AlertEvidence

適用於：

• Microsoft Defender XDR

進AlertEvidence階搜捕架構中的數據表包含與來自 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps和 適用於身分識別的 Microsoft Defender。 使用這個參考來建立從此表格取回之資訊的查詢。

如需進階搜捕結構描述中其他表格的資訊，請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱	資料類型	描述
Timestamp	datetime	事件記錄的日期和時間
AlertId	string	警示的唯一識別碼。
Title	string	警示標題
Categories	string	資訊所屬的類別清單，格式為 JSON 陣列
AttackTechniques	string	MITRE ATT&與觸發警示的活動相關聯的 CK 技術
ServiceSource	string	提供警示資訊的產品或服務
DetectionSource	string	識別值得注意之元件或活動的偵測技術或感測器
EntityType	string	對象的類型，例如檔案、進程、裝置或使用者
EvidenceRole	string	實體如何參與警示，指出其是否受到影響或只是相關
EvidenceDirection	string	指出實體是網路連線的來源或目的地
FileName	string	記錄動作已套用的檔案名稱
FolderPath	string	包含已記錄動作套用至之檔案的資料夾
SHA1	string	記錄動作已套用的檔案 SHA-1
SHA256	string	記錄動作已套用的檔案 SHA-256。 此欄位通常不會填入，請在可用時使用 SHA1 資料行。
FileSize	long	檔案大小，以位元組為單位
ThreatFamily	string	可疑或惡意檔案或進程已分類在下方的惡意代碼系列
RemoteIP	string	連線到的 IP 位址
RemoteUrl	string	已連線到的 URL 或完整網域名稱 (FQDN)
AccountName	string	帳戶的用戶名稱
AccountDomain	string	帳戶的網域
AccountSid	string	帳戶 (SID) 的安全識別符
AccountObjectId	string	Microsoft Entra ID 中帳戶的唯一標識符
AccountUpn	string	帳戶的UPN) (用戶主體名稱
DeviceId	string	服務中裝置的唯一識別碼
DeviceName	string	裝置的 FQDN) (完整功能變數名稱
LocalIP	string	指派給通訊期間所使用本機裝置的IP位址
NetworkMessageId	string	Office 365 產生的電子郵件唯一識別碼
EmailSubject	string	電子郵件的主旨
Application	string	執行已錄製動作的應用程式
ApplicationId	int	應用程式的唯一標識碼
OAuthApplicationId	string	第三方 OAuth 應用程式的唯一標識碼
ProcessCommandLine	string	用來建立新進程的命令行
RegistryKey	string	已記錄動作套用至的登錄機碼
RegistryValueName	string	已記錄動作套用至的登錄值名稱
RegistryValueData	string	已記錄動作套用至的登錄值數據
AdditionalFields	string	實體或事件的其他相關信息
Severity	string	表示由警示所識別之威脅指示器或入侵活動的潛在影響 (高、中或低)
CloudResource	string	雲端資源名稱
CloudPlatform	string	資源所屬的雲端平臺可以是 Azure、Amazon Web Services 或 Google Cloud Platform
ResourceType	string	雲端資源類型
ResourceID	string	所存取雲端資源的唯一標識符
SubscriptionId	string	雲端服務訂用帳戶的唯一標識符

相關主題

• 進階搜捕概觀
• 了解查詢語言
• 使用共用查詢
• 跨裝置、電子郵件、應用程式和身分識別搜捕
• 了解結構描述
• 套用查詢最佳做法

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群：Microsoft Defender 全面偵測回應 技術社群。