DataSecurityEvents (prøveversion)
Gælder for:
- Microsoft Defender XDR
- Microsoft Purview
Vigtigt!
Nogle oplysninger er relateret til et forhåndsudgivet produkt, som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, hverken udtrykkelige eller underforståede, med hensyn til de oplysninger, der gives her.
Tabellen DataSecurityEvents i det avancerede jagtskema indeholder oplysninger om brugeraktiviteter, der overtræder brugerdefinerede politikker eller standardpolitikker i Microsoft Purview-pakken af løsninger. Hver log repræsenterer en enkelt brugeraktivitet, der er beriget med beskyttede Microsoft-registreringer (f.eks. følsomme infotyper) og brugerdefinerede berigelsesmærkater som domænekategorier, følsomhedsmærkater og andre.
Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
ApplicationNames |
string |
Liste over programnavne, der bruges eller er relateret til hændelsen |
DeviceId |
string |
Entydigt id for enheden i Microsoft Defender for Endpoint |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
AadDeviceId |
guid |
Entydigt id for enheden i Microsoft Entra ID |
IsManagedDevice |
bool |
Angiver, om enheden administreres af organisationen (Sand) eller ej (Falsk) |
DlpPolicyMatchInfo |
string |
Oplysninger om listen over DLP-politikker (forebyggelse af datatab), der matcher denne hændelse |
DlpPolicyEnforcementMode |
int |
Angiver den politik til forebyggelse af datatab, der blev gennemtvunget. værdien kan være: 0 (Ingen), 1 (Overvågning), 2 (Advar), 3 (Advar og spring over), 4 (blok), 5 (Tillad) |
DlpPolicyRuleMatchInfo |
dynamic |
Detaljer om de DLP-regler (forebyggelse af datatab), der stemmer overens med denne hændelse. i JSON-matrixformat |
FileRenameInfo |
string |
Oplysninger om filen (filnavn og filtypenavn) før denne hændelse |
PhysicalAccessPointId |
string |
Entydigt id for det fysiske adgangspunkt |
PhysicalAccessPointName |
string |
Navnet på det fysiske adgangspunkt |
PhysicalAccessStatus |
string |
Status for fysisk adgang, uanset om det lykkedes eller mislykkedes |
PhysicalAssetTag |
string |
Mærke tildelt til aktivet som konfigureret i globale indstillinger for Microsoft Insider Risk Management |
RemovableMediaManufacturer |
string |
Producentnavn på den flytbare enhed |
RemovableMediaModel |
string |
Modelnavn på den flytbare enhed |
RemovableMediaSerialNumber |
string |
Serienummer på den flytbare enhed |
TeamsChannelName |
string |
Navn på Teams-kanalen |
TeamsChannelType |
string |
Teams-kanalens type |
TeamsTeamName |
string |
Navnet på Teams-teamet |
UserAlternateEmails |
string |
Alternative mails eller aliasser for brugeren |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
Department |
string |
Navnet på den afdeling, som kontobrugeren tilhører |
SourceCodeInfo |
string |
Oplysninger om det kildekodelager, der er involveret i hændelsen |
CcPolicyMatchInfo |
dynamic |
Detaljer om politikken for overholdelse af kommunikation for denne hændelse. i JSON-matrixformat |
IPAddress |
string |
IP-adresser på de klienter, som aktiviteten blev udført på; kan indeholde flere IP-adresser, hvis det er relateret til Microsoft Defender for Cloud Apps beskeder |
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
DeviceSourceLocationType |
int |
Angiver den type placering, som slutpunktets signaler stammer fra. værdier kan være: 0 (ukendt), 1 (lokal), 2 (fjern), 3 (Flytbart), 4 (Cloud), 5 (filshare) |
DeviceDestinationLocationType |
int |
Angiver den type placering, hvor slutpunktet signalerer, der er oprettet forbindelse til. værdier kan være: 0 (ukendt), 1 (lokal), 2 (fjern), 3 (Flytbart), 4 (Cloud), 5 (filshare) |
IrmPolicyMatchInfo |
dynamic |
Oplysninger om insiderrisikostyringspolitik matcher for det indhold, der er involveret i hændelsen. i JSON-matrixformat |
UnallowedUrlDomains |
string |
Websteder eller tjeneste-URL-adresser, der er involveret i denne hændelse, og som er konfigureret som Ikke tilladt i globale indstillinger for Insider Risk Management |
ExternalUrlDomains |
string |
Websteder eller tjeneste-URL-adresser, der er involveret i denne hændelse, som er klassificeret som eksterne i globale indstillinger for styring af insiderrisiko |
UrlDomainInfo |
string |
Oplysninger om de websteder eller tjeneste-URL-adresser, der er involveret i begivenheden |
SourceUrlDomain |
string |
Domæne, hvor enheden og mailsignalerne stammer fra |
TargetUrlDomain |
string |
Domæne, hvor indholdet blev delt med, eller brugeren har gennemset til |
EmailAttachmentCount |
int |
Antal vedhæftede filer i mails |
EmailAttachmentInfo |
dynamic |
Detaljer om vedhæftede filer i mails. i JSON-matrixformat |
InternetMessageId |
string |
Offentlig identifikator for den mail eller Teams-meddelelse, der er angivet af det sendende mailsystem |
NetworkMessageId |
guid |
Entydigt id for mailen, der genereres af Microsoft 365 |
EmailSubject |
string |
Mailens emne |
ObjectId |
string |
Entydigt id for det objekt, som den registrerede handling blev anvendt på, i tilfælde af filer, indeholder det filtypenavnet |
ObjectName |
string |
Navnet på det objekt, som den registrerede handling blev anvendt på, hvis der er tale om filer, indeholder filtypenavnet |
ObjectType |
string |
Objekttype, f.eks. en fil eller mappe, som den registrerede handling blev anvendt på |
ObjectSize |
int |
Objektets størrelse i byte |
IsHidden |
bool |
Angiver, om brugeren har markeret indholdet som skjult (Sand) eller ej (Falsk) |
ActivityId |
guid |
Entydigt id for aktivitetsloggen |
ActionType |
string |
Aktivitetstype, der udløste hændelsen |
SensitiveInfoTypeInfo |
dynamic |
Oplysninger om følsomme oplysningstyper til forebyggelse af datatab, der er registreret i det påvirkede aktiv |
SensitivityLabelId |
string |
Det aktuelle Følsomhedsmærkat-id for Microsoft Information Protection, der er knyttet til elementet |
SharepointSiteSensitivityLabelIds |
string |
Det aktuelle Microsoft Information Protection følsomhedsmærkat-id, der er tildelt det overordnede websted for det element, der er relateret til SharePoint-aktiviteter |
PreviousSensitivityLabelId |
string |
Det forrige Microsoft Information Protection følsomhedsmærkat-id, der er knyttet til elementet, i tilfælde af aktiviteter, hvor følsomhedsmærkaten blev ændret |
Operation |
string |
Navn på administratoraktiviteten |
RecipientEmailAddress |
string |
Mailadresse på modtageren eller mailadresse på modtageren efter udvidelse af distributionsliste |
SiteUrl |
string |
URL-adressen på det websted, hvor filen eller mappen, som brugeren har adgang til, er placeret |
SourceRelativeUrl |
string |
URL-adressen til den mappe, der indeholder den fil, som brugeren har åbnet |
TargetFilePath |
string |
Sti til destinationsfil for slutpunktsaktiviteter |
PrinterName |
string |
Liste over printere, der er involveret i funktionsmåden |
Workload |
string |
Microsoft 365-tjenesten, hvor hændelsen fandt sted |
IrmActionCategory |
enum |
En entydig optællingsværdi, der angiver aktivitetskategorien i Microsoft Purview Styring af insider-risiko |
SequenceCorrelationId |
string |
Detaljer om sekvensaktiviteten |
CloudAppAlertId |
string |
Entydigt id for beskeden i Microsoft Defender for Cloud Apps |
Relaterede artikler
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.