重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進 DataSecurityEvents 階 搜捕 架構中的數據表包含在解決方案的 Microsoft Purview 套件中違反使用者定義或預設原則的用戶活動相關信息。 每個記錄都代表使用專屬Microsoft偵測擴充的單一用戶活動, (例如敏感性資訊類型) 和使用者定義的擴充卷標,例如網域類別、敏感度卷標等等。
此進階搜捕數據表是由來自 Microsoft Purview 內部風險管理 的記錄填入。 如果您的組織尚未選擇與 Microsoft Defender 全面偵測回應 共用內部風險警示,則使用數據表的查詢將無法運作或傳回任何結果。 如需詳細資訊,請 參閱調查內部風險威脅。
使用這個參考來建立從此表格取回之資訊的查詢。 如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
ApplicationNames |
string |
使用或與事件相關的應用程式名稱清單 |
DeviceId |
string |
適用於端點的 Microsoft Defender 中裝置的唯一標識符 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
AadDeviceId |
guid |
Microsoft Entra ID 中裝置的唯一標識符 |
IsManagedDevice |
bool |
指出裝置是否由組織管理 (True) 或未 (False) |
DlpPolicyMatchInfo |
string |
與此事件相符的數據外洩防護 (DLP) 原則清單相關信息 |
DlpPolicyEnforcementMode |
int |
表示已強制執行的數據外洩防護原則;值可以是:0 (None) 、1 (Audit) 、2 (Warn) 、3 (Warn and bypass) 、4 (Block) 、5 (Allow) |
DlpPolicyRuleMatchInfo |
dynamic |
與此事件相符的數據外洩防護 (DLP) 規則的詳細數據;JSON 陣語格式 |
FileRenameInfo |
string |
此事件之前 (檔名和擴展名) 的詳細數據 |
PhysicalAccessPointId |
string |
實體存取點的唯一標識碼 |
PhysicalAccessPointName |
string |
實體存取點的名稱 |
PhysicalAccessStatus |
string |
實體存取的狀態,不論成功或失敗 |
PhysicalAssetTag |
string |
指派給資產的標籤,如Microsoft測試人員風險管理全域設定中所設定 |
RemovableMediaManufacturer |
string |
卸載式裝置的製造商名稱 |
RemovableMediaModel |
string |
卸載式裝置的型號名稱 |
RemovableMediaSerialNumber |
string |
卸除式裝置的序號 |
TeamsChannelName |
string |
Teams 頻道的名稱 |
TeamsChannelType |
string |
Teams 頻道的類型 |
TeamsTeamName |
string |
Teams 小組的名稱 |
UserAlternateEmails |
string |
使用者的替代電子郵件或別名 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
Department |
string |
帳戶用戶所屬的部門名稱 |
SourceCodeInfo |
string |
事件所涉及的原始程式碼存放庫詳細數據 |
CcPolicyMatchInfo |
dynamic |
此事件的通訊合規性原則符合的詳細數據;JSON 陣語格式 |
IPAddress |
string |
執行活動之用戶端的IP位址;如果與 Microsoft Defender for Cloud Apps 警示相關,可以包含多個IP |
Timestamp |
datetime |
事件記錄的日期和時間 |
DeviceSourceLocationType |
int |
指出端點訊號的來源位置類型;值可以是:0 (未知) 、1 (本機) 、2 (遠端) 、3 (卸除式) 、4 (雲端) 、5 (檔案共用) |
DeviceDestinationLocationType |
int |
指出端點訊號所連接的位置類型;值可以是:0 (未知) 、1 (本機) 、2 (遠端) 、3 (卸除式) 、4 (雲端) 、5 (檔案共用) |
IrmPolicyMatchInfo |
dynamic |
與事件相關內容符合的測試人員風險管理原則詳細數據;JSON 陣語格式 |
UnallowedUrlDomains |
string |
此事件中涉及的網站或服務 URL,在測試人員風險管理全域設定中設定為不允許 |
ExternalUrlDomains |
string |
此事件中涉及的網站或服務 URL,在測試人員風險管理全域設定中分類為外部 |
UrlDomainInfo |
string |
事件相關網站或服務 URL 的詳細數據 |
SourceUrlDomain |
string |
裝置和電子郵件訊號的來源網域 |
TargetUrlDomain |
string |
與內容共用或用戶流覽至的網域 |
EmailAttachmentCount |
int |
電子郵件附件數目 |
EmailAttachmentInfo |
dynamic |
電子郵件附件的詳細數據;JSON 陣語格式 |
InternetMessageId |
string |
由傳送電子郵件系統所設定之電子郵件或 Teams 訊息的公開標識碼 |
NetworkMessageId |
guid |
電子郵件的唯一標識碼,由 Microsoft 365 產生 |
EmailSubject |
string |
電子郵件的主旨 |
ObjectId |
string |
已套用記錄動作之物件的唯一標識符,如果是檔案,則包含擴展名 |
ObjectName |
string |
已套用記錄動作的物件名稱,如果是檔案,則會包含擴展名 |
ObjectType |
string |
套用記錄動作的物件類型,例如檔案或資料夾 |
ObjectSize |
int |
物件的大小,以位元組為單位 |
IsHidden |
bool |
指出使用者是否已將內容標示為隱藏 (True) 是否 (False) |
ActivityId |
guid |
活動記錄的唯一標識碼 |
ActionType |
string |
觸發事件的活動類型 |
SensitiveInfoTypeInfo |
dynamic |
在受影響的資產中偵測到的數據外洩防護敏感性資訊類型的詳細數據 |
SensitivityLabelId |
string |
與項目相關聯的目前Microsoft 資訊保護 敏感度標籤標識碼 |
SharepointSiteSensitivityLabelIds |
string |
目前Microsoft 資訊保護 指派給與 SharePoint 活動相關之專案的父網站的敏感度標籤標識碼 |
PreviousSensitivityLabelId |
string |
先前的Microsoft 資訊保護 敏感度標籤標識碼,以防敏感度標籤變更時與專案相關聯 |
Operation |
string |
系統管理員活動的名稱 |
RecipientEmailAddress |
string |
收件者的電子郵件地址,或通訊群組清單展開後之收件者的電子郵件地址 |
SiteUrl |
string |
使用者存取之檔案或資料夾所在的網站URL |
SourceRelativeUrl |
string |
包含使用者存取之檔案的資料夾URL |
TargetFilePath |
string |
端點活動的目標檔案路徑 |
PrinterName |
string |
與行為相關的印表機清單 |
Workload |
string |
發生事件的 Microsoft 365 服務 |
IrmActionCategory |
enum |
唯一列舉值,表示 Microsoft Purview 內部風險管理 中的活動類別目錄 |
SequenceCorrelationId |
string |
順序活動的詳細數據 |
CloudAppAlertId |
string |
Microsoft Defender for Cloud Apps 中警示的唯一標識符 |
相關文章
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。