DataSecurityEvents (Preview)
Platí pro:
- Microsoft Defender XDR
- Microsoft Purview
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Tabulka DataSecurityEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o aktivitách uživatelů, které porušují uživatelem definované nebo výchozí zásady v sadě řešení Microsoft Purview. Každý protokol představuje jednu aktivitu uživatele rozšířenou o vlastní detekce Microsoftu (jako jsou typy citlivých informací) a uživatelem definované popisky rozšiřování, jako jsou kategorie domény, popisky citlivosti a další.
Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
ApplicationNames |
string |
Seznam názvů aplikací použitých nebo souvisejících s událostí |
DeviceId |
string |
Jedinečný identifikátor zařízení v Microsoft Defender for Endpoint |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
AadDeviceId |
guid |
Jedinečný identifikátor zařízení v Microsoft Entra ID |
IsManagedDevice |
bool |
Označuje, jestli je zařízení spravované organizací (Pravda) nebo ne (Nepravda). |
DlpPolicyMatchInfo |
string |
Informace o seznamu zásad ochrany před únikem informací odpovídajících této události |
DlpPolicyEnforcementMode |
int |
Označuje zásadu ochrany před únikem informací, která byla vynucena. hodnota může být: 0 (Žádné), 1 (Audit), 2 (Upozornění), 3 (Upozornit a vynechat), 4 (Blokovat), 5 (Povolit) |
DlpPolicyRuleMatchInfo |
dynamic |
Podrobnosti o pravidlech ochrany před únikem informací, která odpovídala této události; ve formátu pole JSON |
FileRenameInfo |
string |
Podrobnosti o souboru (název souboru a přípona) před touto událostí |
PhysicalAccessPointId |
string |
Jedinečný identifikátor fyzického přístupového bodu |
PhysicalAccessPointName |
string |
Název fyzického přístupového bodu |
PhysicalAccessStatus |
string |
Stav fyzického přístupu bez ohledu na to, jestli byl úspěšný nebo neúspěšný |
PhysicalAssetTag |
string |
Značka přiřazená k prostředku podle konfigurace v globálním nastavení Správy rizik programu Microsoft Insider |
RemovableMediaManufacturer |
string |
Název výrobce vyměnitelného zařízení |
RemovableMediaModel |
string |
Název modelu vyměnitelného zařízení |
RemovableMediaSerialNumber |
string |
Sériové číslo vyměnitelného zařízení |
TeamsChannelName |
string |
Název kanálu Teams |
TeamsChannelType |
string |
Typ kanálu Teams |
TeamsTeamName |
string |
Název týmu Teams |
UserAlternateEmails |
string |
Alternativní e-maily nebo aliasy uživatele |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
Department |
string |
Název oddělení, do kterého uživatel účtu patří |
SourceCodeInfo |
string |
Podrobnosti o úložišti zdrojového kódu zahrnutého do události |
CcPolicyMatchInfo |
dynamic |
Podrobnosti o shodě zásad dodržování předpisů pro komunikaci pro tuto událost; ve formátu pole JSON |
IPAddress |
string |
IP adresy klientů, na kterých byla aktivita provedena; může obsahovat více IP adres, pokud se týkají výstrah Microsoft Defender for Cloud Apps. |
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
DeviceSourceLocationType |
int |
Označuje typ umístění, ze kterého pocházejí signály koncového bodu; hodnoty můžou být: 0 (neznámé), 1 (místní), 2 (vzdálené), 3 (vyměnitelné), 4 (cloud), 5 (sdílená složka). |
DeviceDestinationLocationType |
int |
Označuje typ umístění, ke kterému se koncový bod připojuje. hodnoty můžou být: 0 (neznámé), 1 (místní), 2 (vzdálené), 3 (vyměnitelné), 4 (cloud), 5 (sdílená složka). |
IrmPolicyMatchInfo |
dynamic |
Podrobnosti o shodách zásad řízení insiderských rizik pro obsah, který je součástí události; ve formátu pole JSON |
UnallowedUrlDomains |
string |
Weby nebo adresy URL služeb zahrnuté do této události, které jsou v globálním nastavení Správy rizik programu Insider nakonfigurované jako Nepovolené |
ExternalUrlDomains |
string |
Weby nebo adresy URL služeb, které se účastní této události a které jsou klasifikovány jako externí v globálním nastavení řízení insiderských rizik |
UrlDomainInfo |
string |
Podrobnosti o webových stránkách nebo adresách URL služeb, které jsou součástí události |
SourceUrlDomain |
string |
Doména, ze které pochází signály zařízení a e-mailu |
TargetUrlDomain |
string |
Doména, ve které byl obsah sdílen nebo kam uživatel přešel |
EmailAttachmentCount |
int |
Počet e-mailových příloh |
EmailAttachmentInfo |
dynamic |
Podrobnosti o e-mailových přílohách; ve formátu pole JSON |
InternetMessageId |
string |
Veřejný identifikátor e-mailu nebo zprávy Teams, který je nastaven odesílajícím e-mailovým systémem |
NetworkMessageId |
guid |
Jedinečný identifikátor e-mailu vygenerovaný Microsoftem 365 |
EmailSubject |
string |
Předmět e-mailu |
ObjectId |
string |
Jedinečný identifikátor objektu, na který byla zaznamenaná akce použita, v případě souborů zahrnuje příponu. |
ObjectName |
string |
Název objektu, u kterého byla zaznamenaná akce použita, v případě souborů obsahuje příponu |
ObjectType |
string |
Typ objektu, jako je soubor nebo složka, u kterého byla zaznamenaná akce použita |
ObjectSize |
int |
Velikost objektu v bajtech |
IsHidden |
bool |
Označuje, jestli uživatel označil obsah jako skrytý (Pravda) nebo ne (Nepravda). |
ActivityId |
guid |
Jedinečný identifikátor protokolu aktivit |
ActionType |
string |
Typ aktivity, která aktivovala událost |
SensitiveInfoTypeInfo |
dynamic |
Podrobnosti o citlivých typech informací ochrany před únikem informací zjištěných v ovlivněných prostředcích |
SensitivityLabelId |
string |
Aktuální ID popisku citlivosti microsoftu Information Protection přidružené k položce |
SharepointSiteSensitivityLabelIds |
string |
Aktuální MICROSOFT Information Protection ID popisku citlivosti přiřazené nadřazené položce související s aktivitami SharePointu |
PreviousSensitivityLabelId |
string |
Předchozí microsoft Information Protection ID popisku citlivosti přidružené k položce v případě aktivit, kdy se popisek citlivosti změnil |
Operation |
string |
Název aktivity správce |
RecipientEmailAddress |
string |
Email adresu příjemce nebo e-mailovou adresu příjemce po rozšíření distribučního seznamu |
SiteUrl |
string |
Adresa URL webu, na kterém se nachází soubor nebo složka, ke které uživatel přistupuje |
SourceRelativeUrl |
string |
Adresa URL složky, která obsahuje soubor, ke kterému uživatel přistupuje |
TargetFilePath |
string |
Cílová cesta k souboru aktivit koncových bodů |
PrinterName |
string |
Seznam tiskáren zapojených do chování |
Workload |
string |
Služba Microsoft 365, ve které došlo k události |
IrmActionCategory |
enum |
Jedinečná hodnota výčtu označující kategorii aktivity v Správa insiderských rizik Microsoft Purview |
SequenceCorrelationId |
string |
Podrobnosti o sekvenční aktivitě |
CloudAppAlertId |
string |
Jedinečný identifikátor výstrahy v Microsoft Defender for Cloud Apps |
Související články
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.