DataSecurityBehaviors (Pré-visualização)
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Purview
Importante
Algumas informações estão relacionadas com o produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, em relação às informações aqui fornecidas.
A DataSecurityBehaviors tabela no esquema de investigação avançada contém informações sobre comportamentos de utilizador potencialmente suspeitos que violam as políticas predefinidas ou definidas pelo utilizador configuradas no conjunto de soluções do Microsoft Purview.
As informações abrangem uma série de comportamentos relacionados com a segurança de dados, como comportamentos que envolvem exfiltração, ocultação, interações de risco com aplicações de IA, entre outros. As informações são geradas ao agregar os comportamentos dos utilizadores ao longo de um dia de calendário e compará-los com a atividade anterior, a atividade do grupo de pares ou outras atividades realizadas pelo utilizador. As informações também capturam resumos de vários pivôs de risco, como dados confidenciais, destinos de risco e similares.
Utilize esta referência para construir consultas que devolvem informações desta tabela.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o registo foi gerado ou atualizado |
BehaviorId |
string |
Identificador exclusivo para o comportamento |
ActionType |
string |
Tipo de comportamento. Veja o catálogo de comportamentos detetados por Gestão do risco interno do Microsoft Purview. |
StartTime |
datetime |
Data e hora da primeira atividade relacionada com o comportamento |
EndTime |
datetime |
Data e hora da última atividade relacionada com o comportamento |
AttackTechniques |
string |
MITRE ATT&técnicas CK associadas à atividade que acionou o comportamento. Veja subtecniques no catálogo de comportamento de gestão de riscos internos. |
Categories |
string |
Tipo de indicador de ameaça ou atividade de violação identificada pelo comportamento |
ActionCategory |
enum |
Categoria de ação que acionou o evento |
Description |
string |
Descrição do comportamento |
ServiceSource |
string |
Produto ou serviço que identificou o comportamento |
DetectionSource |
string |
Tecnologia ou sensor de deteção que identificou o componente ou atividade notável |
ActivityCount |
int |
Total de eventos de atividade de utilizador registados neste comportamento |
IsAnomalous |
bool |
Indica se este comportamento é anómalo (1) ou não (0) |
IsContentHidden |
bool |
Indica se o comportamento envolve conteúdo oculto num dispositivo |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
AccountEmail |
string |
Email endereço da conta |
Application |
string |
Aplicação que executou a ação gravada |
DeviceInfo |
dynamic |
Lista de informações do dispositivo para o dispositivo envolvido neste comportamento, incluindo o ID do dispositivo, o nome do dispositivo e o número de eventos em que o dispositivo está envolvido; no formato de matriz JSON |
SensitivityLabelInfo |
dynamic |
Lista de etiquetas de confidencialidade atribuídas a conteúdos envolvidos neste comportamento, incluindo o identificador exclusivo da etiqueta de confidencialidade do Microsoft Information Protection atribuída ao conteúdo relacionado, o nome da etiqueta de confidencialidade e o número de eventos no comportamento que envolve esta etiqueta; no formato de matriz JSON |
SensitiveInfoTypesInfo |
dynamic |
Lista de tipos de informações confidenciais detetados no conteúdo envolvido neste comportamento, incluindo o identificador exclusivo do tipo de informações confidenciais, o nome do tipo de informações confidenciais e o número de eventos no comportamento que envolve este tipo de informações confidenciais; no formato de matriz JSON |
UrlDomainInfo |
dynamic |
Lista de sites ou URLs de serviço envolvidos no comportamento, incluindo o nome do domínio do URL, a direção dos dados (enviados ou recebidos do domínio), o tipo de domínio de URL (configurado pelo cliente ou baseado em listas de observação) e o número de eventos no comportamento que envolve o domínio específico; no formato de matriz JSON |
SharepointSiteInfo |
dynamic |
Lista de sites do SharePoint envolvidos neste comportamento, incluindo o identificador exclusivo do site SharePoint, o nome do site SharePoint e o número de eventos no comportamento que envolve o site sharePoint; no formato de matriz JSON |
RecipientEmailInfo |
dynamic |
Lista de informações sobre o destinatário envolvido no comportamento, incluindo o endereço de e-mail do destinatário e o número de eventos no comportamento que envolve o destinatário; no formato de matriz JSON |
RemovableMediaInfo |
dynamic |
Lista de suportes de dados amovíveis envolvidos no comportamento, incluindo o número de série do dispositivo de suporte de dados amovível, o fabricante do dispositivo de multimédia amovível e o modelo do dispositivo amovível; no formato de matriz JSON |
PrinterName |
dynamic |
Lista de impressoras envolvidas no comportamento; no formato de matriz |
PriorityContentMatchInfo |
dynamic |
Lista de correspondências de conteúdo de prioridade identificadas neste comportamento e os respetivos detalhes associados. As definições de conteúdo prioritário são efetuadas pelos administradores para cada política de gestão de riscos do Insider. Apresentado no formato de matriz JSON. |
Artigos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.