AlertEvidence
Aplica-se a:
- Microsoft Defender XDR
A AlertEvidence tabela no esquema de investigação avançada contém informações sobre várias entidades ( ficheiros, endereços IP, URLs, utilizadores ou dispositivos) associadas a alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
AlertId |
string |
Identificador exclusivo do alerta |
Title |
string |
Título do alerta |
Categories |
string |
Lista de categorias às quais as informações pertencem, no formato de matriz JSON |
AttackTechniques |
string |
MITRE ATT&técnicas CK associadas à atividade que acionou o alerta |
ServiceSource |
string |
Produto ou serviço que forneceu as informações do alerta |
DetectionSource |
string |
Tecnologia ou sensor de deteção que identificou o componente ou atividade notável |
EntityType |
string |
Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador |
EvidenceRole |
string |
Como a entidade está envolvida num alerta, indicando se é afetada ou se está apenas relacionada |
EvidenceDirection |
string |
Indica se a entidade é a origem ou o destino de uma ligação de rede |
FileName |
string |
Nome do ficheiro ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido— utilize a coluna SHA1 quando estiver disponível. |
FileSize |
long |
Tamanho do ficheiro em bytes |
ThreatFamily |
string |
Família de software maligno em que o processo ou ficheiro suspeito ou malicioso foi classificado em |
RemoteIP |
string |
Endereço IP ao qual estava a ser ligado |
RemoteUrl |
string |
URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado |
AccountName |
string |
Nome de utilizador da conta |
AccountDomain |
string |
Domínio da conta |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local utilizado durante a comunicação |
NetworkMessageId |
string |
Identificador exclusivo do e-mail, gerado por Office 365 |
EmailSubject |
string |
Assunto do e-mail |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo da aplicação |
OAuthApplicationId |
string |
Identificador exclusivo da aplicação OAuth de terceiros |
ProcessCommandLine |
string |
Linha de comandos utilizada para criar o novo processo |
RegistryKey |
string |
Chave de registo à qual a ação registada foi aplicada |
RegistryValueName |
string |
Nome do valor de registo ao qual a ação registada foi aplicada |
RegistryValueData |
string |
Dados do valor de registo ao qual a ação registada foi aplicada |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
Severity |
string |
Indica o impacto potencial (alto, médio ou baixo) do indicador de ameaça ou atividade de falha identificada pelo alerta |
CloudResource |
string |
Nome do recurso da cloud |
CloudPlatform |
string |
A plataforma na cloud à qual o recurso pertence pode ser a Azure, Amazon Web Services ou Google Cloud Platform |
ResourceType |
string |
Tipo de recurso da cloud |
ResourceID |
string |
Identificador exclusivo do recurso da cloud acedido |
SubscriptionId |
string |
Identificador exclusivo da subscrição do serviço cloud |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.