Dela via

BehaviorEntities (förhandsversion)

  • Artikel

Gäller för:

  • Microsoft Defender XDR

Tabellen BehaviorEntities i det avancerade jaktschemat innehåller information om beteenden i Microsoft Defender for Cloud Apps. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Viktigt

Tabellen BehaviorEntities är i förhandsversion och är inte tillgänglig för GCC. Informationen här kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här. Har du feedback att dela? Fyll i vårt feedbackformulär.

Beteenden är en typ av data i Microsoft Defender XDR baserat på en eller flera råhändelser. Beteenden ger sammanhangsberoende inblick i händelser och kan, men inte nödvändigtvis, indikera skadlig aktivitet. Läs mer om beteenden

Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då posten genererades
BehaviorId string Unik identifierare för beteendet
ActionType string Typ av beteende
Categories string Typ av hotindikator eller överträdelseaktivitet som identifieras av beteendet
ServiceSource string Produkt eller tjänst som identifierade beteendet
DetectionSource string Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten
DataSources string Produkter eller tjänster som tillhandahöll information om beteendet
EntityType string Typ av objekt, till exempel en fil, en process, en enhet eller en användare
EntityRole string Anger om entiteten påverkas eller bara är relaterad
DetailedEntityRole string Entitetens roller i beteendet
FileName string Namnet på filen som beteendet gäller för
FolderPath string Mapp som innehåller filen som beteendet gäller för
SHA1 string SHA-1 av filen som beteendet gäller för
SHA256 string SHA-256 av filen som beteendet gäller för
FileSize long Storlek i byte för den fil som beteendet gäller för
ThreatFamily string skadlig kod som den misstänkta eller skadliga filen eller processen har klassificerats under
RemoteIP string IP-adress som var ansluten till
RemoteUrl string URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till
AccountName string Användarkontots användarnamn
AccountDomain string Domän för kontot
AccountSid string Säkerhetsidentifierare (SID) för kontot
AccountObjectId string Unik identifierare för kontot i Microsoft Entra ID
AccountUpn string Användarens huvudnamn (UPN) för kontot
DeviceId string Unik identifierare för enheten i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten
LocalIP string IP-adress tilldelad till den lokala enhet som används vid kommunikation
NetworkMessageId string Unik identifierare för e-postmeddelandet som genereras av Office 365
EmailSubject string Ämne för e-postmeddelandet
EmailClusterId string Identifierare för gruppen med liknande e-postmeddelanden klustrade baserat på heuristisk analys av deras innehåll
Application string Program som utförde den inspelade åtgärden
ApplicationId int Unik identifierare för programmet
OAuthApplicationId string Unik identifierare för OAuth-programmet från tredje part
ProcessCommandLine string Kommandorad som används för att skapa den nya processen
RegistryKey string Registernyckel som den registrerade åtgärden tillämpades på
RegistryValueName string Namnet på registervärdet som den registrerade åtgärden tillämpades på
RegistryValueData string Data för registervärdet som den registrerade åtgärden tillämpades på
AdditionalFields string Ytterligare information om beteendet

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.