AlertEvidence
Gäller för:
- Microsoft Defender XDR
Tabellen AlertEvidence
i det avancerade jaktschemat innehåller information om olika entiteter – filer, IP-adresser, URL:er, användare eller enheter – som är associerade med aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
Kolumnnamn | Datatyp | Beskrivning |
---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
AlertId |
string |
Unik identifierare för aviseringen |
Title |
string |
Aviseringens rubrik |
Categories |
string |
Lista över kategorier som informationen tillhör, i JSON-matrisformat |
AttackTechniques |
string |
MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste aviseringen |
ServiceSource |
string |
Produkt eller tjänst som tillhandahöll aviseringsinformationen |
DetectionSource |
string |
Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten |
EntityType |
string |
Typ av objekt, till exempel en fil, en process, en enhet eller en användare |
EvidenceRole |
string |
Hur entiteten är inblandad i en avisering som anger om den påverkas eller bara är relaterad |
EvidenceDirection |
string |
Anger om entiteten är källan eller målet för en nätverksanslutning |
FileName |
string |
Namnet på filen som den inspelade åtgärden tillämpades på |
FolderPath |
string |
Mapp som innehåller filen som den inspelade åtgärden tillämpades på |
SHA1 |
string |
SHA-1 av filen som den inspelade åtgärden tillämpades på |
SHA256 |
string |
SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd SHA1-kolumnen när det är tillgängligt. |
FileSize |
long |
Filens storlek i byte |
ThreatFamily |
string |
skadlig kod som den misstänkta eller skadliga filen eller processen har klassificerats under |
RemoteIP |
string |
IP-adress som var ansluten till |
RemoteUrl |
string |
URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till |
AccountName |
string |
Användarkontots användarnamn |
AccountDomain |
string |
Domän för kontot |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
LocalIP |
string |
IP-adress tilldelad till den lokala enhet som används vid kommunikation |
NetworkMessageId |
string |
Unik identifierare för e-postmeddelandet som genereras av Office 365 |
EmailSubject |
string |
Ämne för e-postmeddelandet |
Application |
string |
Program som utförde den inspelade åtgärden |
ApplicationId |
int |
Unik identifierare för programmet |
OAuthApplicationId |
string |
Unik identifierare för OAuth-programmet från tredje part |
ProcessCommandLine |
string |
Kommandorad som används för att skapa den nya processen |
RegistryKey |
string |
Registernyckel som den registrerade åtgärden tillämpades på |
RegistryValueName |
string |
Namnet på registervärdet som den registrerade åtgärden tillämpades på |
RegistryValueData |
string |
Data för registervärdet som den registrerade åtgärden tillämpades på |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |
Severity |
string |
Anger den potentiella effekten (hög, medel eller låg) av hotindikatorn eller överträdelseaktiviteten som identifieras av aviseringen |
CloudResource |
string |
Namn på molnresurs |
CloudPlatform |
string |
Den molnplattform som resursen tillhör kan vara Azure, Amazon Web Services eller Google Cloud Platform |
ResourceType |
string |
Typ av molnresurs |
ResourceID |
string |
Unik identifierare för den molnresurs som används |
SubscriptionId |
string |
Unik identifierare för molntjänstprenumerationen |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.