通过

BehaviorEntities

  • 项目

适用于:

  • Microsoft Defender XDR

BehaviorEntities高级搜寻架构中的表包含有关Microsoft Defender for Cloud Apps中的行为的信息。 使用此参考来构建从此表返回信息的查询。

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

行为是基于一个或多个原始事件的Microsoft Defender XDR中的一种数据类型。 行为提供对事件的上下文见解,并且可以(但不一定)指示恶意活动。 详细了解行为

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 生成记录的日期和时间
BehaviorId string 行为的唯一标识符
ActionType string 行为类型
Categories string 行为标识的威胁指示器或违规活动类型
ServiceSource string 识别行为的产品或服务
DetectionSource string 识别值得注意的组件或活动的检测技术或传感器
DataSources string 提供行为信息的产品或服务
EntityType string 对象的类型,例如文件、进程、设备或用户
EntityRole string 指示实体是受影响还是仅相关
DetailedEntityRole string 实体在行为中的角色
FileName string 行为应用于的文件的名称
FolderPath string 包含该行为应用于的文件的文件夹
SHA1 string 行为应用于的文件的 SHA-1
SHA256 string 行为应用于的文件的 SHA-256
FileSize long 行为应用于的文件的大小(以字节为单位)
ThreatFamily string 可疑或恶意文件或进程已分类的恶意软件系列
RemoteIP string 连接到的 IP 地址
RemoteUrl string 连接到的 URL 或完全限定域名 (FQDN)
AccountName string 帐户的用户名
AccountDomain string 帐户的域
AccountSid string 帐户的安全标识符 (SID)
AccountObjectId string Microsoft Entra ID 中帐户的唯一标识符
AccountUpn string 用户主体名称 (帐户的 UPN)
DeviceId string 服务中设备的唯一标识符
DeviceName string 设备的 FQDN) (完全限定的域名
LocalIP string 分配给通信期间使用的本地设备的 IP 地址
NetworkMessageId string 由 Office 365 生成的电子邮件的唯一标识符
EmailSubject string 电子邮件主题
EmailClusterId string 基于对内容的启发式分析群集的相似电子邮件组的标识符
Application string 执行录制操作的应用程序
ApplicationId int 应用程序的唯一标识符
OAuthApplicationId string 第三方 OAuth 应用程序的唯一标识符
ProcessCommandLine string 用于创建新进程的命令行
RegistryKey string 记录的操作应用于的注册表项
RegistryValueName string 记录的操作应用于的注册表值的名称
RegistryValueData string 记录的操作应用于的注册表值的数据
AdditionalFields string 有关该行为的其他信息

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区