BehaviorEntities (Preview)
适用于:
- Microsoft Defender XDR
BehaviorEntities
高级搜寻架构中的表包含有关Microsoft Defender for Cloud Apps中的行为的信息。 使用此参考来构建从此表返回信息的查询。
重要
该 BehaviorEntities 表处于预览状态,不适用于 GCC。 在商业发布之前,此处的信息可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。 有反馈要分享吗? 填写反馈 表单。
行为是基于一个或多个原始事件的Microsoft Defender XDR中的一种数据类型。 行为提供对事件的上下文见解,并且可以(但不一定)指示恶意活动。 详细了解行为
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
BehaviorId |
string |
行为的唯一标识符 |
ActionType |
string |
行为类型 |
Categories |
string |
行为标识的威胁指示器或违规活动类型 |
ServiceSource |
string |
识别行为的产品或服务 |
DetectionSource |
string |
识别值得注意的组件或活动的检测技术或传感器 |
DataSources |
string |
提供行为信息的产品或服务 |
EntityType |
string |
对象的类型,例如文件、进程、设备或用户 |
EntityRole |
string |
指示实体是受影响还是仅相关 |
DetailedEntityRole |
string |
实体在行为中的角色 |
FileName |
string |
行为应用于的文件的名称 |
FolderPath |
string |
包含该行为应用于的文件的文件夹 |
SHA1 |
string |
行为应用于的文件的 SHA-1 |
SHA256 |
string |
行为应用于的文件的 SHA-256 |
FileSize |
long |
行为应用于的文件的大小(以字节为单位) |
ThreatFamily |
string |
可疑或恶意文件或进程已分类的恶意软件系列 |
RemoteIP |
string |
连接到的 IP 地址 |
RemoteUrl |
string |
连接到的 URL 或完全限定域名 (FQDN) |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
LocalIP |
string |
分配给通信期间使用的本地设备的 IP 地址 |
NetworkMessageId |
string |
由 Office 365 生成的电子邮件的唯一标识符 |
EmailSubject |
string |
电子邮件主题 |
EmailClusterId |
string |
基于对内容的启发式分析群集的相似电子邮件组的标识符 |
Application |
string |
执行录制操作的应用程序 |
ApplicationId |
int |
应用程序的唯一标识符 |
OAuthApplicationId |
string |
第三方 OAuth 应用程序的唯一标识符 |
ProcessCommandLine |
string |
用于创建新进程的命令行 |
RegistryKey |
string |
记录的操作应用于的注册表项 |
RegistryValueName |
string |
记录的操作应用于的注册表值的名称 |
RegistryValueData |
string |
记录的操作应用于的注册表值的数据 |
AdditionalFields |
string |
有关该行为的其他信息 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。