Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Beteendetabell för Microsoft Defender för slutpunktslösningar (MDE). Innehåller information om entiteter (fil, process, enhet, användare och andra) som är inblandade i ett beteende eller en observation, inklusive identifierade hot.
Attribut för tabell
| Egenskap | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Intagetidsomvandling | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Kontodomän | sträng | Domän för kontot. |
| Kontonamn | sträng | Användarnamn för kontot. |
| AccountObjectId | sträng | Unik identifierare för kontot i Azure AD. |
| AccountSid | sträng | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | sträng | Användarens huvudnamn (UPN) för kontot. |
| Åtgärdstyp | sträng | Typ av aktivitet som utlöste händelsen. Associerad med specifika MITRE ATT&CK-tekniker. |
| YtterligareFält | sträng | Ytterligare information om entiteten eller händelsen. |
| Applikation/Ansökan | sträng | Program som utförde den inspelade åtgärden. |
| ApplicationId | sträng | Unik identifierare för programmet. |
| BehaviorId | sträng | Unik identifierare för beteendet. |
| _Fakturastorlek | äkta | Datastorleken i byter |
| Kategorier | sträng | Typer av hotindikator eller intrångsaktivitet som identifieras av aviseringen. Definieras av MITRE ATT&CK-matrisen för företag. |
| Datakällor | sträng | Produkter eller tjänster som gav information om beteendet. |
| DetailedEntityRole | sträng | Entitetens roll i beteendet |
| Detektionskälla | sträng | Identifieringsteknik eller sensor som identifierade den anmärkningsvärda komponenten eller aktiviteten. |
| DeviceId | sträng | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| EmailClusterId | sträng | Identifierare för gruppen av liknande e-postmeddelanden grupperade baserat på heuristisk analys av deras innehåll. |
| E-postämne | sträng | Ämne för e-postmeddelandet. |
| Entitetsroll | sträng | Anger om entiteten påverkas eller bara är relaterad. |
| Entitetstyp | sträng | Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
| filnamn | sträng | Namnet på filen som ingår i aviseringen. Tom om inte EntityType är "File" eller "Process". |
| Filstorlek | lång | Filens storlek i byte. Tom om inte EntityType är "File" eller "Process" |
| FolderPath | sträng | Mapp som innehåller filen. Tom om inte EntityType är "File" eller "Process". |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är inställt på false kommer inmatning inte att debiteras på ditt Azure-konto |
| Lokal IP-adress | sträng | IP-adress tilldelad till den lokala dator som användes under kommunikationen. |
| Nätverksmeddelande-ID | sträng | Unik identifierare för e-postmeddelandet i UUID-format som genereras av Office 365. |
| OAuth-applikations-ID | sträng | Unik identifierare för OAuth-programmet från tredje part i UUID-format. |
| ProcessCommandLine | sträng | Kommandorad som används för att skapa den nya processen. |
| Registernyckel | sträng | Registernyckel som den registrerade åtgärden tillämpades på. |
| RegistryValueData | sträng | Data för registervärdet som den registrerade åtgärden tillämpades på. |
| Registervärdesnamn | sträng | Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
| Fjärr-IP | sträng | IP-adress som var ansluten till. |
| Fjärr-URL | sträng | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
| ServiceSource | sträng | Produkt eller tjänst som tillhandahöll aviseringsinformationen. |
| SHA1 | sträng | SHA-1-hash för filen. Tom om inte EntityType är "File" eller "Process". |
| SHA256 | sträng | SHA-256 för filen. Tom om inte EntityType är "File" eller "Process". |
| SourceSystem | sträng | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Hyresgivarens ID | sträng | Arbetsyte-ID för Log Analytics |
| ThreatFamily | sträng | Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
| TimeGenerated | tidpunkt | Datum och tid när posten skapades. |
| Typ | sträng | Namnet på tabellen |