BehaviorEntities (anteprima)
Si applica a:
- Microsoft Defender XDR
La BehaviorEntities tabella nello schema di ricerca avanzata contiene informazioni sui comportamenti in Microsoft Defender for Cloud Apps. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Importante
La BehaviorEntities tabella è in anteprima e non è disponibile per GCC. Le informazioni qui possono essere sostanzialmente modificate prima che vengano rilasciate commercialmente. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento. Hai commenti e suggerimenti da condividere? Compilare il modulo di feedback.
I comportamenti sono un tipo di dati in Microsoft Defender XDR in base a uno o più eventi non elaborati. I comportamenti forniscono informazioni contestuali sugli eventi e possono, ma non necessariamente, indicare attività dannose. Altre informazioni sui comportamenti
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora in cui è stato generato il record |
BehaviorId |
string |
Identificatore univoco per il comportamento |
ActionType |
string |
Tipo di comportamento |
Categories |
string |
Tipo di indicatore di minaccia o attività di violazione identificata dal comportamento |
ServiceSource |
string |
Prodotto o servizio che ha identificato il comportamento |
DetectionSource |
string |
Tecnologia o sensore di rilevamento che ha identificato il componente o l'attività rilevanti |
DataSources |
string |
Prodotti o servizi che hanno fornito informazioni per il comportamento |
EntityType |
string |
Tipo di oggetto, ad esempio un file, un processo, un dispositivo o un utente |
EntityRole |
string |
Indica se l'entità è interessata o semplicemente correlata |
DetailedEntityRole |
string |
Ruoli dell'entità nel comportamento |
FileName |
string |
Nome del file a cui si applica il comportamento |
FolderPath |
string |
Cartella contenente il file a cui si applica il comportamento |
SHA1 |
string |
SHA-1 del file a cui si applica il comportamento |
SHA256 |
string |
SHA-256 del file a cui si applica il comportamento |
FileSize |
long |
Dimensioni, in byte, del file a cui si applica il comportamento |
ThreatFamily |
string |
Famiglia di malware in cui è stato classificato il file o il processo sospetto o dannoso |
RemoteIP |
string |
Indirizzo IP connesso a |
RemoteUrl |
string |
URL o nome di dominio completo (FQDN) connesso a |
AccountName |
string |
Nome utente dell'account |
AccountDomain |
string |
Dominio dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
DeviceId |
string |
Identificatore univoco per il dispositivo nel servizio |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
LocalIP |
string |
Indirizzo IP assegnato al dispositivo locale usato durante la comunicazione |
NetworkMessageId |
string |
Identificatore univoco per la posta elettronica, generato da Office 365 |
EmailSubject |
string |
Oggetto del messaggio di posta elettronica |
EmailClusterId |
string |
Identificatore del gruppo di messaggi di posta elettronica simili raggruppati in base a un'analisi euristica del contenuto |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
ApplicationId |
int |
Identificatore univoco per l'applicazione |
OAuthApplicationId |
string |
Identificatore univoco dell'applicazione OAuth di terze parti |
ProcessCommandLine |
string |
Riga di comando usata per creare il nuovo processo |
RegistryKey |
string |
Chiave del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueName |
string |
Nome del valore del Registro di sistema a cui è stata applicata l'azione registrata |
RegistryValueData |
string |
Dati del valore del Registro di sistema a cui è stata applicata l'azione registrata |
AdditionalFields |
string |
Informazioni aggiuntive sul comportamento |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.