DataSecurityEvents (Preview)
适用于:
- Microsoft Defender XDR
- Microsoft Purview
重要
某些信息与预发布的产品有关,在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
DataSecurityEvents
高级搜寻架构中的表包含有关违反 Microsoft Purview 解决方案套件中用户定义的或默认策略的用户活动的信息。 每个日志都表示一个用户活动,其中扩充了专有Microsoft检测 ((如敏感信息类型) )和用户定义的扩充标签(如域类别、敏感度标签等)。
使用此参考来构建从此表返回信息的查询。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
ApplicationNames |
string |
使用或与事件相关的应用程序名称列表 |
DeviceId |
string |
Microsoft Defender for Endpoint 中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
AadDeviceId |
guid |
Microsoft Entra ID中设备的唯一标识符 |
IsManagedDevice |
bool |
指示设备是否由组织管理, (True) 或不 (False) |
DlpPolicyMatchInfo |
string |
有关与此事件匹配的数据丢失防护列表 (DLP) 策略的信息 |
DlpPolicyEnforcementMode |
int |
指示已强制执行的数据丢失防护策略;值可以是:0 (无) 、1 (审核) 、2 (警告) 、3 (警告和绕过) 、4 (块) 、5 (允许) |
DlpPolicyRuleMatchInfo |
dynamic |
与此事件匹配的数据丢失防护 (DLP) 规则的详细信息;JSON 数组格式 |
FileRenameInfo |
string |
此事件之前的文件 (文件名和扩展名) 的详细信息 |
PhysicalAccessPointId |
string |
物理接入点的唯一标识符 |
PhysicalAccessPointName |
string |
物理接入点的名称 |
PhysicalAccessStatus |
string |
物理访问的状态,无论是成功还是失败 |
PhysicalAssetTag |
string |
分配给资产的标记在 Microsoft Insider Risk Management 全局设置中配置 |
RemovableMediaManufacturer |
string |
可移动设备的制造商名称 |
RemovableMediaModel |
string |
可移动设备的型号名称 |
RemovableMediaSerialNumber |
string |
可移动设备的序列号 |
TeamsChannelName |
string |
Teams 频道的名称 |
TeamsChannelType |
string |
Teams 频道的类型 |
TeamsTeamName |
string |
Teams 团队的名称 |
UserAlternateEmails |
string |
用户的备用电子邮件或别名 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
Department |
string |
帐户用户所属的部门的名称 |
SourceCodeInfo |
string |
事件中涉及的源代码存储库的详细信息 |
CcPolicyMatchInfo |
dynamic |
此事件的通信合规性策略匹配的详细信息;JSON 数组格式 |
IPAddress |
string |
对其执行活动的客户端的 IP 地址;如果与Microsoft Defender for Cloud Apps警报相关,可以包含多个 IP |
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceSourceLocationType |
int |
指示终结点信号的来源位置的类型;值可以是:0 (未知) 、1 (本地) 、2 (远程) 、3 (可移动) 、4 (云) 、5 (文件共享) |
DeviceDestinationLocationType |
int |
指示终结点信号连接到的位置的类型;值可以是:0 (未知) 、1 (本地) 、2 (远程) 、3 (可移动) 、4 (云) 、5 (文件共享) |
IrmPolicyMatchInfo |
dynamic |
事件中涉及的内容的内部风险管理策略匹配的详细信息;JSON 数组格式 |
UnallowedUrlDomains |
string |
此事件中涉及的网站或服务 URL,在预览体验计划风险管理全局设置中配置为“未启用” |
ExternalUrlDomains |
string |
此事件涉及的网站或服务 URL,在预览体验计划风险管理全局设置中被分类为外部 |
UrlDomainInfo |
string |
有关事件中涉及的网站或服务 URL 的详细信息 |
SourceUrlDomain |
string |
设备和电子邮件信号的来源域 |
TargetUrlDomain |
string |
共享内容的域或用户浏览到的域 |
EmailAttachmentCount |
int |
电子邮件附件数 |
EmailAttachmentInfo |
dynamic |
电子邮件附件的详细信息;JSON 数组格式 |
InternetMessageId |
string |
由发送电子邮件系统设置的电子邮件或 Teams 邮件的面向公众的标识符 |
NetworkMessageId |
guid |
由 Microsoft 365 生成的电子邮件的唯一标识符 |
EmailSubject |
string |
电子邮件主题 |
ObjectId |
string |
已记录作应用于的对象的唯一标识符,如果是文件,则包含扩展名 |
ObjectName |
string |
已记录作应用于的对象的名称,如果为文件,则包含扩展名 |
ObjectType |
string |
记录的作应用于的对象类型,如文件或文件夹 |
ObjectSize |
int |
对象的大小(以字节为单位) |
IsHidden |
bool |
指示用户是否已将内容标记为隐藏 (True) 是否 (False) |
ActivityId |
guid |
活动日志的唯一标识符 |
ActionType |
string |
触发事件的活动类型 |
SensitiveInfoTypeInfo |
dynamic |
在受影响的资产中检测到的数据丢失防护敏感信息类型的详细信息 |
SensitivityLabelId |
string |
与项关联的当前Microsoft信息保护敏感度标签 ID |
SharepointSiteSensitivityLabelIds |
string |
当前Microsoft信息保护分配给与 SharePoint 活动相关的项目的父网站的敏感度标签 ID |
PreviousSensitivityLabelId |
string |
前面的Microsoft信息保护与项目关联的敏感度标签 ID(如果更改了敏感度标签的活动) |
Operation |
string |
管理员活动的名称 |
RecipientEmailAddress |
string |
收件人的电子邮件地址,或通讯组列表扩展后收件人的电子邮件地址 |
SiteUrl |
string |
用户访问的文件或文件夹所在的站点的 URL |
SourceRelativeUrl |
string |
包含用户访问的文件的文件夹的 URL |
TargetFilePath |
string |
终结点活动的目标文件路径 |
PrinterName |
string |
行为中涉及的打印机列表 |
Workload |
string |
发生事件的 Microsoft 365 服务 |
IrmActionCategory |
enum |
指示Microsoft Purview 内部风险管理中的活动类别的唯一枚举值 |
SequenceCorrelationId |
string |
序列活动的详细信息 |
CloudAppAlertId |
string |
Microsoft Defender for Cloud Apps中警报的唯一标识符 |
相关文章
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。