BehaviorEntities

Область применения:

• Microsoft Defender XDR

Таблица BehaviorEntities в схеме расширенной охоты содержит сведения о поведении в Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения о поведении

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца	Тип данных	Описание
Timestamp	datetime	Дата и время создания записи
BehaviorId	string	Уникальный идентификатор для поведения
ActionType	string	Тип поведения
Categories	string	Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением
ServiceSource	string	Продукт или служба, определяющая поведение
DetectionSource	string	Технология обнаружения или датчик, который идентифицировал важный компонент или действие
DataSources	string	Продукты или службы, предоставляющие сведения о поведении
EntityType	string	Тип объекта, например файл, процесс, устройство или пользователь
EntityRole	string	Указывает, связана ли сущность.
DetailedEntityRole	string	Роли сущности в поведении
FileName	string	Имя файла, к которому применяется поведение
FolderPath	string	Папка, содержащая файл, к которому применяется поведение
SHA1	string	SHA-1 файла, к которому применяется поведение
SHA256	string	SHA-256 файла, к которому применяется поведение
FileSize	long	Размер (в байтах) файла, к которому применяется поведение
ThreatFamily	string	Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс
RemoteIP	string	IP-адрес, к которому выполнено подключение
RemoteUrl	string	URL-адрес или полное доменное имя, к которому выполнено подключение
AccountName	string	Имя пользователя учетной записи
AccountDomain	string	Домен учетной записи
AccountSid	string	Идентификатор безопасности (SID) учетной записи
AccountObjectId	string	Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountUpn	string	Имя участника-пользователя (UPN) учетной записи
DeviceId	string	Уникальный идентификатор устройства в службе
DeviceName	string	Полное доменное имя (FQDN) устройства
LocalIP	string	IP-адрес, назначенный локальному устройству, используемому во время связи
NetworkMessageId	string	Уникальный идентификатор сообщения электронной почты, сформированный в Office 365
EmailSubject	string	Тема письма
EmailClusterId	string	Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания
Application	string	Приложение, выполняющее записанное действие
ApplicationId	int	Уникальный идентификатор приложения
OAuthApplicationId	string	Уникальный идентификатор стороннего приложения OAuth
ProcessCommandLine	string	Командная строка, используемая для создания нового процесса
RegistryKey	string	Раздел реестра, к которому было применено записанное действие
RegistryValueName	string	Имя значения реестра, к которому было применено записанное действие
RegistryValueData	string	Данные значения реестра, к которому было применено записанное действие
AdditionalFields	string	Дополнительные сведения о поведении

Статьи по теме

• Обзор расширенной охоты
• Изучение языка запросов
• Использование общих запросов
• Охота на различных устройствах, в письмах, приложениях и удостоверениях
• Сведения о схеме
• Применение рекомендаций по использованию запросов

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.