BehaviorEntities

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Tabela BehaviorEntities w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zachowaniach w Microsoft Defender for Cloud Apps. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Ważna

Niektóre informacje odnoszą się do wstępnie wydanego produktu, który może zostać znacząco zmodyfikowany przed jego komercyjną premierą. Firma Microsoft nie udziela żadnych gwarancji, wyraźnych ani dorozumianych, w odniesieniu do podanych tutaj informacji.

Zachowania są typem danych w Microsoft Defender XDR na podstawie co najmniej jednego nieprzetworzonego zdarzenia. Zachowania zapewniają kontekstowy wgląd w zdarzenia i mogą, ale niekoniecznie, wskazywać złośliwe działanie. Przeczytaj więcej na temat zachowań

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina wygenerowania rekordu
BehaviorId string Unikatowy identyfikator zachowania
ActionType string Typ zachowania
Categories string Typ działania wskaźnika zagrożenia lub naruszenia wykrytego przez zachowanie
ServiceSource string Produkt lub usługa, która zidentyfikowała zachowanie
DetectionSource string Technologia wykrywania lub czujnik, który zidentyfikował istotny składnik lub działanie
DataSources string Produkty lub usługi, które dostarczyły informacji dotyczących zachowania
EntityType string Typ obiektu, taki jak plik, proces, urządzenie lub użytkownik
EntityRole string Wskazuje, czy jednostka ma wpływ, czy tylko jest powiązana
DetailedEntityRole string Role jednostki w zachowaniu
FileName string Nazwa pliku, którego dotyczy zachowanie
FolderPath string Folder zawierający plik, którego dotyczy zachowanie
SHA1 string SHA-1 pliku, którego dotyczy zachowanie
SHA256 string SHA-256 pliku, którego dotyczy zachowanie
FileSize long Rozmiar w bajtach pliku, do którego ma zastosowanie zachowanie
ThreatFamily string Rodzina złośliwego oprogramowania, pod którą sklasyfikowano podejrzany lub złośliwy plik lub proces
RemoteIP string Adres IP, z który był połączony
RemoteUrl string Adres URL lub w pełni kwalifikowana nazwa domeny (FQDN), z którą nawiązano połączenie
AccountName string Nazwa użytkownika konta
AccountDomain string Domena konta
AccountSid string Identyfikator zabezpieczeń (SID) konta
AccountObjectId string Unikatowy identyfikator konta w Tożsamość Microsoft Entra
AccountUpn string Główna nazwa użytkownika (UPN) konta
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
LocalIP string Adres IP przypisany do urządzenia lokalnego używanego podczas komunikacji
NetworkMessageId string Unikatowy identyfikator wiadomości e-mail wygenerowany przez Office 365
EmailSubject string Temat wiadomości e-mail
EmailClusterId string Identyfikator grupy podobnych wiadomości e-mail klastrowanych na podstawie heurystycznej analizy ich zawartości
Application string Aplikacja, która wykonała zarejestrowaną akcję
ApplicationId int Unikatowy identyfikator aplikacji
OAuthApplicationId string Unikatowy identyfikator aplikacji OAuth innej firmy
ProcessCommandLine string Wiersz polecenia używany do utworzenia nowego procesu
RegistryKey string Klucz rejestru, do który zastosowano zarejestrowaną akcję
RegistryValueName string Nazwa wartości rejestru, do którego zastosowano zarejestrowaną akcję
RegistryValueData string Dane wartości rejestru, do których zastosowano zarejestrowaną akcję
AdditionalFields string Dodatkowe informacje o zachowaniu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.