DataSecurityEvents (anteprima)
Si applica a:
- Microsoft Defender XDR
- Microsoft Purview
Importante
Alcune informazioni fanno riferimento alle caratteristiche del prodotto prima del rilascio, e possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
La DataSecurityEvents tabella nello schema di ricerca avanzata contiene informazioni sulle attività utente che violano i criteri predefiniti o definiti dall'utente nella suite di soluzioni Microsoft Purview. Ogni log rappresenta una singola attività utente arricchita con rilevamenti Microsoft proprietari (come i tipi di informazioni sensibili) e etichette di arricchimento definite dall'utente, ad esempio categorie di dominio, etichette di riservatezza e altre.
Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
ApplicationNames |
string |
Elenco dei nomi di applicazione usati o correlati all'evento |
DeviceId |
string |
Identificatore univoco per il dispositivo in Microsoft Defender per endpoint |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
AadDeviceId |
guid |
Identificatore univoco per il dispositivo in Microsoft Entra ID |
IsManagedDevice |
bool |
Indica se il dispositivo è gestito dall'organizzazione (True) o meno (False) |
DlpPolicyMatchInfo |
string |
Informazioni sull'elenco dei criteri di prevenzione della perdita dei dati (DLP) corrispondenti a questo evento |
DlpPolicyEnforcementMode |
int |
Indica i criteri di prevenzione della perdita dei dati applicati; il valore può essere: 0 (Nessuno), 1 (Controllo), 2 (Avviso), 3 (Avviso e bypass), 4 (Blocco), 5 (Consenti) |
DlpPolicyRuleMatchInfo |
dynamic |
Dettagli delle regole di prevenzione della perdita dei dati (DLP) corrispondenti a questo evento; in formato matrice JSON |
FileRenameInfo |
string |
Dettagli del file (nome file ed estensione) prima di questo evento |
PhysicalAccessPointId |
string |
Identificatore univoco per il punto di accesso fisico |
PhysicalAccessPointName |
string |
Nome del punto di accesso fisico |
PhysicalAccessStatus |
string |
Stato dell'accesso fisico, indipendentemente dal fatto che abbia avuto esito positivo o negativo |
PhysicalAssetTag |
string |
Tag assegnato all'asset come configurato nelle impostazioni globali di Microsoft Insider Risk Management |
RemovableMediaManufacturer |
string |
Nome del produttore del dispositivo rimovibile |
RemovableMediaModel |
string |
Nome del modello del dispositivo rimovibile |
RemovableMediaSerialNumber |
string |
Numero di serie del dispositivo rimovibile |
TeamsChannelName |
string |
Nome del canale teams |
TeamsChannelType |
string |
Tipo del canale teams |
TeamsTeamName |
string |
Nome del team di Teams |
UserAlternateEmails |
string |
Messaggi di posta elettronica o alias alternativi dell'utente |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
Department |
string |
Nome del reparto a cui appartiene l'utente dell'account |
SourceCodeInfo |
string |
Dettagli del repository del codice sorgente coinvolto nell'evento |
CcPolicyMatchInfo |
dynamic |
Dettagli delle corrispondenze dei criteri di conformità delle comunicazioni per questo evento; in formato matrice JSON |
IPAddress |
string |
Indirizzi IP dei client in cui è stata eseguita l'attività; può contenere più indirizzi IP se correlati agli avvisi di Microsoft Defender for Cloud Apps |
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
DeviceSourceLocationType |
int |
Indica il tipo di posizione da cui provengono i segnali dell'endpoint; I valori possono essere: 0 (sconosciuto), 1 (locale), 2 (remoto), 3 (rimovibile), 4 (cloud), 5 (condivisione file) |
DeviceDestinationLocationType |
int |
Indica il tipo di posizione a cui l'endpoint segnala la connessione; I valori possono essere: 0 (sconosciuto), 1 (locale), 2 (remoto), 3 (rimovibile), 4 (cloud), 5 (condivisione file) |
IrmPolicyMatchInfo |
dynamic |
Dettagli delle corrispondenze dei criteri di Gestione dei rischi Insider per il contenuto coinvolto nell'evento; in formato matrice JSON |
UnallowedUrlDomains |
string |
Siti Web o URL del servizio coinvolti in questo evento configurati come non consentiti nelle impostazioni globali di Insider Risk Management |
ExternalUrlDomains |
string |
Siti Web o URL del servizio coinvolti in questo evento classificati come esterni nelle impostazioni globali di Gestione dei rischi Insider |
UrlDomainInfo |
string |
Dettagli sui siti Web o sugli URL del servizio coinvolti nell'evento |
SourceUrlDomain |
string |
Dominio in cui hanno avuto origine i segnali del dispositivo e della posta elettronica |
TargetUrlDomain |
string |
Dominio con cui il contenuto è stato condiviso o in cui l'utente ha eseguito l'esplorazione |
EmailAttachmentCount |
int |
Numero di allegati di posta elettronica |
EmailAttachmentInfo |
dynamic |
Dettagli degli allegati di posta elettronica; in formato matrice JSON |
InternetMessageId |
string |
Identificatore pubblico per il messaggio di posta elettronica o teams impostato dal sistema di posta elettronica di invio |
NetworkMessageId |
guid |
Identificatore univoco per il messaggio di posta elettronica, generato da Microsoft 365 |
EmailSubject |
string |
Oggetto del messaggio di posta elettronica |
ObjectId |
string |
Identificatore univoco dell'oggetto a cui è stata applicata l'azione registrata, nel caso di file, include l'estensione |
ObjectName |
string |
Nome dell'oggetto a cui è stata applicata l'azione registrata, nel caso di file, include l'estensione |
ObjectType |
string |
Tipo di oggetto, ad esempio un file o una cartella, a cui è stata applicata l'azione registrata |
ObjectSize |
int |
Dimensioni dell'oggetto in byte |
IsHidden |
bool |
Indica se l'utente ha contrassegnato il contenuto come nascosto (True) o meno (False) |
ActivityId |
guid |
Identificatore univoco del log attività |
ActionType |
string |
Tipo di attività che ha attivato l'evento |
SensitiveInfoTypeInfo |
dynamic |
Dettagli dei tipi di informazioni sensibili di Prevenzione della perdita dei dati rilevati nell'asset interessato |
SensitivityLabelId |
string |
L'ID dell'etichetta di riservatezza di Microsoft Information Protection corrente associato all'elemento |
SharepointSiteSensitivityLabelIds |
string |
L'ID dell'etichetta di riservatezza di Microsoft Information Protection corrente assegnato al sito padre dell'elemento correlato alle attività di SharePoint |
PreviousSensitivityLabelId |
string |
L'ID dell'etichetta di riservatezza precedente di Microsoft Information Protection associato all'elemento in caso di attività in cui è stata modificata l'etichetta di riservatezza |
Operation |
string |
Nome dell'attività di amministratore |
RecipientEmailAddress |
string |
Indirizzo di posta elettronica del destinatario o indirizzo di posta elettronica del destinatario dopo l'espansione della lista di distribuzione |
SiteUrl |
string |
URL del sito in cui si trova il file o la cartella a cui l'utente accede |
SourceRelativeUrl |
string |
URL della cartella che contiene il file a cui l'utente accede |
TargetFilePath |
string |
Percorso del file di destinazione delle attività dell'endpoint |
PrinterName |
string |
Elenco delle stampanti coinvolte nel comportamento |
Workload |
string |
Servizio Microsoft 365 in cui si è verificato l'evento |
IrmActionCategory |
enum |
Valore di enumerazione univoco che indica la categoria di attività in Gestione dei rischi Insider Microsoft Purview |
SequenceCorrelationId |
string |
Dettagli dell'attività della sequenza |
CloudAppAlertId |
string |
Identificatore univoco per l'avviso in Microsoft Defender for Cloud Apps |
Articoli correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Comprensione dello schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.