DataSecurityEvents (forhåndsvisning)
Gjelder for:
- Microsoft Defender XDR
- Microsoft Purview
Viktig
Noe informasjon er knyttet til forhåndsutgitt produkt som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykkelige eller underforståtte, med hensyn til informasjonen som er oppgitt her.
Tabellen DataSecurityEvents i det avanserte jaktskjemaet inneholder informasjon om brukeraktiviteter som bryter med brukerdefinerte policyer eller standardpolicyer i Microsoft Purview-programserien med løsninger. Hver logg representerer en enkeltbrukeraktivitet beriket med proprietære Microsoft-gjenkjenninger (for eksempel sensitive informasjonstyper) og brukerdefinerte berikelsesetiketter som domenekategorier, følsomhetsetiketter og andre.
Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
ApplicationNames |
string |
Liste over programnavn brukt eller relatert til hendelsen |
DeviceId |
string |
Unik identifikator for enheten i Microsoft Defender for endepunkt |
DeviceName |
string |
Fullstendig domenenavn (FQDN) for enheten |
AadDeviceId |
guid |
Unik identifikator for enheten i Microsoft Entra ID |
IsManagedDevice |
bool |
Angir om enheten administreres av organisasjonen (Sann) eller ikke (Usann) |
DlpPolicyMatchInfo |
string |
Informasjon rundt listen over policyer for hindring av datatap (DLP) som samsvarer med denne hendelsen |
DlpPolicyEnforcementMode |
int |
Angir policyen for hindring av tap av data som ble håndhevet. verdien kan være: 0 (Ingen), 1 (overvåking), 2 (advarsel), 3 (advarsel og forbikobling), 4 (blokk), 5 (tillat) |
DlpPolicyRuleMatchInfo |
dynamic |
Detaljer om reglene for hindring av datatap (DLP) som samsvarer med denne hendelsen. i JSON-matriseformat |
FileRenameInfo |
string |
Detaljer om filen (filnavn og filtype) før denne hendelsen |
PhysicalAccessPointId |
string |
Unik identifikator for det fysiske tilgangspunktet |
PhysicalAccessPointName |
string |
Navnet på det fysiske tilgangspunktet |
PhysicalAccessStatus |
string |
Status for fysisk tilgang, enten den var vellykket eller mislykket |
PhysicalAssetTag |
string |
Merke tilordnet til aktivumet som konfigurert i globale innstillinger for Microsoft Insider Risk Management |
RemovableMediaManufacturer |
string |
Produsentnavn for den flyttbare enheten |
RemovableMediaModel |
string |
Modellnavn for den flyttbare enheten |
RemovableMediaSerialNumber |
string |
Serienummeret til den flyttbare enheten |
TeamsChannelName |
string |
Navnet på Teams-kanalen |
TeamsChannelType |
string |
Type Teams-kanal |
TeamsTeamName |
string |
Navnet på Teams-teamet |
UserAlternateEmails |
string |
Alternative e-postmeldinger eller aliaser for brukeren |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
Department |
string |
Navnet på avdelingen som kontobrukeren tilhører |
SourceCodeInfo |
string |
Detaljer om kildekoderepositoriet som er involvert i hendelsen |
CcPolicyMatchInfo |
dynamic |
Detaljer om samsvarspolicyer for kommunikasjon samsvar for denne hendelsen; i JSON-matriseformat |
IPAddress |
string |
IP-adressene til klientene som aktiviteten ble utført på. kan inneholde flere IP-er hvis de er relatert til Microsoft Defender for Cloud Apps varsler |
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
DeviceSourceLocationType |
int |
Angir hvilken type plassering endepunktsignalene stammer fra. verdier kan være: 0 (ukjent), 1 (lokal), 2 (ekstern), 3 (flyttbar), 4 (sky), 5 (delt filressurs) |
DeviceDestinationLocationType |
int |
Angir hvilken type plassering endepunktet signaliserer koblet til. verdier kan være: 0 (ukjent), 1 (lokal), 2 (ekstern), 3 (flyttbar), 4 (sky), 5 (delt filressurs) |
IrmPolicyMatchInfo |
dynamic |
Detaljer om Insider Risk Management-policysamsvar for innholdet som er involvert i hendelsen; i JSON-matriseformat |
UnallowedUrlDomains |
string |
Nettsteder eller nettadresser for tjenester som er involvert i denne hendelsen, som er konfigurert som Ikke tillatt i globale innstillinger for Insider Risk Management |
ExternalUrlDomains |
string |
Nettsteder eller nettadresser for tjenester som er involvert i denne hendelsen, som er klassifisert som eksterne i globale innstillinger for Insider Risk Management |
UrlDomainInfo |
string |
Detaljer om nettadressene for nettsteder eller tjenester som er involvert i hendelsen |
SourceUrlDomain |
string |
Domene der enhets- og e-postsignalene oppsto |
TargetUrlDomain |
string |
Domene der innholdet ble delt med eller brukeren har logget seg på |
EmailAttachmentCount |
int |
Antall e-postvedlegg |
EmailAttachmentInfo |
dynamic |
Detaljer om e-postvedlegg; i JSON-matriseformat |
InternetMessageId |
string |
Offentlig identifikator for e-postmeldingen eller Teams-meldingen som angis av det sendende e-postsystemet |
NetworkMessageId |
guid |
Unik identifikator for e-postmeldingen, generert av Microsoft 365 |
EmailSubject |
string |
Emne for e-postmeldingen |
ObjectId |
string |
Unik identifikator for objektet som den registrerte handlingen ble brukt på, i tilfelle filer, inkluderer den filtypen |
ObjectName |
string |
Navnet på objektet som den registrerte handlingen ble brukt på, i tilfelle filer, inkluderer det filtypen |
ObjectType |
string |
Objekttype, for eksempel en fil eller en mappe, som den registrerte handlingen ble brukt på |
ObjectSize |
int |
Størrelsen på objektet i byte |
IsHidden |
bool |
Angir om brukeren har merket innholdet som skjult (sann) eller ikke (usann) |
ActivityId |
guid |
Unik identifikator for aktivitetsloggen |
ActionType |
string |
Aktivitetstype som utløste hendelsen |
SensitiveInfoTypeInfo |
dynamic |
Detaljer om sensitive informasjonstyper for hindring av tap av data oppdaget i den berørte ressursen |
SensitivityLabelId |
string |
Gjeldende Følsomhetsetikett-ID for Microsoft Information Protection som er knyttet til elementet |
SharepointSiteSensitivityLabelIds |
string |
Gjeldende Følsomhetsetikett-ID for Microsoft Information Protection tilordnet det overordnede området for elementet som er relatert til SharePoint-aktiviteter |
PreviousSensitivityLabelId |
string |
Den forrige Følsomhetsetikett-ID-en for Microsoft Information Protection knyttet til elementet i tilfelle aktiviteter der følsomhetsetiketten ble endret |
Operation |
string |
Navnet på administratoraktiviteten |
RecipientEmailAddress |
string |
E-postadressen til mottakeren eller e-postadressen til mottakeren etter utvidelse av distribusjonslisten |
SiteUrl |
string |
URL-adressen til området der filen eller mappen som brukeren har tilgang til, befinner seg |
SourceRelativeUrl |
string |
URL-adressen til mappen som inneholder filen brukeren har tilgang til |
TargetFilePath |
string |
Målfilbane for endepunktaktiviteter |
PrinterName |
string |
Liste over skrivere som er involvert i virkemåten |
Workload |
string |
Microsoft 365-tjenesten der hendelsen oppstod |
IrmActionCategory |
enum |
En unik opplistingsverdi som angir aktivitetskategorien i Microsoft Purview administrasjon av intern risiko |
SequenceCorrelationId |
string |
Detaljer om sekvensaktiviteten |
CloudAppAlertId |
string |
Unik identifikator for varselet i Microsoft Defender for Cloud Apps |
Relaterte artikler
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.