通过

BehaviorEntities

  • 项目

Microsoft Defender for Endpoint (MDE) 行为表。 包含有关行为或观察中涉及的实体(文件、进程、设备、用户和其他实体)的信息,包括检测到的威胁。

数据表属性

特征 价值
资源类型 -
类别 安全
解决方案 日志管理
基本日志 是的
引入时转换
示例查询 -

类型 DESCRIPTION
AccountDomain 字符串 帐户的域名。
账户名称 字符串 帐户的用户名。
AccountObjectId 字符串 Azure AD 中帐户的唯一标识符。
AccountSid 字符串 帐户的安全标识符(SID)。
AccountUpn 字符串 帐户的用户主体名称 (UPN)。
操作类型 字符串 触发事件的活动类型。 与特定的 MITRE ATT&CK 技术相关联。
AdditionalFields 字符串 有关实体或活动的其他信息。
应用程序 字符串 执行所记录操作的应用程序。
ApplicationId 字符串 应用程序的唯一标识符。
BehaviorId 字符串 行为的唯一标识符。
_BilledSize(账单大小) real 记录大小(字节)
类别 字符串 警报标识的威胁指示器或违规活动的类型。 由 MITRE ATT&CK Matrix for Enterprise 定义。
数据源 字符串 为行为提供信息的产品或服务。
DetailedEntityRole 字符串 行为中实体的角色
检测来源 字符串 识别值得注意的组件或活动的检测技术或传感器。
DeviceId 字符串 设备在服务中的唯一标识符。
设备名称 字符串 设备的完全限定的域名 (FQDN)。
EmailClusterId 字符串 根据对电子邮件内容的启发式分析对一组类似的电子邮件进行聚类的标识符。
电子邮件主题 字符串 电子邮件的主题。
EntityRole 字符串 指示实体是受影响还是仅相关。
实体类型 字符串 对象类型,例如文件、进程、设备或用户。
文件名 字符串 警报中涉及的文件的名称。 空,除非 EntityType 为“File”或“Process”。
文件大小 长整型 文件的大小(以字节为单位)。 空,除非 EntityType 为“File”或“Process”
FolderPath 字符串 包含文件的文件夹。 空,除非 EntityType 为“File”或“Process”。
_IsBillable 字符串 指定导入数据是否需要付费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
本地IP地址 字符串 分配给通信期间使用的本地计算机的 IP 地址。
网络消息编号 字符串 由 Office 365 生成的 UUID 格式的电子邮件的唯一标识符。
OAuthApplicationId 字符串 UUID 格式的第三方 OAuth 应用程序的唯一标识符。
ProcessCommandLine 字符串 用于创建新进程的命令行。
RegistryKey 字符串 应用记录操作的注册表项。
RegistryValueData 字符串 应用记录操作的注册表值的数据。
RegistryValueName 字符串 所记录操作应用到的注册表值名称。
RemoteIP 字符串 连接到的 IP 地址。
RemoteUrl 字符串 所连接到的 URL 或完全限定的域名 (FQDN)。
ServiceSource 字符串 提供警报信息的产品或服务。
SHA1 字符串 文件的 SHA-1 哈希。 空,除非 EntityType 为“File”或“Process”。
SHA256 字符串 文件的 SHA-256。 空,除非 EntityType 为“File”或“Process”。
SourceSystem 字符串 收集事件的代理的类型。 例如,OpsManager 适用于 Windows 代理(无论是直接连接还是通过 Operations Manager),Linux 适用于所有 Linux 代理,Azure 适用于 Azure 诊断。
租户ID 字符串 Log Analytics 工作区 ID
ThreatFamily 字符串 可疑或恶意文件或进程所属的恶意软件家族。
TimeGenerated 日期/时间 生成记录的日期和时间。
类型 字符串 表的名称