DataSecurityBehaviors (forhåndsvisning)
Gjelder for:
- Microsoft Defender XDR
- Microsoft Purview
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Tabellen DataSecurityBehaviors i det avanserte jaktskjemaet inneholder innsikt om potensielt mistenkelige brukervirkemåter som bryter med de brukerdefinerte policyene eller standardpolicyene som er konfigurert i Microsoft Purview-serien med løsninger.
Innsikt dekker en rekke datasikkerhetsrelaterte virkemåter som atferd som involverer eksfiltrering, obfuscation, risikable interaksjoner med AI-programmer og andre. Innsikt genereres ved å aggregere brukervirkemåter over en kalenderdag og sammenligne dem med tidligere aktivitet, nodegruppeaktivitet eller andre aktiviteter som utføres av brukeren. Innsikt fanger også opp sammendrag av ulike risikopivoter som sensitive data, risikable destinasjoner og lignende.
Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert eller oppdatert |
BehaviorId |
string |
Unik identifikator for virkemåten |
ActionType |
string |
Type virkemåte. Se katalogen over virkemåter som oppdages av Microsoft Purview administrasjon av intern risiko. |
StartTime |
datetime |
Dato og klokkeslett for den første aktiviteten relatert til virkemåten |
EndTime |
datetime |
Dato og klokkeslett for siste aktivitet relatert til virkemåten |
AttackTechniques |
string |
MITRE ATT&CK-teknikker knyttet til aktiviteten som utløste virkemåten. Se subtekniques i insider risk management behavior-katalogen. |
Categories |
string |
Type trusselindikator eller bruddaktivitet identifisert av virkemåten |
ActionCategory |
enum |
Handlingskategori som utløste hendelsen |
Description |
string |
Beskrivelse av virkemåten |
ServiceSource |
string |
Produkt eller tjeneste som identifiserte virkemåten |
DetectionSource |
string |
Gjenkjenningsteknologi eller sensor som identifiserte den viktige komponenten eller aktiviteten |
ActivityCount |
int |
Totalt antall brukeraktivitetshendelser registrert under denne virkemåten |
IsAnomalous |
bool |
Angir om denne virkemåten er uregelmessig (1) eller ikke (0) |
IsContentHidden |
bool |
Angir om virkemåten involverer skjult innhold på en enhet |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountEmail |
string |
E-postadressen til kontoen |
Application |
string |
Program som utførte den registrerte handlingen |
DeviceInfo |
dynamic |
Liste over enhetsinformasjon for enheten som er involvert i denne virkemåten, inkludert enhets-ID, enhetsnavn og antall hendelser der enheten er involvert. i JSON-matriseformat |
SensitivityLabelInfo |
dynamic |
Liste over følsomhetsetiketter som er tilordnet til innhold som er involvert i denne atferden, inkludert den unike identifikatoren for Microsoft Information Protection følsomhetsetiketten som er tilordnet det relaterte innholdet, navnet på følsomhetsetiketten og antall hendelser i virkemåten som involverer denne etiketten, i JSON-matriseformat |
SensitiveInfoTypesInfo |
dynamic |
Liste over sensitive informasjonstyper som er oppdaget i innholdet som er involvert i denne virkemåten, inkludert den unike identifikatoren for den sensitive informasjonstypen, navnet på den sensitive informasjonstypen og antall hendelser i virkemåten som involverer denne sensitive informasjonstypen. i JSON-matriseformat |
UrlDomainInfo |
dynamic |
Liste over nettadresser for nettsteder eller tjenester som er involvert i virkemåten, inkludert navnet på nettadressedomenet, retningen til data (sendt eller mottatt fra domene), type nettadressedomene (kundekonfigurert eller basert på visningslister) og antall hendelser i virkemåten som involverer det bestemte domenet. i JSON-matriseformat |
SharepointSiteInfo |
dynamic |
Liste over SharePoint-områder som er involvert i denne virkemåten, inkludert den unike identifikatoren for SharePoint-området, navnet på SharePoint-området og antall hendelser i virkemåten som involverer SharePoint-området. i JSON-matriseformat |
RecipientEmailInfo |
dynamic |
Liste over informasjon om mottakeren som er involvert i virkemåten, inkludert mottakerens e-postadresse og antall hendelser i virkemåten som involverer mottakeren. i JSON-matriseformat |
RemovableMediaInfo |
dynamic |
Liste over flyttbare medier som er involvert i virkemåten, inkludert serienummeret til den flyttbare medieenheten, produsenten av den flyttbare medieenheten og modellen til den flyttbare enheten. i JSON-matriseformat |
PrinterName |
dynamic |
Liste over skrivere som er involvert i virkemåten, i matriseformat |
PriorityContentMatchInfo |
dynamic |
Liste over samsvar med prioritetsinnhold som identifiseres i denne virkemåten og de tilknyttede detaljene. Prioritetsinnholdsdefinisjoner utføres av administratorene for hver policy for insider-risikostyring. Vises i JSON-matriseformat. |
Relaterte artikler
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.