DataSecurityBehaviors (プレビュー)
適用対象:
- Microsoft Defender XDR
- Microsoft Purview
重要
一部の情報は、市販される前に大幅に変更される可能性があるプレリリース製品に関するものです。 Microsoft は、ここに記載された情報に関して、明示または黙示を問わず、いかなる保証も行いません。
高度なハンティング スキーマのDataSecurityBehaviors テーブルには、Microsoft Purview ソリューション スイートで構成されているユーザー定義ポリシーまたは既定のポリシーに違反する疑わしいユーザーの動作に関する分析情報が含まれています。
分析情報は、流出、難読化、AI アプリケーションとの危険な相互作用などの、さまざまなデータ セキュリティ関連の動作をカバーしています。 分析情報は、予定表の日にユーザーの動作を集計し、ユーザーが行った以前のアクティビティ、ピア グループ アクティビティ、またはその他のアクティビティと比較することによって生成されます。 分析情報では、機密データ、危険な宛先など、さまざまなリスク ピボットの概要もキャプチャされます。
このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
レコードが生成または更新された日時 |
BehaviorId |
string |
動作の一意識別子 |
ActionType |
string |
動作の種類。 Microsoft Purview インサイダー リスク管理によって検出された動作のカタログを参照してください。 |
StartTime |
datetime |
動作に関連する最初のアクティビティの日付と時刻 |
EndTime |
datetime |
動作に関連する最後のアクティビティの日付と時刻 |
AttackTechniques |
string |
MITRE ATT&動作をトリガーしたアクティビティに関連付けられている CK 手法です。 インサイダー リスク管理動作カタログのサブテクニックを参照してください。 |
Categories |
string |
動作によって識別される脅威インジケーターまたは侵害アクティビティの種類 |
ActionCategory |
enum |
イベントをトリガーしたアクションのカテゴリ |
Description |
string |
動作の説明 |
ServiceSource |
string |
動作を識別した製品またはサービス |
DetectionSource |
string |
注目すべきコンポーネントまたはアクティビティを識別した検出テクノロジまたはセンサー |
ActivityCount |
int |
この動作で記録されたユーザー アクティビティ イベントの合計数 |
IsAnomalous |
bool |
この動作が異常かどうかを示します (1) かどうか (0) |
IsContentHidden |
bool |
動作にデバイスの非表示コンテンツが含まれるかどうかを示します |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
AccountEmail |
string |
アカウントのEmailアドレス |
Application |
string |
記録されたアクションを実行したアプリケーション |
DeviceInfo |
dynamic |
デバイス ID、デバイス名、デバイスが関与するイベントの数など、この動作に関係するデバイスのデバイス情報の一覧。JSON 配列形式 |
SensitivityLabelInfo |
dynamic |
関連するコンテンツに割り当てられている Microsoft Information Protection 秘密度ラベルの一意識別子、秘密度ラベルの名前、このラベルに関連する動作のイベントの数など、この動作に関連するコンテンツに割り当てられた秘密度ラベルの一覧。JSON 配列形式 |
SensitiveInfoTypesInfo |
dynamic |
機密情報の種類の一意の識別子、機密情報の種類の名前、この機密情報の種類に関連する動作のイベントの数など、この動作に関連するコンテンツで検出された機密情報の種類の一覧。JSON 配列形式 |
UrlDomainInfo |
dynamic |
URL ドメインの名前、データの方向 (ドメインからの送受信)、URL ドメインの種類 (顧客が構成した、またはウォッチリストに基づく) 、および特定のドメインに関連する動作のイベントの数など、動作に関係する Web サイトまたはサービス URL の一覧。JSON 配列形式 |
SharepointSiteInfo |
dynamic |
SharePoint サイトの一意の識別子、SharePoint サイトの名前、SharePoint サイトに関連する動作のイベントの数など、この動作に関係する SharePoint サイトの一覧。JSON 配列形式 |
RecipientEmailInfo |
dynamic |
受信者のメール アドレス、受信者が関係する動作のイベントの数など、動作に関係する受信者に関する情報の一覧。JSON 配列形式 |
RemovableMediaInfo |
dynamic |
リムーバブル メディア デバイスのシリアル番号、リムーバブル メディア デバイスの製造元、リムーバブル デバイスのモデルなど、動作に関係するリムーバブル メディアの一覧。JSON 配列形式 |
PrinterName |
dynamic |
動作に関係するプリンターの一覧。配列形式 |
PriorityContentMatchInfo |
dynamic |
この動作内で特定された優先度のコンテンツの一覧と、関連する詳細。 優先度のコンテンツ定義は、各 Insider リスク管理ポリシーの管理者によって行われます。 JSON 配列形式で表示されます。 |
関連記事
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。