DataSecurityEvents (préversion)
S’applique à :
- Microsoft Defender XDR
- Microsoft Purview
Importante
Certaines informations ont trait à un produit préalablement publié, qui peut être modifié de manière significative avant sa publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici.
Le DataSecurityEvents tableau du schéma de repérage avancé contient des informations sur les activités des utilisateurs qui violent les stratégies définies par l’utilisateur ou par défaut dans la suite de solutions Microsoft Purview. Chaque journal représente une activité utilisateur unique enrichie de détections Microsoft propriétaires (comme les types d’informations sensibles) et d’étiquettes d’enrichissement définies par l’utilisateur comme les catégories de domaine, les étiquettes de confidentialité et autres.
Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
ApplicationNames |
string |
Liste des noms d’applications utilisés ou liés à l’événement |
DeviceId |
string |
Identificateur unique de l’appareil dans Microsoft Defender pour point de terminaison |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
AadDeviceId |
guid |
Identificateur unique de l’appareil dans Microsoft Entra ID |
IsManagedDevice |
bool |
Indique si l’appareil est géré par l’organization (True) ou non (False) |
DlpPolicyMatchInfo |
string |
Informations sur la liste des stratégies de protection contre la perte de données (DLP) correspondant à cet événement |
DlpPolicyEnforcementMode |
int |
Indique la stratégie de protection contre la perte de données qui a été appliquée ; la valeur peut être : 0 (Aucun), 1 (Audit), 2 (Avertir), 3 (Avertir et contourner), 4 (Bloquer), 5 (Autoriser) |
DlpPolicyRuleMatchInfo |
dynamic |
Détails des règles de protection contre la perte de données (DLP) qui correspondent à cet événement ; au format de tableau JSON |
FileRenameInfo |
string |
Détails du fichier (nom de fichier et extension) avant cet événement |
PhysicalAccessPointId |
string |
Identificateur unique du point d’accès physique |
PhysicalAccessPointName |
string |
Nom du point d’accès physique |
PhysicalAccessStatus |
string |
État de l’accès physique, qu’il ait réussi ou échoué |
PhysicalAssetTag |
string |
Étiquette affectée à la ressource telle que configurée dans les paramètres globaux de Gestion des risques internes Microsoft |
RemovableMediaManufacturer |
string |
Nom du fabricant de l’appareil amovible |
RemovableMediaModel |
string |
Nom du modèle de l’appareil amovible |
RemovableMediaSerialNumber |
string |
Numéro de série de l’appareil amovible |
TeamsChannelName |
string |
Nom du canal Teams |
TeamsChannelType |
string |
Type du canal Teams |
TeamsTeamName |
string |
Nom de l’équipe Teams |
UserAlternateEmails |
string |
Autres e-mails ou alias de l’utilisateur |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
Department |
string |
Nom du service auquel appartient l’utilisateur du compte |
SourceCodeInfo |
string |
Détails du référentiel de code source impliqué dans l’événement |
CcPolicyMatchInfo |
dynamic |
Détails des correspondances de la stratégie de conformité des communications pour cet événement ; au format de tableau JSON |
IPAddress |
string |
Adresses IP des clients sur lesquels l’activité a été effectuée ; peut contenir plusieurs adresses IP si elles sont liées à des alertes Microsoft Defender for Cloud Apps |
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
DeviceSourceLocationType |
int |
Indique le type d’emplacement d’où proviennent les signaux de point de terminaison ; les valeurs peuvent être : 0 (Inconnu), 1 (Local), 2 (Distant), 3 (Amovible), 4 (Cloud), 5 (Partage de fichiers) |
DeviceDestinationLocationType |
int |
Indique le type d’emplacement où le point de terminaison signale la connexion ; les valeurs peuvent être : 0 (Inconnu), 1 (Local), 2 (Distant), 3 (Amovible), 4 (Cloud), 5 (Partage de fichiers) |
IrmPolicyMatchInfo |
dynamic |
Détails des correspondances de stratégie de gestion des risques internes pour le contenu impliqué dans l’événement ; au format de tableau JSON |
UnallowedUrlDomains |
string |
Sites web ou URL de service impliqués dans cet événement configuré comme non autorisé dans les paramètres globaux de gestion des risques internes |
ExternalUrlDomains |
string |
Sites web ou URL de service impliqués dans cet événement qui est classé comme externe dans les paramètres globaux de gestion des risques internes |
UrlDomainInfo |
string |
Détails sur les sites web ou les URL de service impliqués dans l’événement |
SourceUrlDomain |
string |
Domaine d’où proviennent les signaux de l’appareil et de l’e-mail |
TargetUrlDomain |
string |
Domaine avec lequel le contenu a été partagé ou vers lequel l’utilisateur a parcouru |
EmailAttachmentCount |
int |
Nombre de pièces jointes d’e-mail |
EmailAttachmentInfo |
dynamic |
Détails des pièces jointes des e-mails ; au format de tableau JSON |
InternetMessageId |
string |
Identificateur public pour l’e-mail ou le message Teams défini par le système de messagerie d’envoi |
NetworkMessageId |
guid |
Identificateur unique de l’e-mail, généré par Microsoft 365 |
EmailSubject |
string |
Objet de l’e-mail |
ObjectId |
string |
Identificateur unique de l’objet auquel l’action enregistrée a été appliquée, dans le cas de fichiers, il inclut l’extension |
ObjectName |
string |
Nom de l’objet auquel l’action enregistrée a été appliquée, dans le cas de fichiers, il inclut l’extension |
ObjectType |
string |
Type d’objet, tel qu’un fichier ou un dossier, auquel l’action enregistrée a été appliquée |
ObjectSize |
int |
Taille de l’objet en octets |
IsHidden |
bool |
Indique si l’utilisateur a marqué le contenu comme masqué (True) ou non (False) |
ActivityId |
guid |
Identificateur unique du journal d’activité |
ActionType |
string |
Type d’activité qui a déclenché l’événement |
SensitiveInfoTypeInfo |
dynamic |
Détails des types d’informations sensibles de protection contre la perte de données détectés dans la ressource impactée |
SensitivityLabelId |
string |
L’ID d’étiquette de confidentialité Microsoft Information Protection actuel associé à l’élément |
SharepointSiteSensitivityLabelIds |
string |
L’ID d’étiquette de confidentialité Microsoft Information Protection actuellement affecté au site parent de l’élément lié aux activités SharePoint |
PreviousSensitivityLabelId |
string |
L’id d’étiquette de confidentialité Microsoft Information Protection précédent associé à l’élément dans le cas d’activités où l’étiquette de confidentialité a été modifiée |
Operation |
string |
Nom de l’activité d’administrateur |
RecipientEmailAddress |
string |
Adresse e-mail du destinataire ou adresse e-mail du destinataire après extension de la liste de distribution |
SiteUrl |
string |
URL du site où se trouve le fichier ou le dossier auquel l’utilisateur accède. |
SourceRelativeUrl |
string |
URL du dossier qui contient le fichier accessible par l’utilisateur |
TargetFilePath |
string |
Chemin d’accès au fichier cible des activités de point de terminaison |
PrinterName |
string |
Liste des imprimantes impliquées dans le comportement |
Workload |
string |
Le service Microsoft 365 où l’événement s’est produit |
IrmActionCategory |
enum |
Valeur d’énumération unique indiquant la catégorie d’activité dans Gestion des risques internes Microsoft Purview |
SequenceCorrelationId |
string |
Détails de l’activité de séquence |
CloudAppAlertId |
string |
Identificateur unique de l’alerte dans Microsoft Defender for Cloud Apps |
Articles connexes
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.