Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Таблица BehaviorInfo в схеме расширенной охоты содержит сведения об оповещениях от Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Важно!
Таблица BehaviorInfo доступна в предварительной версии и недоступна для GCC. Сведения, приведенные здесь, могут быть существенно изменены до ее коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений. Вы хотите поделиться своими отзывами? Заполните форму обратной связи.
Поведение — это тип данных в Microsoft Defender XDR, основанный на одном или нескольких необработанных событиях. Поведение обеспечивает контекстное представление о событиях и может, но не обязательно, указывать на вредоносные действия. Дополнительные сведения о поведении
Эта расширенная таблица охоты заполняется записями из Microsoft Defender for Cloud Apps. Если ваша организация не развернула службу в Microsoft Defender XDR, запросы, использующие таблицу, не будут работать или возвращать результаты. Дополнительные сведения о развертывании служб в Defender XDR см. в статье Развертывание поддерживаемых служб.
Чтобы убедиться, BehaviorInfo что таблица заполнена Microsoft Defender for Cloud Apps данными:
- Перейдите на портал Defender и выберите Параметры Облачные > приложения > Соединители приложений.
- На странице Выбор компонентов Microsoft 365 установите флажок Действия Microsoft 365 . Подробные инструкции см. в статье Подключение Microsoft 365 к Microsoft Defender for Cloud Apps
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
BehaviorId |
string |
Уникальный идентификатор для поведения |
ActionType |
string |
Тип поведения |
Description |
string |
Описание поведения |
Categories |
string |
Тип индикатора угрозы или действия нарушения безопасности, определяемые поведением |
AttackTechniques |
string |
MITRE ATT&методов CK, связанных с действием, которое активировало поведение |
ServiceSource |
string |
Продукт или служба, определяющая поведение |
DetectionSource |
string |
Технология обнаружения или датчик, который идентифицировал важный компонент или действие |
DataSources |
string |
Продукты или службы, предоставляющие сведения о поведении |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
StartTime |
datetime |
Дата и время первого действия, связанного с поведением |
EndTime |
datetime |
Дата и время последнего действия, связанного с поведением |
AdditionalFields |
string |
Дополнительные сведения о поведении |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.