Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
A DataSecurityEvents tabela no esquema de investigação avançada contém informações sobre atividades de utilizador que violam as políticas predefinidas ou definidas pelo utilizador no conjunto de soluções do Microsoft Purview. Cada registo representa uma única atividade de utilizador melhorada com deteções proprietárias da Microsoft (como tipos de informações confidenciais) e etiquetas de melhoramento definidas pelo utilizador, como categorias de domínio, etiquetas de confidencialidade, entre outras.
Esta tabela de investigação avançada é preenchida por registos de Gestão do risco interno do Microsoft Purview. Se a sua organização não tiver optado por partilhar alertas de risco interno com Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações, leia Investigar ameaças de risco interno.
Utilize esta referência para construir consultas que devolvem informações desta tabela. Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
ApplicationNames |
string |
Lista de nomes de aplicações utilizados ou relacionados com o evento |
DeviceId |
string |
Identificador exclusivo do dispositivo no Microsoft Defender para Endpoint |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
AadDeviceId |
guid |
Identificador exclusivo do dispositivo no Microsoft Entra ID |
IsManagedDevice |
bool |
Indica se o dispositivo é gerido pela organização (Verdadeiro) ou não (Falso) |
DlpPolicyMatchInfo |
string |
Informações sobre a lista de políticas de prevenção de perda de dados (DLP) que correspondem a este evento |
DlpPolicyEnforcementMode |
int |
Indica a política de Prevenção de Perda de Dados que foi imposta; o valor pode ser: 0 (Nenhum), 1 (Auditoria), 2 (Avisar), 3 (Avisar e ignorar), 4 (Bloco), 5 (Permitir) |
DlpPolicyRuleMatchInfo |
dynamic |
Detalhes das regras de prevenção de perda de dados (DLP) que correspondem a este evento; no formato de matriz JSON |
FileRenameInfo |
string |
Detalhes do ficheiro (nome de ficheiro e extensão) antes deste evento |
PhysicalAccessPointId |
string |
Identificador exclusivo do ponto de acesso físico |
PhysicalAccessPointName |
string |
Nome do ponto de acesso físico |
PhysicalAccessStatus |
string |
Estado do acesso físico, se foi bem-sucedido ou falhou |
PhysicalAssetTag |
string |
Etiqueta atribuída ao recurso, conforme configurado nas definições globais da Gestão de Riscos do Microsoft Insider |
RemovableMediaManufacturer |
string |
Nome do fabricante do dispositivo amovível |
RemovableMediaModel |
string |
Nome do modelo do dispositivo amovível |
RemovableMediaSerialNumber |
string |
Número de série do dispositivo amovível |
TeamsChannelName |
string |
Nome do canal do Teams |
TeamsChannelType |
string |
Tipo do canal do Teams |
TeamsTeamName |
string |
Nome da equipa do Teams |
UserAlternateEmails |
string |
E-mails ou aliases alternativos do utilizador |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
Department |
string |
Nome do departamento ao qual o utilizador da conta pertence |
SourceCodeInfo |
string |
Detalhes do repositório de código fonte envolvido no evento |
CcPolicyMatchInfo |
dynamic |
Detalhes das correspondências da política de Conformidade de Comunicações para este evento; no formato de matriz JSON |
IPAddress |
string |
Endereços IP dos clientes nos quais a atividade foi realizada; pode conter vários IPs se estiver relacionado com alertas de Microsoft Defender for Cloud Apps |
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
DeviceSourceLocationType |
int |
Indica o tipo de localização de onde os sinais de ponto final tiveram origem; os valores podem ser: 0 (Desconhecido), 1 (Local), 2 (Remoto), 3 (Amovível), 4 (Cloud), 5 (Partilha de ficheiros) |
DeviceDestinationLocationType |
int |
Indica o tipo de localização ao qual o ponto final sinaliza ligado; os valores podem ser: 0 (Desconhecido), 1 (Local), 2 (Remoto), 3 (Amovível), 4 (Cloud), 5 (Partilha de ficheiros) |
IrmPolicyMatchInfo |
dynamic |
Detalhes das correspondências da política de Gestão de Riscos Internos para os conteúdos envolvidos no evento; no formato de matriz JSON |
UnallowedUrlDomains |
string |
Sites ou URLs de serviço envolvidos neste evento que está configurado como Não Permitido nas definições globais da Gestão de Riscos Internos |
ExternalUrlDomains |
string |
Sites ou URLs de serviço envolvidos neste evento que está classificado como Externo nas definições globais da Gestão de Riscos Internos |
UrlDomainInfo |
string |
Detalhes sobre os sites ou URLs de serviço envolvidos no evento |
SourceUrlDomain |
string |
Domínio onde o dispositivo e os sinais de e-mail tiveram origem |
TargetUrlDomain |
string |
Domínio com o qual o conteúdo foi partilhado ou para o qual o utilizador navegue |
EmailAttachmentCount |
int |
Número de anexos de e-mail |
EmailAttachmentInfo |
dynamic |
Detalhes dos anexos de e-mail; no formato de matriz JSON |
InternetMessageId |
string |
Identificador destinado ao público para o e-mail ou mensagem do Teams definida pelo sistema de e-mail de envio |
NetworkMessageId |
guid |
Identificador exclusivo do e-mail, gerado pelo Microsoft 365 |
EmailSubject |
string |
Assunto do e-mail |
ObjectId |
string |
Identificador exclusivo do objeto ao qual a ação gravada foi aplicada, no caso de ficheiros, inclui a extensão |
ObjectName |
string |
Nome do objeto ao qual a ação gravada foi aplicada, no caso de ficheiros, inclui a extensão |
ObjectType |
string |
Tipo de objeto, como um ficheiro ou uma pasta, ao qual a ação gravada foi aplicada |
ObjectSize |
int |
Tamanho do objeto em bytes |
IsHidden |
bool |
Indica se o utilizador marcou o conteúdo como oculto (Verdadeiro) ou não (Falso) |
ActivityId |
guid |
Identificador exclusivo do registo de atividades |
ActionType |
string |
Tipo de atividade que acionou o evento |
SensitiveInfoTypeInfo |
dynamic |
Detalhes dos tipos de informações confidenciais de Prevenção de Perda de Dados detetados no recurso afetado |
SensitivityLabelId |
string |
O ID da etiqueta de confidencialidade atual do Microsoft Information Protection associado ao item |
SharepointSiteSensitivityLabelIds |
string |
O ID da etiqueta de confidencialidade atual do Microsoft Information Protection atribuído ao site principal do item relacionado com as atividades do SharePoint |
PreviousSensitivityLabelId |
string |
O ID da etiqueta de confidencialidade Information Protection anterior associado ao item no caso de atividades em que a etiqueta de confidencialidade foi alterada |
Operation |
string |
Nome da atividade de administrador |
RecipientEmailAddress |
string |
Email endereço do destinatário ou endereço de e-mail do destinatário após a expansão da lista de distribuição |
SiteUrl |
string |
O URL do site onde o ficheiro ou pasta acedido pelo utilizador está localizado |
SourceRelativeUrl |
string |
O URL da pasta que contém o ficheiro acedido pelo utilizador |
TargetFilePath |
string |
Caminho de ficheiro de destino das atividades de ponto final |
PrinterName |
string |
Lista de impressoras envolvidas no comportamento |
Workload |
string |
O serviço Microsoft 365 onde ocorreu o evento |
IrmActionCategory |
enum |
Um valor de enumeração exclusivo que indica a categoria de atividade no Gestão do risco interno do Microsoft Purview |
SequenceCorrelationId |
string |
Detalhes da atividade de sequência |
CloudAppAlertId |
string |
Identificador exclusivo do alerta no Microsoft Defender for Cloud Apps |
Artigos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.