Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Microsoft Sentinel-beteendetabell. Innehåller information om entiteter (fil, process, enhet, användare och andra) som är inblandade i ett beteende eller en observation, inklusive identifierade hot.
Attributer för tabeller
| Attribute | Värde |
|---|---|
| Resurstyper | microsoft.securityinsights/securityinsights |
| Kategorier | Security |
| Lösningar | SecurityInsights |
| Grundläggande logg | Yes |
| Intagstidsförvandling | Nej |
| Exempelfrågor | - |
Columns
| Kolumn | Typ | Description |
|---|---|---|
| Kontodomän | snöre | Domän för kontot. |
| KontoNamn | snöre | Användarnamn för kontot. |
| Kontobjekt-ID | snöre | Unik identifierare för kontot i Microsoft Entra-ID. |
| AccountSid | snöre | Säkerhetsidentifierare (SID) för kontot. |
| AccountUpn | snöre | Användarens huvudnamn (UPN) för kontot. |
| Åtgärdstyp | snöre | Typ av beteende. |
| Ytterligare fält | snöre | Ytterligare information om entiteten eller händelsen. |
| Ansökan | snöre | Program som utförde den inspelade åtgärden. |
| ApplicationId | snöre | Unik identifierare för programmet. |
| BehaviorId | snöre | Unik identifierare för beteendet. |
| _Fakturastorlek | verklig / äkta | Datastorleken i byter |
| Kategorier | snöre | Typ av hotindikator eller intrångsaktivitet som identifieras av beteendet. |
| CloudPlatform | snöre | Den molnplattform som resursen tillhör kan vara Azure, Amazon Web Services eller Google Cloud Platform. |
| CloudResource | snöre | Namn på molnresurs. |
| CloudResourceId | snöre | Unik identifierare för den molnresurs som används. |
| CloudResourceType | snöre | Typ av molnresurs. |
| CloudSubscriptionId | snöre | Unik identifierare för molntjänstprenumerationen. |
| DataSources | snöre | Produkter eller tjänster som gav information om beteendet. |
| DetailedEntityRole | snöre | Entitetens roll i beteendet. |
| DetectionSource | snöre | Identifieringsteknik eller sensor som identifierade den anmärkningsvärda komponenten eller aktiviteten. |
| DeviceId | snöre | Unik identifierare för enheten i tjänsten. |
| Enhetsnamn | snöre | Fullständigt kvalificerat domännamn (FQDN) för enheten. |
| EmailClusterId | snöre | Identifierare för gruppen med liknande e-postmeddelanden klustrade baserat på heuristisk analys av innehållet. |
| EmailSubject | snöre | E-postmeddelandets ämne. |
| EntityRole | snöre | Anger om entiteten påverkas eller bara är relaterad. |
| Entitetstyp | snöre | Typ av objekt, till exempel en fil, en process, en enhet eller en användare. |
| filnamn | snöre | Namnet på filen som beteendet gäller för. |
| Filstorlek | long | Storlek, i byte, på filen som beteendet gäller för. |
| Mappsökväg | snöre | Mapp som innehåller filen som beteendet gäller för. |
| _ÄrFakturabar | snöre | Anger om dataingesteringen är kostnadsbelagd. När _IsBillable är false debiteras inte ingesteringen till ditt Azure-konto |
| LokalIP | snöre | IP-adress tilldelad till den lokala dator som användes under kommunikationen. |
| NetworkMessageId | snöre | Unik identifierare för e-postmeddelandet i UUID-format som genereras av Office 365. |
| OAuthApplicationId | snöre | Unik identifierare för OAuth-programmet från tredje part i UUID-format. |
| ProcessCommandLine | snöre | Kommandoraden som användes för att skapa den nya processen. |
| RegistryKey | snöre | Registernyckel som den registrerade åtgärden tillämpades på. |
| RegistryValueData | snöre | Data för registervärdet som den registrerade åtgärden tillämpades på. |
| RegistryValueName | snöre | Namnet på registervärdet som den registrerade åtgärden tillämpades på. |
| RemoteIP | snöre | IP-adress som var ansluten till. |
| RemoteUrl | snöre | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till. |
| _Resurs-id | snöre | En identifierare som är unik för resursen som registret är associerat med. |
| ServiceSource | snöre | Produkt eller tjänst som identifierade beteendet. |
| SHA1 | snöre | SHA-256 av filen som beteendet gäller för. |
| SHA256 | snöre | SHA-256 av filen. Tom om inte EntityType är "File" eller "Process". |
| Källsystem | snöre | Typen av agent som händelsen registrerades av. Till exempel OpsManager för Windows-agent, antingen direct connect eller Operations Manager, Linux för alla Linux-agenter, eller Azure för Azure Diagnostics. |
| _Prenumerations-ID | snöre | En unik identifierare för prenumerationen som rekordet är kopplat till |
| Hyresgivares-id | snöre | ID för Log Analytics-arbetsyte |
| ThreatFamily | snöre | Skadlig kodfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under. |
| Tidpunkt för generering | tidpunkt | Datum och tid då posten genererades. |
| Typ | snöre | Tabellens namn |