Compartilhar via


AlertEvidence

Aplica-se a:

  • Microsoft Defender XDR

A AlertEvidence tabela no esquema de caça avançado contém informações sobre várias entidades — arquivos, endereços IP, URLs, usuários ou dispositivos — associadas a alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade. Use essa referência para criar consultas que retornam informações dessa tabela.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
AlertId string Identificador exclusivo do alerta.
Title string Título do alerta
Categories string Lista de categorias às quais as informações pertencem, no formato de matriz JSON
AttackTechniques string Técnicas do MITRE ATT&CK associadas à atividade que disparou o alerta
ServiceSource string Produto ou serviço que forneceu as informações de alerta
DetectionSource string Tecnologia de detecção ou sensor que identificou o componente ou atividade notável
EntityType string Tipo de objeto, como um arquivo, um processo, um dispositivo ou um usuário
EvidenceRole string Como a entidade está envolvida em um alerta, indicando se ela é afetada ou se está meramente relacionada
EvidenceDirection string Indica se a entidade é a origem ou o destino de uma conexão de rede
FileName string Nome do arquivo ao qual a ação gravada foi aplicada
FolderPath string Pasta que contém o arquivo ao qual a ação gravada foi aplicada
SHA1 string SHA-1 do arquivo ao qual a ação gravada foi aplicada
SHA256 string SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido — use a coluna SHA1 quando disponível.
FileSize long Tamanho do arquivo em bytes
ThreatFamily string Família de malware em que o arquivo ou processo suspeito ou mal-intencionado foi classificado em
RemoteIP string Endereço IP que estava sendo conectado ao
RemoteUrl string URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à
AccountName string Nome de usuário da conta
AccountDomain string Domínio da conta
AccountSid string Sid (Identificador de Segurança) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome da entidade de usuário (UPN) da conta
DeviceId string Identificador exclusivo para o dispositivo no serviço
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
LocalIP string Endereço IP atribuído ao dispositivo local usado durante a comunicação
NetworkMessageId string Identificador exclusivo do email, gerado pelo Office 365
EmailSubject string Assunto do email
Application string Aplicativo que executou a ação gravada
ApplicationId int Identificador exclusivo para o aplicativo
OAuthApplicationId string Identificador exclusivo do aplicativo OAuth de terceiros
ProcessCommandLine string Linha de comando usada para criar o novo processo
RegistryKey string Chave do registro à qual a ação registrada foi aplicada
RegistryValueName string Nome do valor do registro ao qual a ação registrada foi aplicada
RegistryValueData string Dados do valor do registro ao qual a ação registrada foi aplicada
AdditionalFields string Informações adicionais sobre a entidade ou evento
Severity string Indica o impacto potencial (alto, médio ou baixo) do indicador de ameaça ou da atividade de violação identificados pelo alerta
CloudResource string Nome do recurso de nuvem
CloudPlatform string A plataforma de nuvem à qual o recurso pertence pode ser o Azure, o Amazon Web Services ou o Google Cloud Platform
ResourceType string Tipo de recurso de nuvem
ResourceID string Identificador exclusivo do recurso de nuvem acessado
SubscriptionId string Identificador exclusivo da assinatura do serviço de nuvem

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.