Compartilhar via

BehaviorEntities (Pré-visualização)

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A BehaviorEntities tabela no esquema de investigação avançada contém informações sobre comportamentos no Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.

Importante

A BehaviorEntities tabela está em pré-visualização e não está disponível para GCC. As informações aqui podem ser substancialmente modificadas antes de serem lançadas comercialmente. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui. Tem feedback para partilhar? Preencha o nosso formulário de comentários.

Os comportamentos são um tipo de dados em Microsoft Defender XDR com base num ou mais eventos não processados. Os comportamentos fornecem informações contextuais sobre eventos e podem, mas não necessariamente, indicar atividade maliciosa. Ler mais sobre comportamentos

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registro foi gerado
BehaviorId string Identificador exclusivo para o comportamento
ActionType string Tipo de comportamento
Categories string Tipo de indicador de ameaça ou atividade de violação identificada pelo comportamento
ServiceSource string Produto ou serviço que identificou o comportamento
DetectionSource string Tecnologia ou sensor de deteção que identificou o componente ou atividade notável
DataSources string Produtos ou serviços que forneceram informações sobre o comportamento
EntityType string Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador
EntityRole string Indica se a entidade é afetada ou apenas relacionada
DetailedEntityRole string As funções da entidade no comportamento
FileName string Nome do ficheiro ao qual o comportamento se aplica
FolderPath string Pasta que contém o ficheiro ao qual o comportamento se aplica
SHA1 string SHA-1 do ficheiro ao qual o comportamento se aplica
SHA256 string SHA-256 do ficheiro ao qual o comportamento se aplica
FileSize long Tamanho, em bytes, do ficheiro ao qual o comportamento se aplica
ThreatFamily string Família de software maligno em que o processo ou ficheiro suspeito ou malicioso foi classificado em
RemoteIP string Endereço IP que estava sendo conectado ao
RemoteUrl string URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à
AccountName string Nome de utilizador da conta
AccountDomain string Domínio da conta
AccountSid string Identificador de Segurança (SID) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome principal de utilizador (UPN) da conta
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
LocalIP string Endereço IP atribuído ao dispositivo local utilizado durante a comunicação
NetworkMessageId string Identificador exclusivo do email, gerado pelo Office 365
EmailSubject string Assunto do email
EmailClusterId string Identificador do grupo de emails semelhantes clusterizados com base na análise heurística de seu conteúdo
Application string Aplicação que executou a ação gravada
ApplicationId int Identificador exclusivo da aplicação
OAuthApplicationId string Identificador exclusivo da aplicação OAuth de terceiros
ProcessCommandLine string Linha de comandos utilizada para criar o novo processo
RegistryKey string Chave de registo à qual a ação registada foi aplicada
RegistryValueName string Nome do valor de registo ao qual a ação registada foi aplicada
RegistryValueData string Dados do valor de registo ao qual a ação registada foi aplicada
AdditionalFields string Informações adicionais sobre o comportamento

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.