BehaviorEntities
Aplica-se a:
- Microsoft Defender XDR
A BehaviorEntities
tabela no esquema de caça avançado contém informações sobre comportamentos em Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.
Importante
Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.
Comportamentos são um tipo de dados em Microsoft Defender XDR com base em um ou mais eventos brutos. Comportamentos fornecem insights contextuais sobre eventos e podem, mas não necessariamente, indicar atividade mal-intencionada. Leia mais sobre comportamentos
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
Data e hora em que o registro foi gerado |
BehaviorId |
string |
Identificador exclusivo para o comportamento |
ActionType |
string |
Tipo de comportamento |
Categories |
string |
Tipo de indicador de ameaça ou atividade de violação identificada pelo comportamento |
ServiceSource |
string |
Produto ou serviço que identificou o comportamento |
DetectionSource |
string |
Tecnologia de detecção ou sensor que identificou o componente ou atividade notável |
DataSources |
string |
Produtos ou serviços que forneceram informações para o comportamento |
EntityType |
string |
Tipo de objeto, como um arquivo, um processo, um dispositivo ou um usuário |
EntityRole |
string |
Indica se a entidade está afetada ou meramente relacionada |
DetailedEntityRole |
string |
As funções da entidade no comportamento |
FileName |
string |
Nome do arquivo ao qual o comportamento se aplica |
FolderPath |
string |
Pasta que contém o arquivo ao qual o comportamento se aplica |
SHA1 |
string |
SHA-1 do arquivo ao qual o comportamento se aplica |
SHA256 |
string |
SHA-256 do arquivo ao qual o comportamento se aplica |
FileSize |
long |
Tamanho, em bytes, do arquivo ao qual o comportamento se aplica |
ThreatFamily |
string |
Família de malware em que o arquivo ou processo suspeito ou mal-intencionado foi classificado em |
RemoteIP |
string |
Endereço IP que estava sendo conectado ao |
RemoteUrl |
string |
URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à |
AccountName |
string |
Nome de usuário da conta |
AccountDomain |
string |
Domínio da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local usado durante a comunicação |
NetworkMessageId |
string |
Identificador exclusivo do email, gerado pelo Office 365 |
EmailSubject |
string |
Assunto do email |
EmailClusterId |
string |
Identificador do grupo de emails semelhantes clusterizados com base na análise heurística de seu conteúdo |
Application |
string |
Aplicativo que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo para o aplicativo |
OAuthApplicationId |
string |
Identificador exclusivo do aplicativo OAuth de terceiros |
ProcessCommandLine |
string |
Linha de comando usada para criar o novo processo |
RegistryKey |
string |
Chave do registro à qual a ação registrada foi aplicada |
RegistryValueName |
string |
Nome do valor do registro ao qual a ação registrada foi aplicada |
RegistryValueData |
string |
Dados do valor do registro ao qual a ação registrada foi aplicada |
AdditionalFields |
string |
Informações adicionais sobre o comportamento |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.