Microsoft Sentinel 行为表。 包含有关行为或观察中涉及的实体(文件、进程、设备、用户和其他实体)的信息,包括检测到的威胁。
数据表属性
| Attribute |
价值 |
|
资源类型 |
microsoft.securityinsights/securityinsights |
|
类别 |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时转换 |
否 |
|
示例查询 |
- |
列
| 列 |
类型 |
Description |
| AccountDomain |
字符串 |
帐户的域名。 |
| 账户名称 |
字符串 |
帐户的用户名。 |
| AccountObjectId |
字符串 |
Microsoft Entra ID 中帐户的唯一标识符。 |
| AccountSid |
字符串 |
帐户的安全标识符(SID)。 |
| AccountUpn |
字符串 |
帐户的用户主体名称 (UPN)。 |
| 操作类型 |
字符串 |
行为类型。 |
| AdditionalFields |
字符串 |
有关实体或活动的其他信息。 |
| Application |
字符串 |
执行记录作的应用程序。 |
| ApplicationId |
字符串 |
应用程序的唯一标识符。 |
| BehaviorId |
字符串 |
行为的唯一标识符。 |
| _BilledSize(账单大小) |
real |
记录大小(字节) |
| 类别 |
字符串 |
行为标识的威胁指示器或违规活动的类型。 |
| CloudPlatform |
字符串 |
资源所属的云平台可以是 Azure、Amazon Web Services 或 Google Cloud Platform。 |
| CloudResource |
字符串 |
云资源名称。 |
| CloudResourceId |
字符串 |
访问的云资源的唯一标识符。 |
| CloudResourceType |
字符串 |
云资源的类型。 |
| CloudSubscriptionId |
字符串 |
云服务订阅的唯一标识符。 |
| DataSources |
字符串 |
为行为提供信息的产品或服务。 |
| DetailedEntityRole |
字符串 |
行为中实体的角色。 |
| DetectionSource |
字符串 |
识别值得注意的组件或活动的检测技术或传感器。 |
| DeviceId |
字符串 |
设备在服务中的唯一标识符。 |
| 设备名称 |
字符串 |
设备的完全限定的域名 (FQDN)。 |
| EmailClusterId |
字符串 |
基于启发式分析其内容的类似电子邮件组的标识符。 |
| EmailSubject |
字符串 |
电子邮件的主题。 |
| EntityRole |
字符串 |
指示实体是受影响还是仅相关。 |
| 实体类型 |
字符串 |
对象类型,例如文件、进程、设备或用户。 |
| 文件名 |
字符串 |
行为应用于的文件的名称。 |
| 文件大小 |
long |
行为应用于的文件的大小(以字节为单位)。 |
| 文件夹路径 |
字符串 |
包含行为适用的文件的文件夹。 |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| LocalIP |
字符串 |
分配给通信期间使用的本地计算机的 IP 地址。 |
| 网络消息编号 |
字符串 |
由 Office 365 生成的 UUID 格式的电子邮件的唯一标识符。 |
| OAuthApplicationId |
字符串 |
UUID 格式的第三方 OAuth 应用程序的唯一标识符。 |
| ProcessCommandLine |
字符串 |
用于创建新进程的命令行。 |
| RegistryKey |
字符串 |
已记录作应用于的注册表项。 |
| RegistryValueData |
字符串 |
已记录作应用于的注册表值的数据。 |
| RegistryValueName |
字符串 |
已记录作应用于的注册表值的名称。 |
| RemoteIP |
字符串 |
连接到的 IP 地址。 |
| RemoteUrl |
字符串 |
要连接到的 URL 或完全限定的域名(FQDN)。 |
| _资源ID |
字符串 |
与记录关联的资源的唯一标识符 |
| ServiceSource |
字符串 |
标识行为的产品或服务。 |
| SHA1 |
字符串 |
行为应用于的文件的 SHA-256。 |
| SHA256 |
字符串 |
文件的 SHA-256。 空,除非 EntityType 为“File”或“Process”。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure Diagnostics 的 Azure。 |
| _SubscriptionId(订阅编号) |
字符串 |
唯一标识符,用于识别与此记录关联的订阅 |
| 租户ID |
字符串 |
Log Analytics 工作区 ID |
| ThreatFamily |
字符串 |
可疑或恶意文件或进程的恶意软件系列已分类。 |
| TimeGenerated |
日期/时间 |
生成记录的日期和时间。 |
| 类型 |
字符串 |
表的名称 |