DeviceAlertEvents

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Tabellen DeviceAlertEvents i det avancerade schemat för sökning innehåller information om aviseringar i Microsoft 365 Defender. Använd den här referensen för att skapa frågor som returnerar information från tabellen.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökningsschema.

Kolumnnamn Datatyp Beskrivning
AlertId sträng Unikt ID för aviseringen
Timestamp datetime Datum och tid då händelsen spelades in
DeviceId sträng Unikt ID för enheten i tjänsten
DeviceName sträng Fullständigt kvalificerat domännamn (FQDN) för enheten
Severity sträng Anger den potentiella påverkan (hög, medium eller låg) av hotindikatorn eller intrångsaktiviteten som identifieras av aviseringen
Category sträng Typ av hotindikator eller intrångsaktivitet som identifieras av aviseringen
Title sträng Aviseringens rubrik
FileName sträng Namnet på filen som den inspelade åtgärden tillämpats på
SHA1 sträng SHA-1 för filen som den inspelade åtgärden tillämpats på
RemoteUrl sträng URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till
RemoteIP sträng IP-adress som var ansluten till
AttackTechniques sträng MITRE ATT&CK-tekniker som är kopplade till aktiviteten som utlöste aviseringen
ReportId long Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas med DeviceName Timestamp kolumnerna och
Table sträng Tabell som innehåller information om händelsen