BehaviorEntities
高级搜寻架构中的表包含有关Microsoft Defender for Cloud Apps中的行为的信息。 使用此参考来构建从此表返回信息的查询。
重要
该 BehaviorEntities 表处于预览状态,不适用于 GCC。 在商业发布之前,此处的信息可能会进行重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。 有反馈要分享吗? 填写反馈 表单。
行为是基于一个或多个原始事件的Microsoft Defender XDR中的一种数据类型。 行为提供对事件的上下文见解,并且可以(但不一定)指示恶意活动。 详细了解行为
此高级搜寻表由Microsoft Defender for Cloud Apps中的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署服务的详细信息,请参阅部署支持的服务。
若要确保BehaviorEntities表由Microsoft Defender for Cloud Apps数据填充,
- 转到 Defender 门户并选择 “设置 > ”“云应用 > 应用应用连接器”。
- 在 “选择Microsoft 365 组件 ”页中,选中 “Microsoft 365 活动 ”复选框。 有关详细说明,请参阅:将 Microsoft 365 连接到Microsoft Defender for Cloud Apps
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
BehaviorId |
string |
行为的唯一标识符 |
ActionType |
string |
行为类型 |
Categories |
string |
行为标识的威胁指示器或违规活动类型 |
ServiceSource |
string |
识别行为的产品或服务 |
DetectionSource |
string |
识别值得注意的组件或活动的检测技术或传感器 |
DataSources |
string |
提供行为信息的产品或服务 |
EntityType |
string |
对象的类型,例如文件、进程、设备或用户 |
EntityRole |
string |
指示实体是受影响还是仅相关 |
DetailedEntityRole |
string |
实体在行为中的角色 |
FileName |
string |
行为应用于的文件的名称 |
FolderPath |
string |
包含该行为应用于的文件的文件夹 |
SHA1 |
string |
行为应用于的文件的 SHA-1 |
SHA256 |
string |
行为应用于的文件的 SHA-256 |
FileSize |
long |
行为应用于的文件的大小(以字节为单位) |
ThreatFamily |
string |
可疑或恶意文件或进程已分类的恶意软件系列 |
RemoteIP |
string |
连接到的 IP 地址 |
RemoteUrl |
string |
连接到的 URL 或完全限定域名 (FQDN) |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
LocalIP |
string |
分配给通信期间使用的本地设备的 IP 地址 |
NetworkMessageId |
string |
由 Office 365 生成的电子邮件的唯一标识符 |
EmailSubject |
string |
电子邮件主题 |
EmailClusterId |
string |
基于对内容的启发式分析群集的相似电子邮件组的标识符 |
Application |
string |
执行录制作的应用程序 |
ApplicationId |
int |
应用程序的唯一标识符 |
OAuthApplicationId |
string |
第三方 OAuth 应用程序的唯一标识符 |
ProcessCommandLine |
string |
用于创建新进程的命令行 |
RegistryKey |
string |
记录的作应用于的注册表项 |
RegistryValueName |
string |
记录的作应用于的注册表值的名称 |
RegistryValueData |
string |
记录的作应用于的注册表值的数据 |
AdditionalFields |
string |
有关该行为的其他信息 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。