BehaviorEntities(미리 보기)
적용 대상:
- Microsoft Defender XDR
고급 헌팅 스키마의 테이블에는 BehaviorEntities Microsoft Defender for Cloud Apps 동작에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
중요
테이블은 BehaviorEntities 미리 보기 상태이며 GCC에 사용할 수 없습니다. 이 정보는 상업적으로 릴리스되기 전에 실질적으로 수정될 수 있습니다. Microsoft는 여기에서 제공하는 정보와 관련하여 명시적이거나 묵시적인 어떠한 보증도 제공하지 않습니다. 공유할 피드백이 있나요?
피드백 양식을 작성합니다.
동작은 하나 이상의 원시 이벤트를 기반으로 Microsoft Defender XDR 데이터 형식입니다. 동작은 이벤트에 대한 컨텍스트 인사이트를 제공하며 악의적인 활동을 나타낼 수는 있지만 반드시 그렇지는 않습니다. 동작에 대해 자세히 알아보기
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
BehaviorId |
string |
동작에 대한 고유 식별자 |
ActionType |
string |
동작 유형 |
Categories |
string |
동작으로 식별되는 위협 지표 또는 위반 활동의 유형 |
ServiceSource |
string |
동작을 식별한 제품 또는 서비스 |
DetectionSource |
string |
주목할 만한 구성 요소 또는 활동을 식별한 감지 기술 또는 센서 |
DataSources |
string |
동작에 대한 정보를 제공한 제품 또는 서비스 |
EntityType |
string |
파일, 프로세스, 디바이스 또는 사용자와 같은 개체 형식 |
EntityRole |
string |
엔터티가 영향을 받았는지 아니면 단순히 관련되어 있는지 여부를 나타냅니다. |
DetailedEntityRole |
string |
동작에서 엔터티의 역할 |
FileName |
string |
동작이 적용되는 파일의 이름 |
FolderPath |
string |
동작이 적용되는 파일이 포함된 폴더 |
SHA1 |
string |
동작이 적용되는 파일의 SHA-1 |
SHA256 |
string |
동작이 적용되는 파일의 SHA-256 |
FileSize |
long |
동작이 적용되는 파일의 크기(바이트)입니다. |
ThreatFamily |
string |
의심스럽거나 악의적인 파일 또는 프로세스가 분류된 맬웨어 패밀리 |
RemoteIP |
string |
연결된 IP 주소 |
RemoteUrl |
string |
연결된 URL 또는 FQDN(정규화된 도메인 이름) |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountSid |
string |
계정의 SID(보안 식별자) |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
DeviceId |
string |
서비스의 디바이스에 대한 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
LocalIP |
string |
통신 중에 사용되는 로컬 디바이스에 할당된 IP 주소 |
NetworkMessageId |
string |
Office 365에서 생성되는 전자 메일의 고유 식별자 |
EmailSubject |
string |
전자 메일 제목 |
EmailClusterId |
string |
콘텐츠의 휴리스틱 분석을 기반으로 클러스터된 비슷한 전자 메일 그룹의 식별자 |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
ApplicationId |
int |
애플리케이션의 고유 식별자 |
OAuthApplicationId |
string |
타사 OAuth 애플리케이션의 고유 식별자 |
ProcessCommandLine |
string |
새 프로세스를 만드는 데 사용되는 명령줄 |
RegistryKey |
string |
기록된 작업이 적용된 레지스트리 키 |
RegistryValueName |
string |
기록된 작업이 적용된 레지스트리 값의 이름 |
RegistryValueData |
string |
기록된 작업이 적용된 레지스트리 값의 데이터 |
AdditionalFields |
string |
동작에 대한 추가 정보 |
관련 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.