Поделиться через

AlertEvidence

  • Статья

Область применения:

  • Microsoft Defender XDR

Таблица AlertEvidence в схеме расширенной охоты содержит сведения о различных сущностях (файлах, IP-адресах, URL-адресах, пользователях или устройствах), связанных с оповещениями от Microsoft Defender для конечной точки, Microsoft Defender для Office 365. Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
AlertId string Уникальный идентификатор оповещения
Title string Название оповещения
Categories string Список категорий, к которым относится информация, в формате массива JSON
AttackTechniques string MITRE ATT&методов CK, связанных с действием, которое активировало оповещение
ServiceSource string Продукт или служба, которые предоставили сведения об оповещении
DetectionSource string Технология обнаружения или датчик, который идентифицировал важный компонент или действие
EntityType string Тип объекта, например файл, процесс, устройство или пользователь
EvidenceRole string Как сущность участвует в оповещении, указывая, влияет ли она или просто связана
EvidenceDirection string Указывает, является ли сущность источником или назначением сетевого подключения.
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к которому было применено записанное действие
SHA1 string SHA-1 файла, к которому было применено записанное действие
SHA256 string SHA-256 файла, к которому было применено записанное действие Обычно это поле не заполняется— используйте столбец SHA1, если он доступен.
FileSize long Размер файла в байтах
ThreatFamily string Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс
RemoteIP string IP-адрес, к которому выполнено подключение
RemoteUrl string URL-адрес или полное доменное имя, к которому выполнено подключение
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountUpn string Имя участника-пользователя (UPN) учетной записи
DeviceId string Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя (FQDN) устройства
LocalIP string IP-адрес, назначенный локальному устройству, используемому во время связи
NetworkMessageId string Уникальный идентификатор сообщения электронной почты, сформированный в Office 365
EmailSubject string Тема письма
Application string Приложение, выполняющее записанное действие
ApplicationId int Уникальный идентификатор приложения
OAuthApplicationId string Уникальный идентификатор стороннего приложения OAuth
ProcessCommandLine string Командная строка, используемая для создания нового процесса
RegistryKey string Раздел реестра, к которому было применено записанное действие
RegistryValueName string Имя значения реестра, к которому было применено записанное действие
RegistryValueData string Данные значения реестра, к которому было применено записанное действие
AdditionalFields string Дополнительные сведения о сущности или событии
Severity string Указывает возможное воздействие (высокое, среднее или низкое) индикатора угрозы или нарушения, определенного оповещением
CloudResource string Имя облачного ресурса
CloudPlatform string Облачная платформа, к которой принадлежит ресурс, может быть Azure, Amazon Web Services или Google Cloud Platform.
ResourceType string Тип облачного ресурса
ResourceID string Уникальный идентификатор облачного ресурса, к который обращается
SubscriptionId string Уникальный идентификатор подписки на облачную службу

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.