通过

AlertEvidence

  • 项目

适用于:

  • Microsoft Defender XDR

AlertEvidence 高级搜寻架构中的表包含与来自 Microsoft Defender for Endpoint、Microsoft Defender for Office 365 的警报关联的各种实体(文件、IP 地址、URL、用户或设备)的信息,Microsoft Defender for Cloud Apps和Microsoft Defender for Identity。 使用此参考来构建从此表返回信息的查询。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
AlertId string 警报的唯一标识符
Title string 警报的标题
Categories string 信息所属的类别列表,采用 JSON 数组格式
AttackTechniques string MITRE ATT&与触发警报的活动关联的 CK 技术
ServiceSource string 提供警报信息的产品或服务
DetectionSource string 识别值得注意的组件或活动的检测技术或传感器
EntityType string 对象的类型,例如文件、进程、设备或用户
EvidenceRole string 实体在警报中的参与方式,指示它是否受到影响或仅相关
EvidenceDirection string 指示实体是网络连接的源还是目标
FileName string 录制操作所应用到的文件的名称
FolderPath string 包含已记录操作应用到的文件的文件夹
SHA1 string 录制操作所应用到的文件的 SHA-1
SHA256 string 录制操作所应用到的文件的 SHA-256。 此字段通常不会填充 -- 使用 SHA1 列(如果可用)。
FileSize long 文件的大小(以字节为单位)
ThreatFamily string 可疑或恶意文件或进程已分类的恶意软件系列
RemoteIP string 连接到的 IP 地址
RemoteUrl string 连接到的 URL 或完全限定域名 (FQDN)
AccountName string 帐户的用户名
AccountDomain string 帐户的域
AccountSid string 帐户的安全标识符 (SID)
AccountObjectId string Microsoft Entra ID 中帐户的唯一标识符
AccountUpn string 用户主体名称 (帐户的 UPN)
DeviceId string 服务中设备的唯一标识符
DeviceName string 设备的 FQDN) (完全限定的域名
LocalIP string 分配给通信期间使用的本地设备的 IP 地址
NetworkMessageId string 由 Office 365 生成的电子邮件的唯一标识符
EmailSubject string 电子邮件主题
Application string 执行录制操作的应用程序
ApplicationId int 应用程序的唯一标识符
OAuthApplicationId string 第三方 OAuth 应用程序的唯一标识符
ProcessCommandLine string 用于创建新进程的命令行
RegistryKey string 记录的操作应用于的注册表项
RegistryValueName string 记录的操作应用于的注册表值的名称
RegistryValueData string 记录的操作应用于的注册表值的数据
AdditionalFields string 有关实体或事件的其他信息
Severity string 指示警报所标识的威胁指示器或违反活动的潜在影响(高、中或低)
CloudResource string 云资源名称
CloudPlatform string 资源所属的云平台可以是 Azure、Amazon Web Services 或 Google Cloud Platform
ResourceType string 云资源类型
ResourceID string 访问的云资源的唯一标识符
SubscriptionId string 云服务订阅的唯一标识符

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区