DataSecurityEvents (versión preliminar)
Se aplica a:
- Microsoft Defender XDR
- Microsoft Purview
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
La DataSecurityEvents tabla del esquema de búsqueda avanzada contiene información sobre las actividades de usuario que infringen las directivas predeterminadas o definidas por el usuario en el conjunto de soluciones de Microsoft Purview. Cada registro representa una actividad de usuario única enriquecida con detecciones propietarias de Microsoft (como tipos de información confidencial) y etiquetas de enriquecimiento definidas por el usuario, como categorías de dominio, etiquetas de confidencialidad y otras.
Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
ApplicationNames |
string |
Lista de nombres de aplicación usados o relacionados con el evento |
DeviceId |
string |
Identificador único del dispositivo en Microsoft Defender para punto de conexión |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
AadDeviceId |
guid |
Identificador único del dispositivo en Microsoft Entra ID |
IsManagedDevice |
bool |
Indica si la organización administra el dispositivo (True) o no (False) |
DlpPolicyMatchInfo |
string |
Información sobre la lista de directivas de prevención de pérdida de datos (DLP) que coinciden con este evento |
DlpPolicyEnforcementMode |
int |
Indica la directiva de prevención de pérdida de datos que se ha aplicado; el valor puede ser: 0 (Ninguno), 1 (Auditoría), 2 (Advertir), 3 (Advertir y omitir), 4 (Bloquear), 5 (Permitir) |
DlpPolicyRuleMatchInfo |
dynamic |
Detalles de las reglas de prevención de pérdida de datos (DLP) que coincidieron con este evento; en formato de matriz JSON |
FileRenameInfo |
string |
Detalles del archivo (nombre de archivo y extensión) antes de este evento |
PhysicalAccessPointId |
string |
Identificador único del punto de acceso físico |
PhysicalAccessPointName |
string |
Nombre del punto de acceso físico |
PhysicalAccessStatus |
string |
Estado del acceso físico, tanto si se ha realizado correctamente como si ha producido un error |
PhysicalAssetTag |
string |
Etiqueta asignada al recurso tal como se ha configurado en la configuración global de Microsoft Insider Risk Management |
RemovableMediaManufacturer |
string |
Nombre del fabricante del dispositivo extraíble |
RemovableMediaModel |
string |
Nombre del modelo del dispositivo extraíble |
RemovableMediaSerialNumber |
string |
Número de serie del dispositivo extraíble |
TeamsChannelName |
string |
Nombre del canal de Teams |
TeamsChannelType |
string |
Tipo del canal de Teams |
TeamsTeamName |
string |
Nombre del equipo de Teams |
UserAlternateEmails |
string |
Correos electrónicos o alias alternativos del usuario |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
Department |
string |
Nombre del departamento al que pertenece el usuario de la cuenta |
SourceCodeInfo |
string |
Detalles del repositorio de código fuente implicado en el evento |
CcPolicyMatchInfo |
dynamic |
Detalles de las coincidencias de la directiva de cumplimiento de comunicaciones para este evento; en formato de matriz JSON |
IPAddress |
string |
Direcciones IP de los clientes en los que se realizó la actividad; puede contener varias direcciones IP si están relacionadas con alertas de Microsoft Defender for Cloud Apps |
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
DeviceSourceLocationType |
int |
Indica el tipo de ubicación desde la que se originaron las señales de punto de conexión; los valores pueden ser: 0 (Desconocido), 1 (Local), 2 (Remoto), 3 (Extraíble), 4 (Nube), 5 (Recurso compartido de archivos) |
DeviceDestinationLocationType |
int |
Indica el tipo de ubicación a la que se conecta el punto de conexión; los valores pueden ser: 0 (Desconocido), 1 (Local), 2 (Remoto), 3 (Extraíble), 4 (Nube), 5 (Recurso compartido de archivos) |
IrmPolicyMatchInfo |
dynamic |
Detalles de las coincidencias de directivas de Insider Risk Management para el contenido implicado en el evento; en formato de matriz JSON |
UnallowedUrlDomains |
string |
Sitios web o direcciones URL de servicio implicados en este evento configurado como no permitido en la configuración global de Insider Risk Management |
ExternalUrlDomains |
string |
Sitios web o direcciones URL de servicio implicados en este evento que se clasifican como externos en la configuración global de Insider Risk Management |
UrlDomainInfo |
string |
Detalles sobre los sitios web o direcciones URL de servicio implicados en el evento |
SourceUrlDomain |
string |
Dominio donde se originaron el dispositivo y las señales de correo electrónico |
TargetUrlDomain |
string |
Dominio con el que se ha compartido el contenido o al que el usuario ha navegado |
EmailAttachmentCount |
int |
Número de datos adjuntos de correo electrónico |
EmailAttachmentInfo |
dynamic |
Detalles de los datos adjuntos del correo electrónico; en formato de matriz JSON |
InternetMessageId |
string |
Identificador accesible públicamente para el correo electrónico o el mensaje de Teams establecido por el sistema de envío de correo electrónico |
NetworkMessageId |
guid |
Identificador único del correo electrónico, generado por Microsoft 365 |
EmailSubject |
string |
Asunto del correo electrónico. |
ObjectId |
string |
Identificador único del objeto al que se aplicó la acción registrada, en el caso de los archivos, incluye la extensión |
ObjectName |
string |
Nombre del objeto al que se aplicó la acción registrada, en el caso de los archivos, incluye la extensión |
ObjectType |
string |
Tipo de objeto, como un archivo o una carpeta, al que se aplicó la acción registrada |
ObjectSize |
int |
Tamaño del objeto en bytes |
IsHidden |
bool |
Indica si el usuario ha marcado el contenido como oculto (True) o no (False) |
ActivityId |
guid |
Identificador único del registro de actividad |
ActionType |
string |
Tipo de actividad que desencadenó el evento |
SensitiveInfoTypeInfo |
dynamic |
Detalles de los tipos de información confidencial de prevención de pérdida de datos detectados en el recurso afectado |
SensitivityLabelId |
string |
El identificador de etiqueta de confidencialidad actual de Microsoft Information Protection asociado al elemento |
SharepointSiteSensitivityLabelIds |
string |
El identificador de etiqueta de confidencialidad actual de Microsoft Information Protection asignado al sitio primario del elemento relacionado con las actividades de SharePoint |
PreviousSensitivityLabelId |
string |
El identificador de etiqueta de confidencialidad de Microsoft Information Protection anterior asociado al elemento en caso de actividades en las que se cambió la etiqueta de confidencialidad |
Operation |
string |
Nombre de la actividad de administración |
RecipientEmailAddress |
string |
Dirección de correo electrónico del destinatario, después de la expansión de la lista de distribución. |
SiteUrl |
string |
Dirección URL del sitio donde se encuentra el archivo o la carpeta a la que accede el usuario |
SourceRelativeUrl |
string |
Dirección URL de la carpeta que contiene el archivo al que accede el usuario |
TargetFilePath |
string |
Ruta de acceso del archivo de destino de las actividades de punto de conexión |
PrinterName |
string |
Lista de impresoras implicadas en el comportamiento |
Workload |
string |
Servicio de Microsoft 365 donde se produjo el evento |
IrmActionCategory |
enum |
Valor de enumeración único que indica la categoría de actividad de Administración de riesgos internos de Microsoft Purview |
SequenceCorrelationId |
string |
Detalles de la actividad de secuencia |
CloudAppAlertId |
string |
Identificador único de la alerta en Microsoft Defender for Cloud Apps |
Artículos relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.