Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица AlertEvidence в схеме расширенной охоты содержит сведения о различных сущностях (файлах, IP-адресах, URL-адресах, пользователях или устройствах), связанных с оповещениями от Microsoft Defender для конечной точки, Microsoft Defender для Office 365. Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Эта расширенная таблица охоты заполняется записями из различных служб Microsoft Defender. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании служб в Defender XDR см. в статье Развертывание поддерживаемых служб.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
AlertId |
string |
Уникальный идентификатор оповещения |
Title |
string |
Название оповещения |
Categories |
string |
Список категорий, к которым относится информация, в формате массива JSON |
AttackTechniques |
string |
MITRE ATT&методов CK, связанных с действием, которое активировало оповещение |
ServiceSource |
string |
Продукт или служба, которые предоставили сведения об оповещении |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
EntityType |
string |
Тип объекта, например файл, процесс, устройство или пользователь |
EvidenceRole |
string |
Как сущность участвует в оповещении, указывая, влияет ли она или просто связана |
EvidenceDirection |
string |
Указывает, является ли сущность источником или назначением сетевого подключения. |
FileName |
string |
Имя файла, к которому было применено записанное действие |
FolderPath |
string |
Папка, содержащая файл, к которому было применено записанное действие |
SHA1 |
string |
SHA-1 файла, к которому было применено записанное действие |
SHA256 |
string |
SHA-256 файла, к которому было применено записанное действие Обычно это поле не заполняется— используйте столбец SHA1, если он доступен. |
FileSize |
long |
Размер файла в байтах |
ThreatFamily |
string |
Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс |
RemoteIP |
string |
IP-адрес, к которому выполнено подключение |
RemoteUrl |
string |
URL-адрес или полное доменное имя, к которому выполнено подключение |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
LocalIP |
string |
IP-адрес, назначенный локальному устройству, используемому во время связи |
NetworkMessageId |
string |
Уникальный идентификатор сообщения электронной почты, сформированный в Office 365 |
EmailSubject |
string |
Тема письма |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
int |
Уникальный идентификатор приложения |
OAuthApplicationId |
string |
Уникальный идентификатор стороннего приложения OAuth |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
RegistryKey |
string |
Раздел реестра, к которому было применено записанное действие |
RegistryValueName |
string |
Имя значения реестра, к которому было применено записанное действие |
RegistryValueData |
string |
Данные значения реестра, к которому было применено записанное действие |
AdditionalFields |
string |
Дополнительные сведения о сущности или событии |
Severity |
string |
Указывает возможное воздействие (высокое, среднее или низкое) индикатора угрозы или нарушения, определенного оповещением |
CloudResource |
string |
Имя облачного ресурса |
CloudPlatform |
string |
Облачная платформа, к которой принадлежит ресурс, может быть Azure, Amazon Web Services или Google Cloud Platform. |
ResourceType |
string |
Тип облачного ресурса |
ResourceID |
string |
Уникальный идентификатор облачного ресурса, к который обращается |
SubscriptionId |
string |
Уникальный идентификатор подписки на облачную службу |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.