通过

DataSecurityBehaviors (Preview)

  • 项目

适用于:

  • Microsoft Defender XDR
  • Microsoft Purview

重要

某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

DataSecurityBehaviors 高级搜寻架构中的表包含有关违反 Microsoft Purview 解决方案套件中配置的用户定义或默认策略的潜在可疑用户行为的见解。

见解涵盖一系列与数据安全相关的行为,例如涉及外泄、混淆、与 AI 应用程序进行风险交互等的行为。 通过聚合日历日中的用户行为并将其与以前的活动、对等组活动或用户完成的其他活动进行比较来生成见解。 见解还捕获各种风险透视(如敏感数据、风险目标等)的摘要。

使用此参考来构建从此表返回信息的查询。

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 生成或更新记录的日期和时间
BehaviorId string 行为的唯一标识符
ActionType string 行为类型。 请参阅Microsoft Purview 内部风险管理检测到的行为目录。
StartTime datetime 与行为相关的第一个活动的日期和时间
EndTime datetime 与行为相关的上一个活动的日期和时间
AttackTechniques string MITRE ATT&与触发该行为的活动关联的 CK 技术。 请参阅内部风险管理行为目录中的子技术。
Categories string 行为标识的威胁指示器或违规活动类型
ActionCategory enum 触发事件的作类别
Description string 行为说明
ServiceSource string 识别行为的产品或服务
DetectionSource string 识别值得注意的组件或活动的检测技术或传感器
ActivityCount int 在此行为下记录的用户活动事件总数
IsAnomalous bool 指示此用户行为本身是否异常,还是基于内部风险管理全局设置
IsContentHidden bool 指示行为是否涉及设备上的隐藏内容
AccountUpn string 用户主体名称 (帐户的 UPN)
AccountEmail string 帐户Email地址
Application string 执行录制作的应用程序
DeviceInfo dynamic 此行为涉及的设备的设备信息列表,包括设备 ID、设备名称以及设备所涉及的事件数;JSON 数组格式
SensitivityLabelInfo dynamic 分配给此行为中涉及的内容的敏感度标签列表,包括分配给相关内容的Microsoft信息保护敏感度标签的唯一标识符、敏感度标签的名称以及涉及此标签的行为中的事件数;JSON 数组格式
SensitiveInfoTypesInfo dynamic 在此行为所涉及的内容中检测到的敏感信息类型列表,包括敏感信息类型的唯一标识符、敏感信息类型的名称以及涉及此敏感信息类型的行为中的事件数;JSON 数组格式
UrlDomainInfo dynamic 行为中涉及的网站或服务 URL 的列表,包括 URL 域的名称、从域) 发送或接收 (数据的方向、 (客户配置的 URL 域类型或基于监视列表) 的 URL 域类型,以及涉及特定域的行为中的事件数;JSON 数组格式
SharepointSiteInfo dynamic 此行为涉及的 SharePoint 网站列表,包括 SharePoint 网站的唯一标识符、SharePoint 网站的名称以及涉及 SharePoint 网站的行为中的事件数;JSON 数组格式
RecipientEmailInfo dynamic 有关行为中涉及的收件人的信息列表,包括收件人的电子邮件地址和涉及收件人的行为中的事件数;JSON 数组格式
RemovableMediaInfo dynamic 行为中涉及的任何可移动媒体的列表,包括可移动媒体设备的序列号、可移动媒体设备的制造商以及可移动设备的型号;JSON 数组格式
PrinterName dynamic 行为中涉及的打印机列表;数组格式
PriorityContentMatchInfo dynamic 在此行为中标识的优先级内容匹配项及其关联详细信息的列表。 优先级内容定义由每个预览体验成员风险管理策略的管理员完成。 以 JSON 数组格式显示。

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区