DataSecurityBehaviors (предварительная версия)
Область применения:
- Microsoft Defender XDR
- Microsoft Purview
Важно!
Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.
Таблица DataSecurityBehaviors в схеме расширенной охоты содержит аналитические сведения о потенциально подозрительном поведении пользователей, которое нарушает определяемые пользователем политики или политики по умолчанию, настроенные в наборе решений Microsoft Purview.
Аналитика охватывает ряд связанных с безопасностью данных действий, таких как поведение, связанное с кражей, запутыванием, рискованным взаимодействием с приложениями ИИ и т. д. Аналитические сведения создаются путем агрегирования поведения пользователей в течение календарного дня и сравнения их с предыдущими действиями, действиями группы одноранговых узлов или другими действиями, выполненными пользователем. Аналитика также собирает сводки различных сводных сведений о рисках, таких как конфиденциальные данные, опасные назначения и т. г.
Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания или обновления записи |
BehaviorId |
string |
Уникальный идентификатор для поведения |
ActionType |
string |
Тип поведения. Ознакомьтесь с каталогом поведений, обнаруженных Управление внутренними рисками Microsoft Purview. |
StartTime |
datetime |
Дата и время первого действия, связанного с поведением |
EndTime |
datetime |
Дата и время последнего действия, связанного с поведением |
AttackTechniques |
string |
MITRE ATT&методов CK, связанных с действием, которое активировало поведение. См. подразделы в каталоге поведения управления внутренними рисками. |
Categories |
string |
Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением |
ActionCategory |
enum |
Категория действия, активировав событие |
Description |
string |
Описание поведения |
ServiceSource |
string |
Продукт или служба, определяющая поведение |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
ActivityCount |
int |
Общее число событий активности пользователей, записанных при таком поведении |
IsAnomalous |
bool |
Указывает, является ли это поведение аномальным (1) или нет (0). |
IsContentHidden |
bool |
Указывает, включает ли поведение скрытое содержимое на устройстве. |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountEmail |
string |
Email адрес учетной записи |
Application |
string |
Приложение, выполняющее записанное действие |
DeviceInfo |
dynamic |
Список сведений об устройстве, участвующих в этом поведении, включая идентификатор устройства, имя устройства и количество событий, в которых участвует устройство; в формате массива JSON |
SensitivityLabelInfo |
dynamic |
Список меток конфиденциальности, назначенных содержимому, участвующим в этом поведении, включая уникальный идентификатор microsoft Information Protection метку конфиденциальности, присвоенную связанному содержимому, имя метки конфиденциальности и количество событий в поведении с этой меткой; в формате массива JSON |
SensitiveInfoTypesInfo |
dynamic |
Список типов конфиденциальной информации, обнаруженных в содержимом, связанном с этим поведением, включая уникальный идентификатор типа конфиденциальной информации, имя типа конфиденциальной информации и количество событий в поведении с этим типом конфиденциальной информации; в формате массива JSON |
UrlDomainInfo |
dynamic |
Список веб-сайтов или URL-адресов служб, участвующих в поведении, включая имя домена URL-адресов, направление данных (отправленных или полученных из домена), тип домена URL-адреса (настроенный клиентом или на основе списков отслеживания) и количество событий в поведении с конкретным доменом; в формате массива JSON |
SharepointSiteInfo |
dynamic |
Список сайтов SharePoint, участвующих в этом поведении, включая уникальный идентификатор сайта SharePoint, имя сайта SharePoint и количество событий в поведении сайта SharePoint; в формате массива JSON |
RecipientEmailInfo |
dynamic |
Список сведений о получателе, участвующих в поведении, включая адрес электронной почты получателя и количество событий в поведении с участием получателя; в формате массива JSON |
RemovableMediaInfo |
dynamic |
Список любых съемных носителей, участвующих в поведении, включая серийный номер съемного носителя, изготовителя съемного носителя и модель съемного устройства; в формате массива JSON |
PrinterName |
dynamic |
Список принтеров, участвующих в поведении; в формате массива |
PriorityContentMatchInfo |
dynamic |
Список содержимого с приоритетом, определенных в этом поведении, и связанные с ними сведения. Определения содержимого приоритета выполняются администраторами для каждой политики управления внутренними рисками. Отображается в формате массива JSON. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.