Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Beteendetabell för Microsoft Defender för Slutanvändare (MDE). Innehåller information om beteenden, som i samband med Microsoft 365 Defender refererar till en slutsats eller insikt baserat på en eller flera råhändelser, vilket kan ge analytiker mer kontext i undersökningar.
Attribut för tabell
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Inmatningstidsomvandling | Nej |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| KontoObjektId | sträng | Unik identifierare för kontot i Azure AD. |
| AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
| Åtgärdstyp | sträng | Typ av aktivitet som utlöste händelsen. Associerad med specifika MITRE ATT&CK-tekniker. |
| YtterligareFält | sträng | Ytterligare information om entiteten eller händelsen. |
| AttackTechniques | sträng | MITRE ATT&CK-tekniker kopplade till aktiviteten som utlöste larmet. Definieras av MITRE ATT&CK-matrisen för företag. |
| BeteendeId | sträng | Unik identifierare för beteendet. |
| _Fakturastorlek | äkta | Recordstorleken i byte |
| Kategorier | sträng | Typer av hotindikator eller intrångsaktivitet som identifieras av aviseringen. Definieras av MITRE ATT&CK-matrisen för företag. |
| Datakällor | sträng | Produkter eller tjänster som gav information om beteendet. |
| Beskrivning | sträng | Beskrivning av beteendet. |
| Detektionskälla | sträng | Identifieringsteknik eller sensor som identifierade den anmärkningsvärda komponenten eller aktiviteten. |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| Sluttid | tidpunkt | Datum och tid för den senaste aktiviteten som är relaterad till beteendet. |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false debiteras inte ditt Azure-konto för inmatningen. |
| ServiceSource | sträng | Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
| SourceSystem | sträng | Agenttypen som händelsen insamlades av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Starttid | tidpunkt | Datum och tid för den första aktiviteten som är relaterad till beteendet. |
| Hyresgivarens ID | sträng | Arbetsyte-ID för Log Analytics |
| TimeGenerated | tidpunkt | Datum och tid då posten genererades. |
| Typ | sträng | Namnet på tabellen |