DataSecurityBehaviors (förhandsversion)
Gäller för:
- Microsoft Defender XDR
- Microsoft Purview
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Tabellen DataSecurityBehaviors i det avancerade jaktschemat innehåller insikter om potentiellt misstänkta användarbeteenden som bryter mot de användardefinierade eller standardprinciper som konfigurerats i Microsoft Purview-paketet med lösningar.
Insikter omfattar en rad datasäkerhetsrelaterade beteenden som beteenden som rör exfiltrering, fördunkling, riskfyllda interaktioner med AI-program och andra. Insikter genereras genom att aggregera användarbeteenden under en kalenderdag och jämföra dem med tidigare aktivitet, peer-gruppaktivitet eller andra aktiviteter som utförts av användaren. Insikter samlar också in sammanfattningar av olika risk pivoter som känsliga data, riskfyllda mål och liknande.
Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då posten genererades eller uppdaterades |
BehaviorId |
string |
Unik identifierare för beteendet |
ActionType |
string |
Typ av beteende. Se katalogen med beteenden som identifieras av Hantering av interna risker i Microsoft Purview. |
StartTime |
datetime |
Datum och tid för den första aktiviteten som är relaterad till beteendet |
EndTime |
datetime |
Datum och tid för den senaste aktiviteten som är relaterad till beteendet |
AttackTechniques |
string |
MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste beteendet. Se underteknikerna i katalogen med beteende för hantering av insiderrisk. |
Categories |
string |
Typ av hotindikator eller överträdelseaktivitet som identifieras av beteendet |
ActionCategory |
enum |
Åtgärdskategori som utlöste händelsen |
Description |
string |
Beskrivning av beteendet |
ServiceSource |
string |
Produkt eller tjänst som identifierade beteendet |
DetectionSource |
string |
Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten |
ActivityCount |
int |
Totalt antal användaraktivitetshändelser som registrerats under det här beteendet |
IsAnomalous |
bool |
Anger om det här beteendet är avvikande (1) eller inte (0) |
IsContentHidden |
bool |
Anger om beteendet omfattar dolt innehåll på en enhet |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
AccountEmail |
string |
Email adressen till kontot |
Application |
string |
Program som utförde den inspelade åtgärden |
DeviceInfo |
dynamic |
Lista över enhetsinformation för den enhet som är inblandad i det här beteendet, inklusive enhets-ID, enhetsnamn och antalet händelser som enheten är inblandad i. i JSON-matrisformat |
SensitivityLabelInfo |
dynamic |
Lista över känslighetsetiketter som tilldelats innehåll som ingår i det här beteendet, inklusive den unika identifieraren för Microsoft Information Protection känslighetsetikett som tilldelats det relaterade innehållet, namnet på känslighetsetiketten och antalet händelser i beteendet som involverar den här etiketten; i JSON-matrisformat |
SensitiveInfoTypesInfo |
dynamic |
Lista över typer av känslig information som identifierats i det innehåll som ingår i det här beteendet, inklusive den unika identifieraren för typen av känslig information, namnet på typen av känslig information och antalet händelser i beteendet som involverar den här typen av känslig information. i JSON-matrisformat |
UrlDomainInfo |
dynamic |
Lista över webbplatser eller tjänst-URL:er som ingår i beteendet, inklusive namnet på URL-domänen, riktningen för data (skickas eller tas emot från domän), typ av URL-domän (kundkonfigurerad eller baserad på visningslistor) och antalet händelser i beteendet som involverar den specifika domänen; i JSON-matrisformat |
SharepointSiteInfo |
dynamic |
Lista över SharePoint-webbplatser som är inblandade i det här beteendet, inklusive den unika identifieraren för SharePoint-webbplatsen, namnet på SharePoint-webbplatsen och antalet händelser i beteendet som involverar SharePoint-webbplatsen. i JSON-matrisformat |
RecipientEmailInfo |
dynamic |
Lista över information om mottagaren som är inblandad i beteendet, inklusive mottagarens e-postadress och antalet händelser i beteendet som involverar mottagaren. i JSON-matrisformat |
RemovableMediaInfo |
dynamic |
Lista över alla flyttbara medier som ingår i beteendet, inklusive serienumret för den flyttbara medieenheten, tillverkaren av den flyttbara medieenheten och modellen för den flyttbara enheten. i JSON-matrisformat |
PrinterName |
dynamic |
Lista över skrivare som är inblandade i beteendet; i matrisformat |
PriorityContentMatchInfo |
dynamic |
Lista över prioritetsinnehållsmatchningar som identifieras i det här beteendet och deras associerade information. Prioritetsinnehållsdefinitioner görs av administratörerna för varje princip för hantering av insiderrisk. Visas i JSON-matrisformat. |
Relaterade artiklar
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.