Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица поведения Microsoft Defender для конечных точек (MDE). Содержит сведения о сущностях (файлах, процессах, устройствах, пользователях и других), участвующих в поведении или наблюдении, включая обнаруженные угрозы.
Атрибуты таблицы
| Атрибут | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | Управление логами |
| Базовый журнал | Да |
| Преобразование во время поглощения | нет |
| Примеры запросов | - |
Столбцы
| колонка | Тип | Описание |
|---|---|---|
| Домен учетной записи | струна | Домен учетной записи. |
| Имя аккаунта | струна | Имя пользователя учетной записи. |
| АккаунтОбъектId | струна | Уникальный идентификатор учетной записи в Azure AD. |
| AccountSid | струна | Идентификатор безопасности учетной записи. |
| AccountUpn | струна | Основное имя пользователя (UPN) учетной записи. |
| ТипДействия | струна | Тип действия, активировав событие. Связан с конкретными техниками MITRE ATT&CK. |
| Дополнительные поля | струна | Дополнительные сведения о сущности или событии. |
| Заявление | струна | Приложение, выполняющее записанное действие. |
| ApplicationId | струна | Уникальный идентификатор приложения. |
| BehaviorId | струна | Уникальный идентификатор поведения. |
| _Размер выставленного счета | настоящий | Размер записи в байтах |
| Категории | струна | Типы индикатора угроз или действия нарушения, определяемые оповещением. Определено матрицей MITRE ATT&CK для организаций. |
| источники данных | струна | Продукты или службы, предоставляющие сведения о поведении. |
| ДетализированнаяРольСущности | струна | Роль сущности в поведении |
| Источник обнаружения | струна | Технология обнаружения или датчик, которые определили важный компонент или действие. |
| DeviceId | струна | Уникальный идентификатор устройства в службе. |
| Название устройства | струна | Полное доменное имя (FQDN) устройства. |
| ИдентификаторКластераEmail | струна | Идентификатор группы аналогичных сообщений электронной почты, кластеризованных на основе эвристического анализа их содержимого. |
| Тема письма | струна | Тема сообщения электронной почты. |
| EntityRole | струна | Указывает, подвержена ли сущность влиянию или просто связана. |
| Тип сущности | струна | Тип объекта, например файла, процесса, устройства или пользователя. |
| Имя файла | струна | Имя файла, связанного с оповещением. Пусто, если EntityType не является "File" или "Process". |
| Размер файла | длинный | Размер файла в байтах. Пусто, если EntityType не является "File" или "Process" |
| Путь к папке | струна | Папка, содержащая файл. Пусто, если EntityType не является "File" или "Process". |
| _ПодлежитОплате | струна | Указывает, подлежит ли потребление данных оплате. Когда _IsBillable равно false, за обработку не взимается плата с вашего аккаунта Azure. |
| Локальный IP-адрес | струна | IP-адрес, назначенный локальному компьютеру, используемому во время обмена данными. |
| NetworkMessageId (ИД сетевого сообщения) | струна | Уникальный идентификатор электронной почты в формате UUID, созданном Office 365. |
| идентификатор приложения OAuth | струна | Уникальный идентификатор стороннего приложения OAuth в формате UUID. |
| ProcessCommandLine | струна | Командная строка, используемая для создания нового процесса. |
| Ключ реестра | струна | Раздел реестра, к которому применено записанное действие. |
| ДанныеЗначенияРеестра | струна | Данные значения реестра, к которому применено записанное действие. |
| ИмяЗначенияРеестра | струна | Имя значения реестра, к которому применено записанное действие. |
| RemoteIP | струна | IP-адрес, к которому подключено подключение. |
| RemoteUrl | струна | URL-адрес или полное доменное имя (FQDN), к которому выполнялось подключение. |
| ServiceSource | струна | Продукт или служба, предоставляющие сведения об оповещении. |
| SHA1 | струна | Хэш SHA-1 файла. Пусто, если EntityType не является "File" или "Process". |
| SHA256 | струна | SHA-256 файла. Пусто, если EntityType не является "File" или "Process". |
| SourceSystem | струна | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агентов Windows в режиме прямого подключения или через Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор рабочей области Log Analytics |
| УгрозаСемья | струна | Семейство вредоносных программ, в соответствии с которым был классифицирован подозрительный или вредоносный файл или процесс. |
| Время генерации | дата/время | Дата и время создания записи. |
| Тип | струна | Имя таблицы. |