AlertEvidence
高级搜寻架构中的表包含与来自 Microsoft Defender for Endpoint、Microsoft Defender for Office 365 的警报关联的各种实体(文件、IP 地址、URL、用户或设备)的信息,Microsoft Defender for Cloud Apps和Microsoft Defender for Identity。 使用此参考来构建从此表返回信息的查询。
此高级搜寻表由各种Microsoft Defender服务的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署服务的详细信息,请参阅部署支持的服务。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
AlertId |
string |
警报的唯一标识符 |
Title |
string |
警报的标题 |
Categories |
string |
信息所属的类别列表,采用 JSON 数组格式 |
AttackTechniques |
string |
MITRE ATT&与触发警报的活动关联的 CK 技术 |
ServiceSource |
string |
提供警报信息的产品或服务 |
DetectionSource |
string |
识别值得注意的组件或活动的检测技术或传感器 |
EntityType |
string |
对象的类型,例如文件、进程、设备或用户 |
EvidenceRole |
string |
实体在警报中的参与方式,指示它是否受到影响或仅相关 |
EvidenceDirection |
string |
指示实体是网络连接的源还是目标 |
FileName |
string |
录制操作所应用到的文件的名称 |
FolderPath |
string |
包含已记录作应用到的文件的文件夹 |
SHA1 |
string |
录制操作所应用到的文件的 SHA-1 |
SHA256 |
string |
录制操作所应用到的文件的 SHA-256。 此字段通常不会填充 -- 使用 SHA1 列(如果可用)。 |
FileSize |
long |
文件的大小(以字节为单位) |
ThreatFamily |
string |
可疑或恶意文件或进程已分类的恶意软件系列 |
RemoteIP |
string |
连接到的 IP 地址 |
RemoteUrl |
string |
连接到的 URL 或完全限定域名 (FQDN) |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
LocalIP |
string |
分配给通信期间使用的本地设备的 IP 地址 |
NetworkMessageId |
string |
由 Office 365 生成的电子邮件的唯一标识符 |
EmailSubject |
string |
电子邮件主题 |
Application |
string |
执行录制作的应用程序 |
ApplicationId |
int |
应用程序的唯一标识符 |
OAuthApplicationId |
string |
第三方 OAuth 应用程序的唯一标识符 |
ProcessCommandLine |
string |
用于创建新进程的命令行 |
RegistryKey |
string |
记录的作应用于的注册表项 |
RegistryValueName |
string |
记录的作应用于的注册表值的名称 |
RegistryValueData |
string |
记录的作应用于的注册表值的数据 |
AdditionalFields |
string |
有关实体或事件的其他信息 |
Severity |
string |
指示警报所标识的威胁指示器或违反活动的潜在影响(高、中或低) |
CloudResource |
string |
云资源名称 |
CloudPlatform |
string |
资源所属的云平台可以是 Azure、Amazon Web Services 或 Google Cloud Platform |
ResourceType |
string |
云资源类型 |
ResourceID |
string |
访问的云资源的唯一标识符 |
SubscriptionId |
string |
云服务订阅的唯一标识符 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。