Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица BehaviorEntities в схеме расширенного поиска содержит сведения о сущностях (файл, процесс, устройство, пользователь и другие), участвующих в поведении в Microsoft Defender for Cloud Apps и аналитике поведения пользователей и сущностей (UEBA). Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Таблица BehaviorEntities доступна в предварительной версии и недоступна для GCC. Сведения, приведенные здесь, могут быть существенно изменены до ее коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений. Вы хотите поделиться своими отзывами? Заполните форму обратной связи.
Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения см. в следующих статьях:
- Изучение поведения с помощью расширенной охоты
- Преобразование необработанных журналов безопасности в аналитику поведения с помощью поведения UEBA в Microsoft Sentinel
Эта расширенная таблица охоты заполняется записями из Defender for Cloud Apps и UEBA. Если ваша организация не развертывает эти службы в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании служб в Defender XDR см. в разделе Развертывание поддерживаемых служб.
Чтобы убедиться, что данные Defender for Cloud Apps и UEBA заполняют таблицуBehaviorEntities, следуйте инструкциям в следующих статьях:
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
BehaviorId |
string |
Уникальный идентификатор для поведения |
Categories |
string |
Тип индикатора угрозы или действия нарушения безопасности, определяемый поведением, как определено платформой MITRE ATT&CK |
ServiceSource |
string |
Продукт или служба, определяющая поведение |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
DataSources |
string |
Продукты или службы, предоставляющие сведения о поведении |
EntityType |
string |
Тип объекта, например файл, процесс, устройство или пользователь |
EntityRole |
string |
Указывает, связана ли сущность. |
DetailedEntityRole |
string |
Роли сущности в поведении |
FileName |
string |
Имя файла, к которому применяется поведение |
FolderPath |
string |
Папка, содержащая файл, к которому применяется поведение |
SHA1 |
string |
SHA-1 файла, к которому применяется поведение |
SHA256 |
string |
SHA-256 файла, к которому применяется поведение |
FileSize |
long |
Размер (в байтах) файла, к которому применяется поведение |
ThreatFamily |
string |
Семейство вредоносных программ, в которое классифицируется подозрительный или вредоносный файл или процесс |
RemoteIP |
string |
IP-адрес, к которому выполнено подключение |
RemoteUrl |
string |
URL-адрес или полное доменное имя, к которому выполнено подключение |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
CloudPlatform |
string |
Облачная платформа, к которой принадлежит ресурс, может быть Azure, Amazon Web Services или Google Cloud Platform. |
CloudResourceType |
string |
Тип облачного ресурса |
CloudResourceId |
string |
Уникальный идентификатор облачного ресурса, к который обращается |
CloudSubscriptionId |
string |
Уникальный идентификатор подписки на облачную службу |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
LocalIP |
string |
IP-адрес, назначенный локальному устройству, используемому во время связи |
NetworkMessageId |
string |
Уникальный идентификатор электронной почты, созданный Microsoft 365 |
EmailSubject |
string |
Тема письма |
EmailClusterId |
string |
Идентификатор группы схожих сообщений электронной почты, сгруппированных на основе эвристического анализа их содержания |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
int |
Уникальный идентификатор приложения |
OAuthApplicationId |
string |
Уникальный идентификатор стороннего приложения OAuth |
ProcessCommandLine |
string |
Командная строка, используемая для создания нового процесса |
RegistryKey |
string |
Раздел реестра, к которому было применено записанное действие |
RegistryValueName |
string |
Имя значения реестра, к которому было применено записанное действие |
RegistryValueData |
string |
Данные значения реестра, к которому было применено записанное действие |
AdditionalFields |
string |
Дополнительные сведения о поведении |
ActionType |
string |
Тип поведения |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.