BehaviorInfo (предварительная версия)
Область применения:
- Microsoft Defender XDR
Таблица BehaviorInfo в схеме расширенной охоты содержит сведения об оповещениях от Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Таблица BehaviorInfo доступна в предварительной версии и недоступна для GCC. Сведения, приведенные здесь, могут быть существенно изменены до ее коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений. Вы хотите поделиться своими отзывами? Заполните форму обратной связи.
Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения о поведении
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
BehaviorId |
string |
Уникальный идентификатор для поведения |
ActionType |
string |
Тип поведения |
Description |
string |
Описание поведения |
Categories |
string |
Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением |
AttackTechniques |
string |
MITRE ATT&методов CK, связанных с действием, которое активировало поведение |
ServiceSource |
string |
Продукт или служба, определяющая поведение |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
DataSources |
string |
Продукты или службы, предоставляющие сведения о поведении |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
StartTime |
datetime |
Дата и время первого действия, связанного с поведением |
EndTime |
datetime |
Дата и время последнего действия, связанного с поведением |
AdditionalFields |
string |
Дополнительные сведения о поведении |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.