DeviceAlertEvents
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Tabellen DeviceAlertEvents i det avancerade schemat för sökning innehåller information om aviseringar i Microsoft 365 Defender. Använd den här referensen för att skapa frågor som returnerar information från tabellen.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökningsschema.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
AlertId |
sträng | Unikt ID för aviseringen |
Timestamp |
datetime | Datum och tid då händelsen spelades in |
DeviceId |
sträng | Unikt ID för enheten i tjänsten |
DeviceName |
sträng | Fullständigt kvalificerat domännamn (FQDN) för enheten |
Severity |
sträng | Anger den potentiella påverkan (hög, medium eller låg) av hotindikatorn eller intrångsaktiviteten som identifieras av aviseringen |
Category |
sträng | Typ av hotindikator eller intrångsaktivitet som identifieras av aviseringen |
Title |
sträng | Aviseringens rubrik |
FileName |
sträng | Namnet på filen som den inspelade åtgärden tillämpats på |
SHA1 |
sträng | SHA-1 för filen som den inspelade åtgärden tillämpats på |
RemoteUrl |
sträng | URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till |
RemoteIP |
sträng | IP-adress som var ansluten till |
AttackTechniques |
sträng | MITRE ATT&CK-tekniker som är kopplade till aktiviteten som utlöste aviseringen |
ReportId |
long | Händelseidentifierare baserat på en räknare för upprepande händelser. För att identifiera unika händelser måste den här kolumnen användas med DeviceName Timestamp kolumnerna och |
Table |
sträng | Tabell som innehåller information om händelsen |