Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица поведения Microsoft Defender для конечных точек (MDE). Содержит информацию о поведении, что в контексте Microsoft 365 Defender относится к заключению или инсайту на основе одного или нескольких сырых событий, которые могут предоставить аналитикам больше контекста в расследованиях.
Атрибуты таблицы
| Атрибут | Ценность |
|---|---|
| Типы ресурсов | - |
| Категории | Безопасность |
| Решения | Управление логами |
| Базовый журнал | Да |
| Трансформация во время поглощения | нет |
| Примеры запросов | - |
Колонки
| колонка | Тип | Описание |
|---|---|---|
| ИдентификаторОбъектаАккаунта | струна | Уникальный идентификатор учетной записи в Azure AD. |
| AccountUpn | струна | Основное имя пользователя (UPN) учетной записи. |
| ТипДействия | струна | Тип действия, активировав событие. Associated with specific MITRE ATT&CK techniques. |
| Дополнительные поля | струна | Дополнительные сведения о сущности или событии. |
| Техники атак | струна | MITRE ATT&CK techniques associated with the activity that triggered the alert. Defined by the MITRE ATT&CK Matrix for Enterprise. |
| Идентификатор поведения | струна | Уникальный идентификатор поведения. |
| _BilledSize | real | Размер записи в байтах |
| Категории | струна | Типы индикатора угроз или действия нарушения, определяемые оповещением. Defined by the MITRE ATT&CK Matrix for Enterprise. |
| источники данных | струна | Продукты или службы, предоставляющие сведения о поведении. |
| Описание | струна | Описание поведения. |
| Источник обнаружения | струна | Технология обнаружения или датчик, которые определили важный компонент или действие. |
| DeviceId | струна | Уникальный идентификатор устройства в службе. |
| Время окончания | дата/время | Дата и время последней активности, связанной с поведением. |
| _IsBillable | струна | Указывает, подлежит ли потребление данных выставлению счетов. Когда _IsBillable равно false, за обработку не взимается плата с вашего аккаунта Azure. |
| ServiceSource | струна | Продукт или служба, предоставляющие сведения об оповещении. |
| SourceSystem | струна | The type of agent the event was collected by. Например, OpsManager для агентов Windows в режиме прямого подключения или через Operations Manager, Linux для всех агентов Linux, или Azure для Azure Diagnostics. |
| Время начала | дата/время | Date and time of the first activity related to the behavior. |
| Идентификатор арендатора (TenantId) | струна | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата/время | Дата и время создания записи. |
| Тип | струна | Имя таблицы. |