Aracılığıyla paylaş

AlertEvidence

  • Makale

Şunlar için geçerlidir:

  • Microsoft Defender XDR

AlertEvidence Gelişmiş tehdit avcılığı şemasındaki tablo, Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender uyarılarıyla ilişkili çeşitli varlıklar (dosyalar, IP adresleri, URL'ler, kullanıcılar veya cihazlar) hakkında bilgi içerir. Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.

Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.

Sütun adı Veri türü Açıklama
Timestamp datetime Olayın kaydedilildiği tarih ve saat
AlertId string Uyarının benzersiz tanımlayıcısı
Title string Uyarının başlığı
Categories string JSON dizi biçiminde bilgilerin ait olduğu kategorilerin listesi
AttackTechniques string MITRE ATT&uyarıyı tetikleyen etkinlikle ilişkili CK teknikleri
ServiceSource string Uyarı bilgilerini sağlayan ürün veya hizmet
DetectionSource string Dikkate değer bileşeni veya etkinliği tanımlayan algılama teknolojisi veya algılayıcısı
EntityType string Dosya, işlem, cihaz veya kullanıcı gibi nesne türü
EvidenceRole string Varlığın bir uyarıya nasıl dahil olduğu, bunun etkilenip etkilenmediğini veya yalnızca ilgili olup olmadığını gösterir
EvidenceDirection string Varlığın bir ağ bağlantısının kaynağı mı yoksa hedefi mi olduğunu gösterir
FileName string Kaydedilen eylemin uygulandığı dosyanın adı
FolderPath string Kaydedilen eylemin uygulandığı dosyayı içeren klasör
SHA1 string Kaydedilen eylemin uygulandığı dosyanın SHA-1
SHA256 string Kaydedilen eylemin uygulandığı dosyanın SHA-256'sı. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın.
FileSize long Dosyanın bayt cinsinden boyutu
ThreatFamily string Şüpheli veya kötü amaçlı dosya veya işlemin altında sınıflandırıldığı kötü amaçlı yazılım ailesi
RemoteIP string Bağlanılmakta olan IP adresi
RemoteUrl string Bağlı olan URL veya tam etki alanı adı (FQDN)
AccountName string Hesabın kullanıcı adı
AccountDomain string Hesabın etki alanı
AccountSid string Hesabın Güvenlik Tanımlayıcısı (SID)
AccountObjectId string Microsoft Entra ID'deki hesabın benzersiz tanımlayıcısı
AccountUpn string Hesabın kullanıcı asıl adı (UPN)
DeviceId string Hizmetteki cihaz için benzersiz tanımlayıcı
DeviceName string Cihazın tam etki alanı adı (FQDN)
LocalIP string İletişim sırasında kullanılan yerel cihaza atanan IP adresi
NetworkMessageId string Office 365 tarafından oluşturulan e-postanın benzersiz tanımlayıcısı
EmailSubject string E-postanın konusu
Application string Kaydedilen eylemi gerçekleştiren uygulama
ApplicationId int Uygulama için benzersiz tanımlayıcı
OAuthApplicationId string Üçüncü taraf OAuth uygulamasının benzersiz tanımlayıcısı
ProcessCommandLine string Yeni işlemi oluşturmak için kullanılan komut satırı
RegistryKey string Kaydedilen eylemin uygulandığı kayıt defteri anahtarı
RegistryValueName string Kaydedilen eylemin uygulandığı kayıt defteri değerinin adı
RegistryValueData string Kaydedilen eylemin uygulandığı kayıt defteri değerinin verileri
AdditionalFields string Varlık veya olay hakkında ek bilgi
Severity string Uyarı tarafından tanımlanan tehdit göstergesinin veya ihlal etkinliğinin olası etkisini (yüksek, orta veya düşük) gösterir
CloudResource string Bulut kaynağı adı
CloudPlatform string Kaynağın ait olduğu bulut platformu Azure, Amazon Web Services veya Google Cloud Platform olabilir
ResourceType string Bulut kaynağı türü
ResourceID string Erişilen bulut kaynağının benzersiz tanımlayıcısı
SubscriptionId string Bulut hizmeti aboneliğinin benzersiz tanımlayıcısı

İpucu

Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.