował godny uwagi składnik lub działanie. |
| Identyfikator urządzenia | ciąg | Unikatowy identyfikator urządzenia w usłudze. |
| CzasZakończenia | data/godzina | Data i godzina ostatniego działania związanego z zachowaniem. |
| _JestOdpłatne | ciąg | Określa, czy wczytywanie danych jest objęte opłatą. Gdy _IsBillable jest ustawione na false, przetwarzanie nie jest rozliczane na twoim koncie platformy Azure. |
| ServiceSource | ciąg | Produkt lub usługa, która dostarczyła informacje o alercie. |
| SourceSystem | ciąg | Typ agenta, za pomocą którego dane o zdarzeniu zostały zebrane. Na przykład OpsManager dla agentów systemu Windows (bezpośrednie połączenie lub program Operations Manager), Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyki Azure. |
| Godzina rozpoczęcia | data/godzina | Data i godzina pierwszego działania związanego z zachowaniem. |
| Identyfikator najemcy | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| Czas wygenerowania | data/godzina | Data i godzina wygenerowania rekordu. |
| Typ | ciąg | Nazwa tabeli |