Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Tabla de comportamientos de Microsoft Defender para puntos de conexión (MDE). Contiene información sobre los comportamientos, que en el contexto de Microsoft 365 Defender hace referencia a una conclusión o información basada en uno o varios eventos sin procesar, que pueden proporcionar a los analistas más contexto en las investigaciones.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | Gestión de Logs |
| Registro básico | Sí |
| Transformación durante la ingesta | No |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AccountObjectId | cuerda / cadena | Identificador único de la cuenta en Azure AD. |
| AccountUpn | cuerda / cadena | Nombre principal de usuario (UPN) de la cuenta. |
| Tipo de Acción | cuerda / cadena | Tipo de actividad que desencadenó el evento. Asociado a las técnicas específicas de MITRE ATT&CK. |
| Campos adicionales | cuerda / cadena | Información adicional sobre la entidad o el evento. |
| Técnicas de Ataque | cuerda / cadena | Técnicas de MITRE ATT&CK asociadas a la actividad que desencadenó la alerta. Definido por la matriz MITRE ATT&CK para empresas. |
| BehaviorId | cuerda / cadena | Identificador único del comportamiento. |
| _BilledSize | verdadero | Tamaño del registro en bytes |
| Categorías | cuerda / cadena | Tipos de indicador de amenazas o actividad de vulneración identificadas por la alerta. Definido por la matriz MITRE ATT&CK para empresas. |
| Fuentes de Datos | cuerda / cadena | Productos o servicios que proporcionaron información para el comportamiento. |
| Descripción | cuerda / cadena | Descripción del comportamiento. |
| Fuente de Detección | cuerda / cadena | Tecnología de detección o sensor que identificó el componente o la actividad notables. |
| IdDelDispositivo | cuerda / cadena | Identificador único del dispositivo en el servicio. |
| Hora de finalización | fecha y hora | Fecha y hora de la última actividad relacionada con el comportamiento. |
| _IsBillable | cuerda / cadena | Especifica si la ingesta de los datos es facturable. Cuando el valor de _IsBillable es false, la ingesta no se facturará a su cuenta de Azure |
| ServiceSource | cuerda / cadena | Producto o servicio que proporcionó la información de alerta. |
| SourceSystem | cuerda / cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| HoraDeInicio | fecha y hora | Fecha y hora de la primera actividad relacionada con el comportamiento. |
| Id del inquilino | cuerda / cadena | El ID del espacio de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Fecha y hora en que se generó el registro. |
| Tipo | cuerda / cadena | Nombre de la tabla. |