BehaviorEntities (預覽)
適用於:
- Microsoft Defender XDR
進BehaviorEntities階搜捕架構中的數據表包含 Microsoft Defender for Cloud Apps 中行為的相關信息。 使用這個參考來建立從此表格取回之資訊的查詢。
重要事項
數據 BehaviorEntities 表處於預覽狀態,不適用於 GCC。 在商業發行之前,此處的資訊可能會大幅修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。 有意見反應要分享嗎? 填寫我們 的意見反應表單。
行為是 Microsoft Defender 全面偵測回應 中根據一或多個原始事件的數據類型。 行為提供事件的內容相關深入解析,而且不一定表示惡意活動。 深入了解行為
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
記錄的產生日期和時間 |
BehaviorId |
string |
行為的唯一標識碼 |
ActionType |
string |
行為類型 |
Categories |
string |
行為所識別的威脅指標或缺動類型 |
ServiceSource |
string |
識別行為的產品或服務 |
DetectionSource |
string |
識別值得注意之元件或活動的偵測技術或感測器 |
DataSources |
string |
提供行為信息的產品或服務 |
EntityType |
string |
對象的類型,例如檔案、進程、裝置或使用者 |
EntityRole |
string |
指出實體是否受到影響或只是相關 |
DetailedEntityRole |
string |
行為中實體的角色 |
FileName |
string |
套用行為的檔名 |
FolderPath |
string |
包含套用行為之檔案的資料夾 |
SHA1 |
string |
套用行為之檔案的SHA-1 |
SHA256 |
string |
套用行為之檔案的SHA-256 |
FileSize |
long |
套用行為之檔案的大小,以位元組為單位 |
ThreatFamily |
string |
可疑或惡意檔案或進程已分類在下方的惡意代碼系列 |
RemoteIP |
string |
連線到的 IP 位址 |
RemoteUrl |
string |
已連線到的 URL 或完整網域名稱 (FQDN) |
AccountName |
string |
帳戶的用戶名稱 |
AccountDomain |
string |
帳戶的網域 |
AccountSid |
string |
帳戶 (SID) 的安全識別符 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
DeviceId |
string |
服務中裝置的唯一識別碼 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
LocalIP |
string |
指派給通訊期間所使用本機裝置的IP位址 |
NetworkMessageId |
string |
Office 365 產生的電子郵件唯一識別碼 |
EmailSubject |
string |
電子郵件的主旨 |
EmailClusterId |
string |
根據內容啟發式分析叢集的類似電子郵件群組識別碼 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
int |
應用程式的唯一標識碼 |
OAuthApplicationId |
string |
第三方 OAuth 應用程式的唯一標識碼 |
ProcessCommandLine |
string |
用來建立新進程的命令行 |
RegistryKey |
string |
已記錄動作套用至的登錄機碼 |
RegistryValueName |
string |
已記錄動作套用至的登錄值名稱 |
RegistryValueData |
string |
已記錄動作套用至的登錄值數據 |
AdditionalFields |
string |
行為的其他相關信息 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。