Partilhar via

BehaviorEntities (Pré-visualização)

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A BehaviorEntities tabela no esquema de investigação avançada contém informações sobre comportamentos no Microsoft Defender for Cloud Apps. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Importante

A BehaviorEntities tabela está em pré-visualização e não está disponível para GCC. As informações aqui podem ser substancialmente modificadas antes de serem lançadas comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas. Tem feedback para partilhar? Preencha o nosso formulário de comentários.

Os comportamentos são um tipo de dados em Microsoft Defender XDR com base num ou mais eventos não processados. Os comportamentos fornecem informações contextuais sobre eventos e podem, mas não necessariamente, indicar atividade maliciosa. Ler mais sobre comportamentos

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registo foi gerado
BehaviorId string Identificador exclusivo para o comportamento
ActionType string Tipo de comportamento
Categories string Tipo de indicador de ameaça ou atividade de violação identificada pelo comportamento
ServiceSource string Produto ou serviço que identificou o comportamento
DetectionSource string Tecnologia ou sensor de deteção que identificou o componente ou atividade notável
DataSources string Produtos ou serviços que forneceram informações sobre o comportamento
EntityType string Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador
EntityRole string Indica se a entidade é afetada ou apenas relacionada
DetailedEntityRole string As funções da entidade no comportamento
FileName string Nome do ficheiro ao qual o comportamento se aplica
FolderPath string Pasta que contém o ficheiro ao qual o comportamento se aplica
SHA1 string SHA-1 do ficheiro ao qual o comportamento se aplica
SHA256 string SHA-256 do ficheiro ao qual o comportamento se aplica
FileSize long Tamanho, em bytes, do ficheiro ao qual o comportamento se aplica
ThreatFamily string Família de software maligno em que o processo ou ficheiro suspeito ou malicioso foi classificado em
RemoteIP string Endereço IP ao qual estava a ser ligado
RemoteUrl string URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado
AccountName string Nome de utilizador da conta
AccountDomain string Domínio da conta
AccountSid string Identificador de Segurança (SID) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome principal de utilizador (UPN) da conta
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
LocalIP string Endereço IP atribuído ao dispositivo local utilizado durante a comunicação
NetworkMessageId string Identificador exclusivo do e-mail, gerado por Office 365
EmailSubject string Assunto do e-mail
EmailClusterId string Identificador para o grupo de e-mails semelhantes agrupados com base na análise heurística dos respetivos conteúdos
Application string Aplicação que executou a ação gravada
ApplicationId int Identificador exclusivo da aplicação
OAuthApplicationId string Identificador exclusivo da aplicação OAuth de terceiros
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
RegistryKey string Chave de registo à qual a ação registada foi aplicada
RegistryValueName string Nome do valor de registo ao qual a ação registada foi aplicada
RegistryValueData string Dados do valor de registo ao qual a ação registada foi aplicada
AdditionalFields string Informações adicionais sobre o comportamento

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.