BehaviorEntities

Gäller för:

• Microsoft Defender XDR

Tabellen BehaviorEntities i det avancerade jaktschemat innehåller information om beteenden i Microsoft Defender for Cloud Apps. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Beteenden är en typ av data i Microsoft Defender XDR baserat på en eller flera råhändelser. Beteenden ger sammanhangsberoende inblick i händelser och kan, men inte nödvändigtvis, indikera skadlig aktivitet. Läs mer om beteenden

Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.

Kolumnnamn	Datatyp	Beskrivning
Timestamp	datetime	Datum och tid då posten genererades
BehaviorId	string	Unik identifierare för beteendet
ActionType	string	Typ av beteende
Categories	string	Typ av hotindikator eller överträdelseaktivitet som identifieras av beteendet
ServiceSource	string	Produkt eller tjänst som identifierade beteendet
DetectionSource	string	Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten
DataSources	string	Produkter eller tjänster som tillhandahöll information om beteendet
EntityType	string	Typ av objekt, till exempel en fil, en process, en enhet eller en användare
EntityRole	string	Anger om entiteten påverkas eller bara är relaterad
DetailedEntityRole	string	Entitetens roller i beteendet
FileName	string	Namnet på filen som beteendet gäller för
FolderPath	string	Mapp som innehåller filen som beteendet gäller för
SHA1	string	SHA-1 av filen som beteendet gäller för
SHA256	string	SHA-256 av filen som beteendet gäller för
FileSize	long	Storlek i byte för den fil som beteendet gäller för
ThreatFamily	string	skadlig kod som den misstänkta eller skadliga filen eller processen har klassificerats under
RemoteIP	string	IP-adress som var ansluten till
RemoteUrl	string	URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till
AccountName	string	Användarkontots användarnamn
AccountDomain	string	Domän för kontot
AccountSid	string	Säkerhetsidentifierare (SID) för kontot
AccountObjectId	string	Unik identifierare för kontot i Microsoft Entra ID
AccountUpn	string	Användarens huvudnamn (UPN) för kontot
DeviceId	string	Unik identifierare för enheten i tjänsten
DeviceName	string	Fullständigt kvalificerat domännamn (FQDN) för enheten
LocalIP	string	IP-adress tilldelad till den lokala enhet som används vid kommunikation
NetworkMessageId	string	Unik identifierare för e-postmeddelandet som genereras av Office 365
EmailSubject	string	Ämne för e-postmeddelandet
EmailClusterId	string	Identifierare för gruppen med liknande e-postmeddelanden klustrade baserat på heuristisk analys av deras innehåll
Application	string	Program som utförde den inspelade åtgärden
ApplicationId	int	Unik identifierare för programmet
OAuthApplicationId	string	Unik identifierare för OAuth-programmet från tredje part
ProcessCommandLine	string	Kommandorad som används för att skapa den nya processen
RegistryKey	string	Registernyckel som den registrerade åtgärden tillämpades på
RegistryValueName	string	Namnet på registervärdet som den registrerade åtgärden tillämpades på
RegistryValueData	string	Data för registervärdet som den registrerade åtgärden tillämpades på
AdditionalFields	string	Ytterligare information om beteendet

Relaterade ämnen

• Översikt över avancerad jakt
• Lär dig frågespråket
• Använda delade frågor
• Jaga över olika enheter, e-postmeddelanden, appar och identiteter
• Förstå schemat
• Använda metodtips för frågor

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.