DataSecurityEvents (förhandsversion)
Gäller för:
- Microsoft Defender XDR
- Microsoft Purview
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Tabellen DataSecurityEvents i det avancerade jaktschemat innehåller information om användaraktiviteter som bryter mot användardefinierade eller standardprinciper i Microsoft Purview-paketet med lösningar. Varje logg representerar en enskild användaraktivitet som berikas med egna Microsoft-identifieringar (till exempel typer av känslig information) och användardefinierade berikningsetiketter som domänkategorier, känslighetsetiketter och andra.
Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
ApplicationNames |
string |
Lista över programnamn som används eller är relaterade till händelsen |
DeviceId |
string |
Unik identifierare för enheten i Microsoft Defender för Endpoint |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
AadDeviceId |
guid |
Unik identifierare för enheten i Microsoft Entra ID |
IsManagedDevice |
bool |
Anger om enheten hanteras av organisationen (Sant) eller inte (falskt) |
DlpPolicyMatchInfo |
string |
Information om listan över principer för dataförlustskydd (DLP) som matchar den här händelsen |
DlpPolicyEnforcementMode |
int |
Anger principen för dataförlustskydd som tillämpades. värdet kan vara: 0 (Ingen), 1 (granskning), 2 (varna), 3 (varna och kringgå), 4 (blockera), 5 (tillåt) |
DlpPolicyRuleMatchInfo |
dynamic |
Information om de regler för dataförlustskydd (DLP) som matchade den här händelsen. i JSON-matrisformat |
FileRenameInfo |
string |
Information om filen (filnamn och filnamnstillägg) före den här händelsen |
PhysicalAccessPointId |
string |
Unik identifierare för den fysiska åtkomstpunkten |
PhysicalAccessPointName |
string |
Namn på den fysiska åtkomstpunkten |
PhysicalAccessStatus |
string |
Status för fysisk åtkomst, oavsett om den lyckades eller misslyckades |
PhysicalAssetTag |
string |
Tagg tilldelad till tillgången enligt konfigurationen i globala inställningar för Microsoft Insider Risk Management |
RemovableMediaManufacturer |
string |
Tillverkarens namn på den flyttbara enheten |
RemovableMediaModel |
string |
Modellnamn för den flyttbara enheten |
RemovableMediaSerialNumber |
string |
Serienummer för den flyttbara enheten |
TeamsChannelName |
string |
Namn på Teams-kanalen |
TeamsChannelType |
string |
Typ av Teams-kanal |
TeamsTeamName |
string |
Teams-teamets namn |
UserAlternateEmails |
string |
Alternativa e-postmeddelanden eller alias för användaren |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
Department |
string |
Namnet på den avdelning som kontoanvändaren tillhör |
SourceCodeInfo |
string |
Information om den källkodslagringsplats som är inblandad i händelsen |
CcPolicyMatchInfo |
dynamic |
Information om matchningar för policyn för kommunikationsefterlevnad för den här händelsen. i JSON-matrisformat |
IPAddress |
string |
IP-adresser för klienterna som aktiviteten utfördes på. kan innehålla flera IP-adresser om de är relaterade till Microsoft Defender for Cloud Apps aviseringar |
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
DeviceSourceLocationType |
int |
Anger den typ av plats där slutpunktssignalerna kommer från; värdena kan vara: 0 (okänd), 1 (lokal), 2 (fjärransluten), 3 (flyttbar), 4 (moln), 5 (filresurs) |
DeviceDestinationLocationType |
int |
Anger den typ av plats där slutpunkten signalerar ansluten till; värdena kan vara: 0 (okänd), 1 (lokal), 2 (fjärransluten), 3 (flyttbar), 4 (moln), 5 (filresurs) |
IrmPolicyMatchInfo |
dynamic |
Information om policymatchningar för hantering av insiderrisk för det innehåll som är inblandat i händelsen; i JSON-matrisformat |
UnallowedUrlDomains |
string |
Webbplatser eller tjänst-URL:er som är inblandade i den här händelsen och som är konfigurerade som Otillåtna i globala inställningar för hantering av insiderrisk |
ExternalUrlDomains |
string |
Webbplatser eller tjänst-URL:er som är inblandade i den här händelsen och som klassificeras som externa i globala inställningar för hantering av insiderrisk |
UrlDomainInfo |
string |
Information om de webbplatser eller tjänst-URL:er som är inblandade i händelsen |
SourceUrlDomain |
string |
Domän där enheten och e-postsignalerna härstammar |
TargetUrlDomain |
string |
Domän där innehållet har delats med eller användaren har bläddrat till |
EmailAttachmentCount |
int |
Antal e-postbilagor |
EmailAttachmentInfo |
dynamic |
Information om e-postbilagor; i JSON-matrisformat |
InternetMessageId |
string |
Offentlig identifierare för e-postmeddelandet eller Teams-meddelandet som anges av det sändande e-postsystemet |
NetworkMessageId |
guid |
Unik identifierare för e-postmeddelandet som genereras av Microsoft 365 |
EmailSubject |
string |
Ämne för e-postmeddelandet |
ObjectId |
string |
Unik identifierare för objektet som den registrerade åtgärden tillämpades på, om det gäller filer, innehåller den tillägget |
ObjectName |
string |
Namnet på det objekt som den inspelade åtgärden tillämpades på, i händelse av filer, innehåller det tillägget |
ObjectType |
string |
Typ av objekt, till exempel en fil eller en mapp, som den inspelade åtgärden tillämpades på |
ObjectSize |
int |
Storleken på objektet i byte |
IsHidden |
bool |
Anger om användaren har markerat innehållet som dolt (sant) eller inte (falskt) |
ActivityId |
guid |
Unik identifierare för aktivitetsloggen |
ActionType |
string |
Typ av aktivitet som utlöste händelsen |
SensitiveInfoTypeInfo |
dynamic |
Information om typer av känslig information för dataförlustskydd som identifierats i den påverkade tillgången |
SensitivityLabelId |
string |
Det aktuella Känslighetsetikett-ID för Microsoft Information Protection som är associerat med objektet |
SharepointSiteSensitivityLabelIds |
string |
Det aktuella ID för Känslighetsetiketter för Microsoft Information Protection som tilldelats till den överordnade webbplatsen för objektet som är relaterat till SharePoint-aktiviteter |
PreviousSensitivityLabelId |
string |
Föregående Microsoft-Information Protection känslighetsetikett-ID som är associerat med objektet i händelse av aktiviteter där känslighetsetiketten ändrades |
Operation |
string |
Namnet på administratörsaktiviteten |
RecipientEmailAddress |
string |
Email adress till mottagaren eller e-postadressen till mottagaren efter distributionslistans expansion |
SiteUrl |
string |
URL:en för den webbplats där filen eller mappen som användaren har åtkomst till finns |
SourceRelativeUrl |
string |
URL:en för mappen som innehåller filen som användaren har åtkomst till |
TargetFilePath |
string |
Målfilsökväg för slutpunktsaktiviteter |
PrinterName |
string |
Lista över skrivare som är inblandade i beteendet |
Workload |
string |
Microsoft 365-tjänsten där händelsen inträffade |
IrmActionCategory |
enum |
Ett unikt uppräkningsvärde som anger aktivitetskategorin i Hantering av interna risker i Microsoft Purview |
SequenceCorrelationId |
string |
Information om sekvensaktiviteten |
CloudAppAlertId |
string |
Unik identifierare för aviseringen i Microsoft Defender for Cloud Apps |
Relaterade artiklar
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.