AlertEvidence
Aplica-se a:
- Microsoft Defender XDR
A AlertEvidence tabela no esquema de caça avançado contém informações sobre várias entidades — arquivos, endereços IP, URLs, usuários ou dispositivos — associadas a alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade. Use essa referência para criar consultas que retornam informações dessa tabela.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
AlertId |
string |
Identificador exclusivo do alerta. |
Title |
string |
Título do alerta |
Categories |
string |
Lista de categorias às quais as informações pertencem, no formato de matriz JSON |
AttackTechniques |
string |
Técnicas do MITRE ATT&CK associadas à atividade que disparou o alerta |
ServiceSource |
string |
Produto ou serviço que forneceu as informações de alerta |
DetectionSource |
string |
Tecnologia de detecção ou sensor que identificou o componente ou atividade notável |
EntityType |
string |
Tipo de objeto, como um arquivo, um processo, um dispositivo ou um usuário |
EvidenceRole |
string |
Como a entidade está envolvida em um alerta, indicando se ela é afetada ou se está meramente relacionada |
EvidenceDirection |
string |
Indica se a entidade é a origem ou o destino de uma conexão de rede |
FileName |
string |
Nome do arquivo ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o arquivo ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do arquivo ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do arquivo ao qual a ação gravada foi aplicada. Esse campo geralmente não é preenchido — use a coluna SHA1 quando disponível. |
FileSize |
long |
Tamanho do arquivo em bytes |
ThreatFamily |
string |
Família de malware em que o arquivo ou processo suspeito ou mal-intencionado foi classificado em |
RemoteIP |
string |
Endereço IP que estava sendo conectado ao |
RemoteUrl |
string |
URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à |
AccountName |
string |
Nome de usuário da conta |
AccountDomain |
string |
Domínio da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local usado durante a comunicação |
NetworkMessageId |
string |
Identificador exclusivo do email, gerado pelo Office 365 |
EmailSubject |
string |
Assunto do email |
Application |
string |
Aplicativo que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo para o aplicativo |
OAuthApplicationId |
string |
Identificador exclusivo do aplicativo OAuth de terceiros |
ProcessCommandLine |
string |
Linha de comando usada para criar o novo processo |
RegistryKey |
string |
Chave do registro à qual a ação registrada foi aplicada |
RegistryValueName |
string |
Nome do valor do registro ao qual a ação registrada foi aplicada |
RegistryValueData |
string |
Dados do valor do registro ao qual a ação registrada foi aplicada |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
Severity |
string |
Indica o impacto potencial (alto, médio ou baixo) do indicador de ameaça ou da atividade de violação identificados pelo alerta |
CloudResource |
string |
Nome do recurso de nuvem |
CloudPlatform |
string |
A plataforma de nuvem à qual o recurso pertence pode ser o Azure, o Amazon Web Services ou o Google Cloud Platform |
ResourceType |
string |
Tipo de recurso de nuvem |
ResourceID |
string |
Identificador exclusivo do recurso de nuvem acessado |
SubscriptionId |
string |
Identificador exclusivo da assinatura do serviço de nuvem |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de