BehaviorEntities

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A BehaviorEntities tabela no esquema de caça avançado contém informações sobre comportamentos em Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.

Importante

Algumas informações estão relacionadas a produtos pré-lançados que podem ser substancialmente modificados antes de seu lançamento comercial. A Microsoft não faz garantias, expressas ou implícitas, quanto às informações fornecidas aqui.

Comportamentos são um tipo de dados em Microsoft Defender XDR com base em um ou mais eventos brutos. Comportamentos fornecem insights contextuais sobre eventos e podem, mas não necessariamente, indicar atividade mal-intencionada. Leia mais sobre comportamentos

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registro foi gerado
BehaviorId string Identificador exclusivo para o comportamento
ActionType string Tipo de comportamento
Categories string Tipo de indicador de ameaça ou atividade de violação identificada pelo comportamento
ServiceSource string Produto ou serviço que identificou o comportamento
DetectionSource string Tecnologia de detecção ou sensor que identificou o componente ou atividade notável
DataSources string Produtos ou serviços que forneceram informações para o comportamento
EntityType string Tipo de objeto, como um arquivo, um processo, um dispositivo ou um usuário
EntityRole string Indica se a entidade está afetada ou meramente relacionada
DetailedEntityRole string As funções da entidade no comportamento
FileName string Nome do arquivo ao qual o comportamento se aplica
FolderPath string Pasta que contém o arquivo ao qual o comportamento se aplica
SHA1 string SHA-1 do arquivo ao qual o comportamento se aplica
SHA256 string SHA-256 do arquivo ao qual o comportamento se aplica
FileSize long Tamanho, em bytes, do arquivo ao qual o comportamento se aplica
ThreatFamily string Família de malware em que o arquivo ou processo suspeito ou mal-intencionado foi classificado em
RemoteIP string Endereço IP que estava sendo conectado ao
RemoteUrl string URL ou FQDN (nome de domínio totalmente qualificado) que estava sendo conectado à
AccountName string Nome de usuário da conta
AccountDomain string Domínio da conta
AccountSid string Sid (Identificador de Segurança) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome da entidade de usuário (UPN) da conta
DeviceId string Identificador exclusivo para o dispositivo no serviço
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
LocalIP string Endereço IP atribuído ao dispositivo local usado durante a comunicação
NetworkMessageId string Identificador exclusivo do email, gerado pelo Office 365
EmailSubject string Assunto do email
EmailClusterId string Identificador do grupo de emails semelhantes clusterizados com base na análise heurística de seu conteúdo
Application string Aplicativo que executou a ação gravada
ApplicationId int Identificador exclusivo para o aplicativo
OAuthApplicationId string Identificador exclusivo do aplicativo OAuth de terceiros
ProcessCommandLine string Linha de comando usada para criar o novo processo
RegistryKey string Chave do registro à qual a ação registrada foi aplicada
RegistryValueName string Nome do valor do registro ao qual a ação registrada foi aplicada
RegistryValueData string Dados do valor do registro ao qual a ação registrada foi aplicada
AdditionalFields string Informações adicionais sobre o comportamento

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.