Partilhar via

AlertEvidence

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A AlertEvidence tabela no esquema de investigação avançada contém informações sobre várias entidades ( ficheiros, endereços IP, URLs, utilizadores ou dispositivos) associadas a alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
AlertId string Identificador exclusivo do alerta
Title string Título do alerta
Categories string Lista de categorias às quais as informações pertencem, no formato de matriz JSON
AttackTechniques string MITRE ATT&técnicas CK associadas à atividade que acionou o alerta
ServiceSource string Produto ou serviço que forneceu as informações do alerta
DetectionSource string Tecnologia ou sensor de deteção que identificou o componente ou atividade notável
EntityType string Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador
EvidenceRole string Como a entidade está envolvida num alerta, indicando se é afetada ou se está apenas relacionada
EvidenceDirection string Indica se a entidade é a origem ou o destino de uma ligação de rede
FileName string Nome do ficheiro ao qual a ação gravada foi aplicada
FolderPath string Pasta que contém o ficheiro ao qual a ação gravada foi aplicada
SHA1 string SHA-1 do ficheiro ao qual a ação gravada foi aplicada
SHA256 string SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido— utilize a coluna SHA1 quando estiver disponível.
FileSize long Tamanho do ficheiro em bytes
ThreatFamily string Família de software maligno em que o processo ou ficheiro suspeito ou malicioso foi classificado em
RemoteIP string Endereço IP ao qual estava a ser ligado
RemoteUrl string URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado
AccountName string Nome de utilizador da conta
AccountDomain string Domínio da conta
AccountSid string Identificador de Segurança (SID) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome principal de utilizador (UPN) da conta
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
LocalIP string Endereço IP atribuído ao dispositivo local utilizado durante a comunicação
NetworkMessageId string Identificador exclusivo do e-mail, gerado por Office 365
EmailSubject string Assunto do e-mail
Application string Aplicação que executou a ação gravada
ApplicationId int Identificador exclusivo da aplicação
OAuthApplicationId string Identificador exclusivo da aplicação OAuth de terceiros
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
RegistryKey string Chave de registo à qual a ação registada foi aplicada
RegistryValueName string Nome do valor de registo ao qual a ação registada foi aplicada
RegistryValueData string Dados do valor de registo ao qual a ação registada foi aplicada
AdditionalFields string Informações adicionais sobre a entidade ou evento
Severity string Indica o impacto potencial (alto, médio ou baixo) do indicador de ameaça ou atividade de falha identificada pelo alerta
CloudResource string Nome do recurso da cloud
CloudPlatform string A plataforma na cloud à qual o recurso pertence pode ser a Azure, Amazon Web Services ou Google Cloud Platform
ResourceType string Tipo de recurso da cloud
ResourceID string Identificador exclusivo do recurso da cloud acedido
SubscriptionId string Identificador exclusivo da subscrição do serviço cloud

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.