DataSecurityBehaviors (preview)
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Purview
Belangrijk
Sommige informatie is gerelateerd aan voorlopige productversies die mogelijk aanzienlijk gewijzigd worden voordat ze commercieel gepubliceerd worden. Microsoft geeft geen garantie, uitdrukkelijk of impliciet, met betrekking tot de informatie die hier wordt beschreven.
De DataSecurityBehaviors tabel in het geavanceerde opsporingsschema bevat inzichten over mogelijk verdacht gebruikersgedrag dat het door de gebruiker gedefinieerde of standaardbeleid schendt dat is geconfigureerd in de Microsoft Purview-suite met oplossingen.
Inzichten hebben betrekking op een reeks gegevensbeveiligingsgerelateerd gedrag, zoals gedrag waarbij sprake is van exfiltratie, verduistering, riskante interacties met AI-toepassingen en andere. Inzichten worden gegenereerd door het gedrag van gebruikers over een kalenderdag te aggregeren en deze te vergelijken met eerdere activiteiten, peergroepactiviteit of andere activiteiten die door de gebruiker zijn uitgevoerd. Inzichten leggen ook samenvattingen vast van verschillende risicopivots, zoals gevoelige gegevens, riskante bestemmingen en dergelijke.
Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de record is gegenereerd of bijgewerkt |
BehaviorId |
string |
Unieke id voor het gedrag |
ActionType |
string |
Type gedrag. Raadpleeg de catalogus met gedragingen die zijn gedetecteerd door Microsoft Purview Beheer van insider-risico's. |
StartTime |
datetime |
Datum en tijd van de eerste activiteit met betrekking tot het gedrag |
EndTime |
datetime |
Datum en tijd van de laatste activiteit met betrekking tot het gedrag |
AttackTechniques |
string |
MITRE ATT&CK-technieken die zijn gekoppeld aan de activiteit die het gedrag heeft geactiveerd. Raadpleeg subtechnieken in de gedragscatalogus voor intern risicobeheer. |
Categories |
string |
Type bedreigingsindicator of inbreukactiviteit geïdentificeerd door het gedrag |
ActionCategory |
enum |
Actiecategorie die de gebeurtenis heeft geactiveerd |
Description |
string |
Beschrijving van het gedrag |
ServiceSource |
string |
Product of service waarmee het gedrag is geïdentificeerd |
DetectionSource |
string |
Detectietechnologie of sensor die het opvallende onderdeel of de activiteit heeft geïdentificeerd |
ActivityCount |
int |
Totaal aantal gebeurtenissen van gebruikersactiviteit die onder dit gedrag zijn geregistreerd |
IsAnomalous |
bool |
Geeft aan of dit gebruikersgedrag op zichzelf afwijkend is of is gebaseerd op globale instellingen voor intern risicobeheer |
IsContentHidden |
bool |
Geeft aan of het gedrag betrekking heeft op verborgen inhoud op een apparaat |
AccountUpn |
string |
UPN (User Principal Name) van het account |
AccountEmail |
string |
Email adres van het account |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
DeviceInfo |
dynamic |
Lijst met apparaatgegevens voor het apparaat dat betrokken is bij dit gedrag, inclusief apparaat-id, apparaatnaam en het aantal gebeurtenissen waarbij het apparaat betrokken is; in JSON-matrixindeling |
SensitivityLabelInfo |
dynamic |
Lijst met vertrouwelijkheidslabels die zijn toegewezen aan inhoud die betrokken is bij dit gedrag, inclusief de unieke id voor het Microsoft Information Protection vertrouwelijkheidslabel dat is toegewezen aan de gerelateerde inhoud, de naam van het vertrouwelijkheidslabel en het aantal gebeurtenissen in het gedrag waarbij dit label is betrokken; in JSON-matrixindeling |
SensitiveInfoTypesInfo |
dynamic |
Lijst met typen gevoelige informatie die zijn gedetecteerd in de inhoud die betrokken is bij dit gedrag, inclusief de unieke id voor het type gevoelige informatie, de naam van het type gevoelige informatie en het aantal gebeurtenissen in het gedrag met betrekking tot dit type gevoelige informatie; in JSON-matrixindeling |
UrlDomainInfo |
dynamic |
Lijst met websites of service-URL's die betrokken zijn bij het gedrag, inclusief de naam van het URL-domein, de richting van gegevens (verzonden of ontvangen van domein), het type URL-domein (door de klant geconfigureerd of op basis van volglijsten) en het aantal gebeurtenissen in het gedrag waarbij het specifieke domein betrokken is; in JSON-matrixindeling |
SharepointSiteInfo |
dynamic |
Lijst met SharePoint-sites die betrokken zijn bij dit gedrag, inclusief de unieke id voor de SharePoint-site, de naam van de SharePoint-site en het aantal gebeurtenissen in het gedrag waarbij de SharePoint-site betrokken is; in JSON-matrixindeling |
RecipientEmailInfo |
dynamic |
Lijst met informatie over de geadresseerde die betrokken is bij het gedrag, inclusief het e-mailadres van de geadresseerde en het aantal gebeurtenissen in het gedrag waarbij de ontvanger betrokken is; in JSON-matrixindeling |
RemovableMediaInfo |
dynamic |
Lijst van verwisselbare media die bij het gedrag betrokken zijn, met inbegrip van het serienummer van het verwisselbare mediaapparaat, de fabrikant van het verwisselbare mediaapparaat en het model van het verwisselbare apparaat; in JSON-matrixindeling |
PrinterName |
dynamic |
Lijst van printers die betrokken zijn bij het gedrag; in matrixindeling |
PriorityContentMatchInfo |
dynamic |
Lijst met prioriteitsinhoud komt overeen met dit gedrag en de bijbehorende details. Definities van prioriteitsinhoud worden uitgevoerd door de beheerders voor elk intern risicobeheerbeleid. Weergegeven in JSON-matrixindeling. |
Verwante artikelen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.