Поделиться через

BehaviorEntities (предварительная версия)

  • Статья

Область применения:

  • Microsoft Defender XDR

Таблица BehaviorEntities в схеме расширенной охоты содержит сведения о поведении в Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Важно!

Таблица BehaviorEntities доступна в предварительной версии и недоступна для GCC. Сведения, приведенные здесь, могут быть существенно изменены до ее коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений. Вы хотите поделиться своими отзывами? Заполните форму обратной связи.

Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения о поведении

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время создания записи
BehaviorId string Уникальный идентификатор для поведения
ActionType string Тип поведения
Categories string Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением
ServiceSource string Продукт или служба, определяющая поведение
DetectionSource string Технология обнаружения или датчик, который идентифицировал важный компонент или действие
DataSources string Продукты или службы, предоставляющие сведения о поведении
EntityType string Тип объекта, например файл, процесс, устройство или пользователь
EntityRole string Указывает, связана ли сущность.
DetailedEntityRole string Роли сущности в поведении
FileName string Имя файла, к которому применяется поведение
FolderPath string Папка, содержащая файл, к которому применяется поведение
SHA1 string SHA-1 файла, к которому применяется поведение
SHA256 string SHA-256 файла, к которому применяется поведение
FileSize long Размер (в байтах) файла, к которому применяется поведение
ThreatFamily string Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс
RemoteIP string IP-адрес, к которому выполнено подключение
RemoteUrl string URL-адрес или полное доменное имя, к которому выполнено подключение
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountUpn string Имя участника-пользователя (UPN) учетной записи
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
LocalIP string IP-адрес, назначенный локальному устройству, используемому во время связи
NetworkMessageId string Уникальный идентификатор сообщения электронной почты, сформированный в Office 365
EmailSubject string Тема письма
EmailClusterId string Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания
Application string Приложение, выполняющее записанное действие
ApplicationId int Уникальный идентификатор приложения
OAuthApplicationId string Уникальный идентификатор стороннего приложения OAuth
ProcessCommandLine string Командная строка, используемая для создания нового процесса
RegistryKey string Раздел реестра, к которому было применено записанное действие
RegistryValueName string Имя значения реестра, к которому было применено записанное действие
RegistryValueData string Данные значения реестра, к которому было применено записанное действие
AdditionalFields string Дополнительные сведения о поведении

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.