BehaviorEntities
適用於:
- Microsoft Defender XDR
進BehaviorEntities
階搜捕架構中的數據表包含 Microsoft Defender for Cloud Apps 中行為的相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
行為是 Microsoft Defender 全面偵測回應 中根據一或多個原始事件的數據類型。 行為提供事件的內容相關深入解析,而且不一定表示惡意活動。 深入了解行為
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
欄名稱 | 資料類型 | 描述 |
---|---|---|
Timestamp |
datetime |
記錄的產生日期和時間 |
BehaviorId |
string |
行為的唯一標識碼 |
ActionType |
string |
行為類型 |
Categories |
string |
行為所識別的威脅指標或缺口活動類型 |
ServiceSource |
string |
識別行為的產品或服務 |
DetectionSource |
string |
識別值得注意之元件或活動的偵測技術或感測器 |
DataSources |
string |
提供行為信息的產品或服務 |
EntityType |
string |
對象的類型,例如檔案、進程、裝置或使用者 |
EntityRole |
string |
指出實體是否受到影響或只是相關 |
DetailedEntityRole |
string |
行為中實體的角色 |
FileName |
string |
套用行為的檔名 |
FolderPath |
string |
包含套用行為之檔案的資料夾 |
SHA1 |
string |
套用行為之檔案的SHA-1 |
SHA256 |
string |
套用行為之檔案的SHA-256 |
FileSize |
long |
套用行為之檔案的大小,以位元組為單位 |
ThreatFamily |
string |
可疑或惡意檔案或進程已分類在下方的惡意代碼系列 |
RemoteIP |
string |
連線到的 IP 位址 |
RemoteUrl |
string |
已連線到的 URL 或完整網域名稱 (FQDN) |
AccountName |
string |
帳戶的用戶名稱 |
AccountDomain |
string |
帳戶的網域 |
AccountSid |
string |
帳戶 (SID) 的安全識別符 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
LocalIP |
string |
指派給通訊期間所使用本機裝置的IP位址 |
NetworkMessageId |
string |
Office 365 產生的電子郵件唯一識別碼 |
EmailSubject |
string |
電子郵件的主旨 |
EmailClusterId |
string |
根據內容啟發式分析叢集的類似電子郵件群組識別碼 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
int |
應用程式的唯一標識碼 |
OAuthApplicationId |
string |
第三方 OAuth 應用程式的唯一標識碼 |
ProcessCommandLine |
string |
用來建立新進程的命令行 |
RegistryKey |
string |
已記錄動作套用至的登錄機碼 |
RegistryValueName |
string |
已記錄動作套用至的登錄值名稱 |
RegistryValueData |
string |
已記錄動作套用至的登錄值數據 |
AdditionalFields |
string |
行為的其他相關信息 |
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。