Del via

AlertEvidence

  • Artikkel

Gjelder for:

  • Microsoft Defender XDR

Tabellen AlertEvidence i det avanserte jaktskjemaet inneholder informasjon om ulike enheter – filer, IP-adresser, nettadresser, brukere eller enheter – knyttet til varsler fra Microsoft Defender for endepunkt, Microsoft Defender for Office 365 Microsoft Defender for Cloud Apps og Microsoft Defender for identitet. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett hendelsen ble registrert
AlertId string Unik identifikator for varselet
Title string Tittelen på varselet
Categories string Liste over kategorier som informasjonen tilhører, i JSON-matriseformat
AttackTechniques string MITRE ATT&CK-teknikker knyttet til aktiviteten som utløste varselet
ServiceSource string Produkt eller tjeneste som leverte varselinformasjonen
DetectionSource string Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten
EntityType string Objekttype, for eksempel en fil, en prosess, en enhet eller en bruker
EvidenceRole string Hvordan enheten er involvert i et varsel, som angir om den påvirkes eller bare er relatert
EvidenceDirection string Angir om enheten er kilden eller målet for en nettverkstilkobling
FileName string Navnet på filen som den registrerte handlingen ble brukt på
FolderPath string Mappe som inneholder filen som den registrerte handlingen ble brukt på
SHA1 string SHA-1 for filen som den registrerte handlingen ble brukt på
SHA256 string SHA-256 av filen som den registrerte handlingen ble brukt på. Dette feltet er vanligvis ikke fylt ut – bruk SHA1-kolonnen når det er tilgjengelig.
FileSize long Størrelsen på filen i byte
ThreatFamily string Malware familie som mistenkelig eller ondsinnet fil eller prosess har blitt klassifisert under
RemoteIP string IP-adresse som ble koblet til
RemoteUrl string URL-adresse eller fullstendig domenenavn (FQDN) som ble koblet til
AccountName string Brukernavn for kontoen
AccountDomain string Domene for kontoen
AccountSid string Sikkerhetsidentifikator (SID) for kontoen
AccountObjectId string Unik identifikator for kontoen i Microsoft Entra ID
AccountUpn string Brukerhovednavn (UPN) for kontoen
DeviceId string Unik identifikator for enheten i tjenesten
DeviceName string Fullstendig domenenavn (FQDN) på enheten
LocalIP string IP-adresse tilordnet den lokale enheten som brukes under kommunikasjon
NetworkMessageId string Unik identifikator for e-postmeldingen, generert av Office 365
EmailSubject string Emne for e-postmeldingen
Application string Program som utførte den registrerte handlingen
ApplicationId int Unik identifikator for programmet
OAuthApplicationId string Unik identifikator for tredjeparts OAuth-programmet
ProcessCommandLine string Kommandolinje som brukes til å opprette den nye prosessen
RegistryKey string Registernøkkelen som den registrerte handlingen ble brukt på
RegistryValueName string Navnet på registerverdien som den registrerte handlingen ble brukt på
RegistryValueData string Data for registerverdien som den registrerte handlingen ble brukt på
AdditionalFields string Tilleggsinformasjon om enheten eller hendelsen
Severity string Angir den potensielle virkningen (høy, middels eller lav) av trusselindikatoren eller bruddaktiviteten som identifiseres av varselet
CloudResource string Navn på skyressurs
CloudPlatform string Skyplattformen som ressursen tilhører, kan være Azure, Amazon Web Services eller Google Cloud Platform
ResourceType string Type skyressurs
ResourceID string Unik identifikator for skyressursen som er åpnet
SubscriptionId string Unik identifikator for skytjenesteabonnementet

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.