BehaviorEntities
Область применения:
- Microsoft Defender XDR
Таблица BehaviorEntities
в схеме расширенной охоты содержит сведения о поведении в Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения о поведении
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
Имя столбца | Тип данных | Описание |
---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
BehaviorId |
string |
Уникальный идентификатор для поведения |
ActionType |
string |
Тип поведения |
Categories |
string |
Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением |
ServiceSource |
string |
Продукт или служба, определяющая поведение |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
DataSources |
string |
Продукты или службы, предоставляющие сведения о поведении |
EntityType |
string |
Тип объекта, например файл, процесс, устройство или пользователь |
EntityRole |
string |
Указывает, связана ли сущность. |
DetailedEntityRole |
string |
Роли сущности в поведении |
FileName |
string |
Имя файла, к которому применяется поведение |
FolderPath |
string |
Папка, содержащая файл, к которому применяется поведение |
SHA1 |
string |
SHA-1 файла, к которому применяется поведение |
SHA256 |
string |
SHA-256 файла, к которому применяется поведение |
FileSize |
long |
Размер (в байтах) файла, к которому применяется поведение |
ThreatFamily |
string |
Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс |
RemoteIP |
string |
IP-адрес, к которому выполнено подключение |
RemoteUrl |
string |
URL-адрес или полное доменное имя, к которому выполнено подключение |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
LocalIP |
string |
IP-адрес, назначенный локальному устройству, используемому во время связи |
NetworkMessageId |
string |
Уникальный идентификатор сообщения электронной почты, сформированный в Office 365 |
EmailSubject |
string |
Тема письма |
EmailClusterId |
string |
Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
int |
Уникальный идентификатор приложения |
OAuthApplicationId |
string |
Уникальный идентификатор стороннего приложения OAuth |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
RegistryKey |
string |
Раздел реестра, к которому было применено записанное действие |
RegistryValueName |
string |
Имя значения реестра, к которому было применено записанное действие |
RegistryValueData |
string |
Данные значения реестра, к которому было применено записанное действие |
AdditionalFields |
string |
Дополнительные сведения о поведении |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по