DataSecurityBehaviors (anteprima)
Si applica a:
- Microsoft Defender XDR
- Microsoft Purview
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La DataSecurityBehaviors tabella nello schema di ricerca avanzata contiene informazioni dettagliate sui comportamenti utente potenzialmente sospetti che violano i criteri predefiniti o definiti dall'utente configurati nella suite di soluzioni Microsoft Purview.
Le informazioni dettagliate coprono una gamma di comportamenti correlati alla sicurezza dei dati, ad esempio comportamenti che comportano esfiltrazione, offuscamento, interazioni rischiose con le applicazioni di intelligenza artificiale e altri. Le informazioni dettagliate vengono generate aggregando i comportamenti degli utenti in un giorno di calendario e confrontandoli con attività precedenti, attività del gruppo di peer o altre attività eseguite dall'utente. Le informazioni dettagliate acquisiscono anche riepiloghi di vari pivot di rischio, ad esempio dati sensibili, destinazioni rischiose e simili.
Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui il record è stato generato o aggiornato |
BehaviorId |
string |
Identificatore univoco per il comportamento |
ActionType |
string |
Tipo di comportamento. Fare riferimento al catalogo dei comportamenti rilevati da Gestione dei rischi Insider Microsoft Purview. |
StartTime |
datetime |
Data e ora della prima attività correlata al comportamento |
EndTime |
datetime |
Data e ora dell'ultima attività correlata al comportamento |
AttackTechniques |
string |
MITRE ATT&tecniche CK associate all'attività che ha attivato il comportamento. Fare riferimento alle tecniche secondarie nel catalogo dei comportamenti di gestione dei rischi Insider. |
Categories |
string |
Tipo di indicatore di minaccia o attività di violazione identificata dal comportamento |
ActionCategory |
enum |
Categoria di azione che ha attivato l'evento |
Description |
string |
Descrizione del comportamento |
ServiceSource |
string |
Prodotto o servizio che ha identificato il comportamento |
DetectionSource |
string |
Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti |
ActivityCount |
int |
Totale eventi di attività utente registrati in questo comportamento |
IsAnomalous |
bool |
Indica se questo comportamento è anomalo (1) o meno (0) |
IsContentHidden |
bool |
Indica se il comportamento comporta contenuti nascosti in un dispositivo |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountEmail |
string |
Email indirizzo dell'account |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
DeviceInfo |
dynamic |
Elenco di informazioni sul dispositivo coinvolto in questo comportamento, inclusi ID dispositivo, nome del dispositivo e numero di eventi in cui il dispositivo è coinvolto; in formato matrice JSON |
SensitivityLabelInfo |
dynamic |
Elenco di etichette di riservatezza assegnate al contenuto coinvolto in questo comportamento, incluso l'identificatore univoco per l'etichetta di riservatezza microsoft Information Protection assegnata al contenuto correlato, il nome dell'etichetta di riservatezza e il numero di eventi nel comportamento che coinvolge questa etichetta; in formato matrice JSON |
SensitiveInfoTypesInfo |
dynamic |
Elenco dei tipi di informazioni sensibili rilevati nel contenuto coinvolto in questo comportamento, tra cui l'identificatore univoco per il tipo di informazioni sensibili, il nome del tipo di informazioni sensibili e il numero di eventi nel comportamento che coinvolgono questo tipo di informazioni sensibili; in formato matrice JSON |
UrlDomainInfo |
dynamic |
Elenco di siti Web o URL del servizio coinvolti nel comportamento, tra cui il nome del dominio URL, la direzione dei dati (inviati o ricevuti dal dominio), il tipo di dominio URL (configurato dal cliente o basato su watchlist) e il numero di eventi nel comportamento che coinvolge il dominio specifico; in formato matrice JSON |
SharepointSiteInfo |
dynamic |
Elenco dei siti di SharePoint coinvolti in questo comportamento, inclusi l'identificatore univoco per il sito di SharePoint, il nome del sito di SharePoint e il numero di eventi nel comportamento che coinvolge il sito di SharePoint; in formato matrice JSON |
RecipientEmailInfo |
dynamic |
Elenco di informazioni sul destinatario coinvolto nel comportamento, incluso l'indirizzo di posta elettronica del destinatario e il numero di eventi nel comportamento che coinvolge il destinatario; in formato matrice JSON |
RemovableMediaInfo |
dynamic |
Elenco di tutti i supporti rimovibili coinvolti nel comportamento, tra cui il numero di serie del dispositivo multimediale rimovibile, il produttore del dispositivo multimediale rimovibile e il modello del dispositivo rimovibile; in formato matrice JSON |
PrinterName |
dynamic |
Elenco delle stampanti coinvolte nel comportamento; in formato matrice |
PriorityContentMatchInfo |
dynamic |
Elenco di corrispondenze di contenuto prioritario identificate all'interno di questo comportamento e dei relativi dettagli associati. Le definizioni di contenuto prioritario vengono eseguite dagli amministratori per ogni criterio di gestione dei rischi Insider. Visualizzato in formato matrice JSON. |
Articoli correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Comprensione dello schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.