DataSecurityBehaviors (prøveversion)
Gælder for:
- Microsoft Defender XDR
- Microsoft Purview
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Tabellen DataSecurityBehaviors i det avancerede jagtskema indeholder indsigt i potentielt mistænkelig brugeradfærd, der overtræder de brugerdefinerede politikker eller standardpolitikker, der er konfigureret i Microsoft Purview-pakken med løsninger.
Indsigter dækker en række funktionsmåder, der er relateret til datasikkerhed, f.eks. funktionsmåder, der involverer eksfiltration, tilsløring, risikable interaktioner med AI-programmer og andre. Indsigt genereres ved at aggregere brugeradfærd over en kalenderdag og sammenligne dem med tidligere aktivitet, peergruppeaktivitet eller andre aktiviteter, der udføres af brugeren. Indsigt registrerer også oversigter over forskellige risikopivots, f.eks. følsomme data, risikable destinationer og lignende.
Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for oprettelse eller opdatering af posten |
BehaviorId |
string |
Entydigt id for funktionsmåden |
ActionType |
string |
Funktionsmådetype. Se kataloget over funktionsmåder, der er registreret af Microsoft Purview Styring af insider-risiko. |
StartTime |
datetime |
Dato og klokkeslæt for den første aktivitet, der er relateret til funktionsmåden |
EndTime |
datetime |
Dato og klokkeslæt for den sidste aktivitet, der er relateret til funktionsmåden |
AttackTechniques |
string |
MITRE ATT&CK-teknikker, der er knyttet til den aktivitet, der udløste funktionsmåden. Se undertekniques i kataloget over funktionsmåder for styring af insiderrisiko. |
Categories |
string |
Type trusselsindikator eller brudaktivitet, der identificeres af adfærden |
ActionCategory |
enum |
Kategori for handling, der udløste hændelsen |
Description |
string |
Beskrivelse af funktionsmåden |
ServiceSource |
string |
Produkt eller tjeneste, der identificerede funktionsmåden |
DetectionSource |
string |
Registreringsteknologi eller sensor, der identificerer den bemærkelsesværdige komponent eller aktivitet |
ActivityCount |
int |
Samlet antal hændelser for brugeraktivitet, der er registreret under denne funktionsmåde |
IsAnomalous |
bool |
Angiver, om denne funktionsmåde er unormal (1) eller ej (0) |
IsContentHidden |
bool |
Angiver, om funktionsmåden omfatter skjult indhold på en enhed |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
AccountEmail |
string |
Kontoens mailadresse |
Application |
string |
Program, der udførte den registrerede handling |
DeviceInfo |
dynamic |
Liste over enhedsoplysninger for den enhed, der er involveret i denne funktionsmåde, herunder enheds-id, enhedsnavn og antallet af hændelser, som enheden er involveret i. i JSON-matrixformat |
SensitivityLabelInfo |
dynamic |
Liste over følsomhedsmærkater, der er tildelt til indhold, der er involveret i denne funktionsmåde, herunder det entydige id for Microsoft Information Protection følsomhedsmærkat, der er tildelt til det relaterede indhold, navnet på følsomhedsmærkaten og antallet af hændelser i funktionsmåden, der involverer denne mærkat; i JSON-matrixformat |
SensitiveInfoTypesInfo |
dynamic |
Liste over følsomme oplysningstyper, der er registreret i det indhold, der er involveret i denne funktionsmåde, herunder det entydige id for den følsomme infotype, navnet på typen af følsomme oplysninger og antallet af hændelser i funktionsmåden, der involverer denne følsomme infotype. i JSON-matrixformat |
UrlDomainInfo |
dynamic |
Liste over websteder eller tjeneste-URL-adresser, der er involveret i funktionsmåden, herunder navnet på URL-domænet, dataretningen (sendt eller modtaget fra domænet), URL-domænetype (kundekonfigureret eller baseret på visningslister) og antallet af hændelser i funktionsmåden, der involverer det specifikke domæne. i JSON-matrixformat |
SharepointSiteInfo |
dynamic |
Liste over SharePoint-websteder, der er involveret i denne funktionsmåde, herunder det entydige id for SharePoint-webstedet, navnet på SharePoint-webstedet og antallet af hændelser i funktionsmåden, der involverer SharePoint-webstedet. i JSON-matrixformat |
RecipientEmailInfo |
dynamic |
Liste over oplysninger om den modtager, der er involveret i funktionsmåden, herunder modtagerens mailadresse og antallet af hændelser i funktionsmåden, der involverer modtageren; i JSON-matrixformat |
RemovableMediaInfo |
dynamic |
Liste over eventuelle flytbare medier, der er involveret i funktionsmåden, herunder serienummeret på den flytbare medieenhed, producenten af den flytbare medieenhed og modellen af den flytbare enhed. i JSON-matrixformat |
PrinterName |
dynamic |
Liste over printere, der er involveret i funktionsmåden. i matrixformat |
PriorityContentMatchInfo |
dynamic |
Liste over prioriterede indholdsforekomster, der er identificeret i denne funktionsmåde, og deres tilknyttede oplysninger. Prioritetsindholdsdefinitioner udføres af administratorerne for hver insiderrisikostyringspolitik. Vises i JSON-matrixformat. |
Relaterede artikler
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.