AlertEvidence

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения:

  • Microsoft 365 Defender

Таблица в продвинутой схеме охоты содержит сведения о различных сущностями— AlertEvidence файлах, IP-адресах, URL-адресах, пользователях или устройствах, связанных с оповещениями из Microsoft Defender for Endpoint, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender for Identity. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
AlertId string Уникальный идентификатор оповещения
ServiceSource строка Продукт или служба, которые предоставили сведения об оповещении
EntityType string Тип объекта, например файл, процесс, устройство или пользователь
EvidenceRole строка Участие объекта в оповещении, указывающее, влияет ли оно на него или связано только с ним
EvidenceDirection string Указывает, является ли объект источником или предназначением сетевого подключения
FileName string Имя файла, к которому было применено записанное действие
FolderPath string Папка, содержащая файл, к котором было применено записано действие
SHA1 string SHA-1 файла, к которому было применено записанное действие
SHA256 string SHA-256 файла, к которому было применено записанное действие Это поле обычно не заполнено— используйте столбец SHA1 при наличии.
FileSize int Размер файла в bytes
ThreatFamily string Семейство вредоносных программ, засекреченное под подозрительным или вредоносным файлом или процессом
RemoteIP string IP-адрес, к которому выполнено подключение
RemoteUrl string URL-адрес или полное доменное имя, к которому выполнено подключение
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountSid строка Идентификатор безопасности (SID) учетной записи
AccountObjectId строка Уникальный идентификатор учетной записи в Azure Active Directory
AccountUpn string Основное имя пользователя (UPN) учетной записи
DeviceId строка Уникальный идентификатор устройства в службе
DeviceName string Полное доменное имя компьютера
LocalIP string IP-адрес, присвоенный локальному устройству, используемму во время связи
NetworkMessageId string Уникальный идентификатор сообщения электронной почты, сформированный в Office 365
EmailSubject string Тема письма
ApplicationId string Уникальный идентификатор для приложения
Application string Приложение, которое выполнило записанную акцию
ProcessCommandLine string Командная строка, используемая для создания нового процесса
AdditionalFields string Дополнительные сведения о событии в формате массива JSON
RegistryKey строка Ключ реестра, к который было применено записано действие
RegistryValueName string Имя значения реестра, к которое было применено записанное действие
RegistryValueData string Данные о значении реестра, которое было применено к зарегистрированным действиям