AlertEvidence

Gäller för:

  • Microsoft Defender XDR

Tabellen AlertEvidence i det avancerade jaktschemat innehåller information om olika entiteter – filer, IP-adresser, URL:er, användare eller enheter – som är associerade med aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen registrerades
AlertId string Unik identifierare för aviseringen
Title string Aviseringens rubrik
Categories string Lista över kategorier som informationen tillhör, i JSON-matrisformat
AttackTechniques string MITRE ATT&CK-tekniker som är associerade med aktiviteten som utlöste aviseringen
ServiceSource string Produkt eller tjänst som tillhandahöll aviseringsinformationen
DetectionSource string Identifieringsteknik eller sensor som identifierade den viktiga komponenten eller aktiviteten
EntityType string Typ av objekt, till exempel en fil, en process, en enhet eller en användare
EvidenceRole string Hur entiteten är inblandad i en avisering som anger om den påverkas eller bara är relaterad
EvidenceDirection string Anger om entiteten är källan eller målet för en nätverksanslutning
FileName string Namnet på filen som den inspelade åtgärden tillämpades på
FolderPath string Mapp som innehåller filen som den inspelade åtgärden tillämpades på
SHA1 string SHA-1 av filen som den inspelade åtgärden tillämpades på
SHA256 string SHA-256 av filen som den registrerade åtgärden tillämpades på. Det här fältet är vanligtvis inte ifyllt – använd SHA1-kolumnen när det är tillgängligt.
FileSize long Filens storlek i byte
ThreatFamily string skadlig kod som den misstänkta eller skadliga filen eller processen har klassificerats under
RemoteIP string IP-adress som var ansluten till
RemoteUrl string URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till
AccountName string Användarkontots användarnamn
AccountDomain string Domän för kontot
AccountSid string Säkerhetsidentifierare (SID) för kontot
AccountObjectId string Unik identifierare för kontot i Microsoft Entra ID
AccountUpn string Användarens huvudnamn (UPN) för kontot
DeviceId string Unik identifierare för enheten i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten
LocalIP string IP-adress tilldelad till den lokala enhet som används vid kommunikation
NetworkMessageId string Unik identifierare för e-postmeddelandet som genereras av Office 365
EmailSubject string Ämne för e-postmeddelandet
Application string Program som utförde den inspelade åtgärden
ApplicationId int Unik identifierare för programmet
OAuthApplicationId string Unik identifierare för OAuth-programmet från tredje part
ProcessCommandLine string Kommandorad som används för att skapa den nya processen
RegistryKey string Registernyckel som den registrerade åtgärden tillämpades på
RegistryValueName string Namnet på registervärdet som den registrerade åtgärden tillämpades på
RegistryValueData string Data för registervärdet som den registrerade åtgärden tillämpades på
AdditionalFields string Ytterligare information om entiteten eller händelsen
Severity string Anger den potentiella effekten (hög, medel eller låg) av hotindikatorn eller överträdelseaktiviteten som identifieras av aviseringen
CloudResource string Namn på molnresurs
CloudPlatform string Den molnplattform som resursen tillhör kan vara Azure, Amazon Web Services eller Google Cloud Platform
ResourceType string Typ av molnresurs
ResourceID string Unik identifierare för den molnresurs som används
SubscriptionId string Unik identifierare för molntjänstprenumerationen

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.