Compartir a través de

DataSecurityBehaviors (versión preliminar)

  • Artículo

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Purview

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

La DataSecurityBehaviors tabla del esquema de búsqueda avanzada contiene información sobre comportamientos de usuario potencialmente sospechosos que infringen las directivas predeterminadas o definidas por el usuario configuradas en el conjunto de soluciones de Microsoft Purview.

Las conclusiones cubren una serie de comportamientos relacionados con la seguridad de los datos, como los comportamientos relacionados con la filtración, la ofuscación, las interacciones de riesgo con las aplicaciones de inteligencia artificial y otras. La información se genera agregando comportamientos de usuario durante un día natural y comparándolos con la actividad anterior, la actividad del grupo del mismo nivel u otras actividades realizadas por el usuario. Insights también captura resúmenes de varios pivotes de riesgo, como datos confidenciales, destinos de riesgo y similares.

Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se generó o actualizó el registro
BehaviorId string Identificador único del comportamiento
ActionType string Tipo de comportamiento. Consulte el catálogo de comportamientos detectados por Administración de riesgos internos de Microsoft Purview.
StartTime datetime Fecha y hora de la primera actividad relacionada con el comportamiento
EndTime datetime Fecha y hora de la última actividad relacionada con el comportamiento
AttackTechniques string MITRE ATT&técnicas de CK asociadas a la actividad que desencadenó el comportamiento. Consulte las subtecniques en el catálogo de comportamientos de administración de riesgos internos.
Categories string Tipo de indicador de amenaza o actividad de infracción identificada por el comportamiento
ActionCategory enum Categoría de acción que desencadenó el evento
Description string Descripción del comportamiento
ServiceSource string Producto o servicio que identificó el comportamiento
DetectionSource string Tecnología de detección o sensor que identificó el componente o actividad notable
ActivityCount int Total de eventos de actividad de usuario registrados en este comportamiento
IsAnomalous bool Indica si este comportamiento es anómalo (1) o no (0)
IsContentHidden bool Indica si el comportamiento implica contenido oculto en un dispositivo
AccountUpn string Nombre principal de usuario (UPN) de la cuenta
AccountEmail string Email dirección de la cuenta
Application string Aplicación que realizó la acción registrada
DeviceInfo dynamic Lista de información del dispositivo para el dispositivo implicado en este comportamiento, incluido el identificador de dispositivo, el nombre del dispositivo y el número de eventos en los que el dispositivo está implicado; en formato de matriz JSON
SensitivityLabelInfo dynamic Lista de etiquetas de confidencialidad asignadas al contenido implicado en este comportamiento, incluido el identificador único de la etiqueta de confidencialidad de Microsoft Information Protection asignada al contenido relacionado, el nombre de la etiqueta de confidencialidad y el número de eventos en el comportamiento que implica esta etiqueta; en formato de matriz JSON
SensitiveInfoTypesInfo dynamic Lista de tipos de información confidencial detectados en el contenido implicado en este comportamiento, incluido el identificador único para el tipo de información confidencial, el nombre del tipo de información confidencial y el número de eventos en el comportamiento que implican este tipo de información confidencial; en formato de matriz JSON
UrlDomainInfo dynamic Lista de sitios web o direcciones URL de servicio implicados en el comportamiento, incluido el nombre del dominio de dirección URL, la dirección de los datos (enviados o recibidos desde el dominio), el tipo de dominio de dirección URL (configurado por el cliente o basado en listas de reproducción) y el número de eventos en el comportamiento que implica el dominio específico; en formato de matriz JSON
SharepointSiteInfo dynamic Lista de sitios de SharePoint implicados en este comportamiento, incluido el identificador único para el sitio de SharePoint, el nombre del sitio de SharePoint y el número de eventos en el comportamiento que implica el sitio de SharePoint; en formato de matriz JSON
RecipientEmailInfo dynamic Lista de información sobre el destinatario implicado en el comportamiento, incluida la dirección de correo electrónico del destinatario y el número de eventos en el comportamiento que implica al destinatario; en formato de matriz JSON
RemovableMediaInfo dynamic Lista de cualquier medio extraíble implicado en el comportamiento, incluido el número de serie del dispositivo multimedia extraíble, el fabricante del dispositivo multimedia extraíble y el modelo del dispositivo extraíble; en formato de matriz JSON
PrinterName dynamic Lista de impresoras implicadas en el comportamiento; en formato de matriz
PriorityContentMatchInfo dynamic Lista de coincidencias de contenido de prioridad identificadas dentro de este comportamiento y sus detalles asociados. Los administradores realizan definiciones de contenido de prioridad para cada directiva de administración de riesgos de Insider. Se muestra en formato de matriz JSON.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.