AlertEvidence

Gilt für:

  • Microsoft Defender XDR

Die AlertEvidence Tabelle im Schema der erweiterten Suche enthält Informationen zu verschiedenen Entitäten –Dateien, IP-Adressen, URLs, Benutzern oder Geräten –, die Warnungen von Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
AlertId string Eindeutiger Bezeichner der Warnung
Title string Titel der Warnung
Categories string Liste der Kategorien, zu denen die Informationen gehören, im JSON-Arrayformat
AttackTechniques string MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die die Warnung ausgelöst hat
ServiceSource string Produkt oder Dienst, das die Warnungsinformationen bereitgestellt hat
DetectionSource string Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat
EntityType string Objekttyp, z. B. eine Datei, ein Prozess, ein Gerät oder ein Benutzer
EvidenceRole string Wie die Entität an einer Warnung beteiligt ist, die angibt, ob sie betroffen ist oder nur verknüpft ist
EvidenceDirection string Gibt an, ob die Entität die Quelle oder das Ziel einer Netzwerkverbindung ist.
FileName string Name der Datei, auf die die aufgezeichnete Aktion angewendet wurde
FolderPath string Ordner mit der Datei, auf die die aufgezeichnete Aktion angewendet wurde
SHA1 string SHA-1 der Datei, auf die die aufgezeichnete Aktion angewendet wurde
SHA256 string SHA-256 der Datei, auf die die aufgezeichnete Aktion angewendet wurde. Dieses Feld wird in der Regel nicht aufgefüllt. Verwenden Sie die SHA1-Spalte, wenn sie verfügbar ist.
FileSize long Größe der Datei in Bytes
ThreatFamily string Schadsoftwarefamilie, unter der die verdächtige oder schädliche Datei oder der prozess klassifiziert wurde
RemoteIP string IP-Adresse, mit der eine Verbindung hergestellt wurde
RemoteUrl string URL oder vollqualifizierter Domänenname (FQDN), mit der bzw. dem eine Verbindung hergestellt wurde
AccountName string Benutzername des Kontos
AccountDomain string Domäne des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
DeviceId string Eindeutiger Bezeichner für das Gerät im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
LocalIP string IP-Adresse, die dem lokalen Gerät zugewiesen ist, das während der Kommunikation verwendet wird
NetworkMessageId string Eindeutiger Bezeichner für die von Office 365 generierte E-Mail
EmailSubject string Betreff der E-Mail
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
ApplicationId int Eindeutiger Bezeichner für die Anwendung
OAuthApplicationId string Eindeutiger Bezeichner der OAuth-Anwendung eines Drittanbieters
ProcessCommandLine string Zum Erstellen des neuen Prozesses verwendete Befehlszeile
RegistryKey string Registrierungsschlüssel, auf den die aufgezeichnete Aktion angewendet wurde
RegistryValueName string Name des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde
RegistryValueData string Daten des Registrierungswerts, auf den die aufgezeichnete Aktion angewendet wurde
AdditionalFields string Zusätzliche Informationen zur Entität oder zum Ereignis
Severity string Zeigt die potenziellen Auswirkungen (hoch, mittel oder gering) des in der Warnung angegebenen Bedrohungsindikators bzw. der in der Warnung angegebenen Sicherheitsverletzungsaktivität an
CloudResource string Name der Cloudressource
CloudPlatform string Die Cloudplattform, zu der die Ressource gehört, kann Azure, Amazon Web Services oder Google Cloud Platform sein.
ResourceType string Typ der Cloudressource
ResourceID string Eindeutiger Bezeichner der Cloudressource, auf die zugegriffen wird
SubscriptionId string Eindeutiger Bezeichner des Clouddienstabonnements

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.