BehaviorEntities (wersja zapoznawcza)
Dotyczy:
- Microsoft Defender XDR
Tabela BehaviorEntities
w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zachowaniach w Microsoft Defender for Cloud Apps. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Ważna
Tabela BehaviorEntities
jest w wersji zapoznawczej i nie jest dostępna dla programu GCC. Informacje w tym miejscu mogą zostać znacząco zmodyfikowane, zanim zostaną wydane komercyjnie. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji. Masz opinię do udostępnienia? Wypełnij nasz formularz opinii.
Zachowania są typem danych w Microsoft Defender XDR na podstawie co najmniej jednego nieprzetworzonego zdarzenia. Zachowania zapewniają kontekstowy wgląd w zdarzenia i mogą, ale niekoniecznie, wskazywać złośliwe działanie. Przeczytaj więcej na temat zachowań
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
Nazwa kolumny | Typ danych | Opis |
---|---|---|
Timestamp |
datetime |
Data i godzina wygenerowania rekordu |
BehaviorId |
string |
Unikatowy identyfikator zachowania |
ActionType |
string |
Typ zachowania |
Categories |
string |
Typ działania wskaźnika zagrożenia lub naruszenia wykrytego przez zachowanie |
ServiceSource |
string |
Produkt lub usługa, która zidentyfikowała zachowanie |
DetectionSource |
string |
Technologia wykrywania lub czujnik, który zidentyfikował istotny składnik lub działanie |
DataSources |
string |
Produkty lub usługi, które dostarczyły informacji dotyczących zachowania |
EntityType |
string |
Typ obiektu, taki jak plik, proces, urządzenie lub użytkownik |
EntityRole |
string |
Wskazuje, czy jednostka ma wpływ, czy tylko jest powiązana |
DetailedEntityRole |
string |
Role jednostki w zachowaniu |
FileName |
string |
Nazwa pliku, którego dotyczy zachowanie |
FolderPath |
string |
Folder zawierający plik, którego dotyczy zachowanie |
SHA1 |
string |
SHA-1 pliku, którego dotyczy zachowanie |
SHA256 |
string |
SHA-256 pliku, którego dotyczy zachowanie |
FileSize |
long |
Rozmiar w bajtach pliku, do którego ma zastosowanie zachowanie |
ThreatFamily |
string |
Rodzina złośliwego oprogramowania, pod którą sklasyfikowano podejrzany lub złośliwy plik lub proces |
RemoteIP |
string |
Adres IP, z który był połączony |
RemoteUrl |
string |
Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie |
AccountName |
string |
Nazwa użytkownika konta |
AccountDomain |
string |
Domena konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
LocalIP |
string |
Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji |
NetworkMessageId |
string |
Unikatowy identyfikator wiadomości e-mail wygenerowany przez Office 365 |
EmailSubject |
string |
Temat wiadomości e-mail |
EmailClusterId |
string |
Identyfikator grupy podobnych wiadomości e-mail klastrowanych na podstawie heurystycznej analizy ich zawartości |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
int |
Unikatowy identyfikator aplikacji |
OAuthApplicationId |
string |
Unikatowy identyfikator aplikacji OAuth innej firmy |
ProcessCommandLine |
string |
Wiersz polecenia używany do utworzenia nowego procesu |
RegistryKey |
string |
Klucz rejestru, do który zastosowano zarejestrowaną akcję |
RegistryValueName |
string |
Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję |
RegistryValueData |
string |
Dane wartości rejestru, do których zastosowano zarejestrowaną akcję |
AdditionalFields |
string |
Dodatkowe informacje o zachowaniu |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.