DataSecurityBehaviors (préversion)
S’applique à :
- Microsoft Defender XDR
- Microsoft Purview
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Le DataSecurityBehaviors tableau du schéma de repérage avancé contient des informations sur les comportements potentiellement suspects des utilisateurs qui violent les stratégies définies par l’utilisateur ou les stratégies par défaut configurées dans la suite de solutions Microsoft Purview.
Insights couvre une gamme de comportements liés à la sécurité des données, tels que les comportements impliquant l’exfiltration, l’obfuscation, les interactions risquées avec les applications IA, etc. Les insights sont générés en agrégeant les comportements des utilisateurs sur un jour calendaire et en les comparant à l’activité précédente, à l’activité de groupe d’homologues ou à d’autres activités effectuées par l’utilisateur. Insights capture également des résumés de divers tableaux croisés dynamiques à risque, tels que les données sensibles, les destinations à risque, etc.
Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure auxquelles l’enregistrement a été généré ou mis à jour |
BehaviorId |
string |
Identificateur unique du comportement |
ActionType |
string |
Type de comportement. Reportez-vous au catalogue des comportements détectés par Gestion des risques internes Microsoft Purview. |
StartTime |
datetime |
Date et heure de la première activité liée au comportement |
EndTime |
datetime |
Date et heure de la dernière activité liée au comportement |
AttackTechniques |
string |
MITRE ATT&techniques CK associées à l’activité qui a déclenché le comportement. Reportez-vous aux sous-technologies dans le catalogue de comportements de gestion des risques internes. |
Categories |
string |
Type d’indicateur de menace ou d’activité de violation identifié par le comportement |
ActionCategory |
enum |
Catégorie d’action qui a déclenché l’événement |
Description |
string |
Description du comportement |
ServiceSource |
string |
Produit ou service qui a identifié le comportement |
DetectionSource |
string |
Technologie de détection ou capteur qui a identifié le composant ou l’activité notable |
ActivityCount |
int |
Nombre total d’événements d’activité utilisateur enregistrés sous ce comportement |
IsAnomalous |
bool |
Indique si ce comportement est anormal (1) ou non (0) |
IsContentHidden |
bool |
Indique si le comportement implique du contenu masqué sur un appareil |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
AccountEmail |
string |
Email adresse du compte |
Application |
string |
Application qui a effectué l’action enregistrée |
DeviceInfo |
dynamic |
Liste des informations sur l’appareil impliqué dans ce comportement, y compris l’ID de l’appareil, le nom de l’appareil et le nombre d’événements dans lesquels l’appareil est impliqué ; au format de tableau JSON |
SensitivityLabelInfo |
dynamic |
Liste des étiquettes de confidentialité affectées au contenu impliqué dans ce comportement, y compris l’identificateur unique de l’étiquette de confidentialité Microsoft Information Protection affectée au contenu associé, le nom de l’étiquette de confidentialité et le nombre d’événements dans le comportement impliquant cette étiquette ; au format de tableau JSON |
SensitiveInfoTypesInfo |
dynamic |
Liste des types d’informations sensibles détectés dans le contenu impliqué dans ce comportement, y compris l’identificateur unique du type d’informations sensibles, le nom du type d’informations sensibles et le nombre d’événements dans le comportement impliquant ce type d’informations sensibles ; au format de tableau JSON |
UrlDomainInfo |
dynamic |
Liste des sites web ou URL de service impliqués dans le comportement, y compris le nom du domaine d’URL, la direction des données (envoyées ou reçues à partir du domaine), le type de domaine d’URL (configuré par le client ou basé sur des watchlists) et le nombre d’événements dans le comportement impliquant le domaine spécifique ; au format de tableau JSON |
SharepointSiteInfo |
dynamic |
Liste des sites SharePoint impliqués dans ce comportement, y compris l’identificateur unique du site SharePoint, le nom du site SharePoint et le nombre d’événements dans le comportement impliquant le site SharePoint ; au format de tableau JSON |
RecipientEmailInfo |
dynamic |
Liste des informations sur le destinataire impliqué dans le comportement, y compris l’adresse e-mail du destinataire et le nombre d’événements dans le comportement impliquant le destinataire ; au format de tableau JSON |
RemovableMediaInfo |
dynamic |
Liste des supports amovibles impliqués dans le comportement, y compris le numéro de série du périphérique multimédia amovible, le fabricant du périphérique multimédia amovible et le modèle de l’appareil amovible ; au format de tableau JSON |
PrinterName |
dynamic |
Liste des imprimantes impliquées dans le comportement ; au format tableau |
PriorityContentMatchInfo |
dynamic |
Liste des correspondances de contenu prioritaire identifiées dans ce comportement et les détails associés. Les définitions de contenu prioritaire sont effectuées par les administrateurs pour chaque stratégie de gestion des risques internes. Affiché au format de tableau JSON. |
Articles connexes
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.