AlertEvidence

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen i det avancerade sökschemat innehåller information om olika enheter – AlertEvidence filer, IP-adresser, URL-adresser, användare eller enheter – som associeras med aviseringar från Microsoft Defender för slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
AlertId string Unikt ID för aviseringen
ServiceSource string Produkt eller tjänst som tillhandahöll aviseringsinformationen
EntityType string Typ av objekt, till exempel en fil, en process, en enhet eller en användare
EvidenceRole string Hur entitet involveras i en avisering, som anger om den påverkas eller inte är relaterad
EvidenceDirection string Anger om entiteten är källan eller målet för en nätverksanslutning
FileName string Namnet på filen som den inspelade åtgärden tillämpats på
FolderPath string Mapp som innehåller den fil som den inspelade åtgärden tillämpats på
SHA1 string SHA-1 för filen som den inspelade åtgärden tillämpats på
SHA256 string SHA-256 av filen som den inspelade åtgärden tillämpats på. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig.
FileSize int Storlek på filen i byte
ThreatFamily string Programfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under
RemoteIP string IP-adress som var ansluten till
RemoteUrl string URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till
AccountName string Användarnamn för kontot
AccountDomain string Domän för kontot
AccountSid string Säkerhetsidentifierare (SID) för kontot
AccountObjectId string Unikt ID för kontot i Azure Active Directory
AccountUpn string Användarkontons huvudnamn (UPN)
DeviceId string Unikt ID för enheten i tjänsten
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för datorn
LocalIP string IP-adress tilldelad till den lokala enheten som används under kommunikation
NetworkMessageId string Unikt ID för e-postmeddelandet som genereras av Office 365
EmailSubject string E-postmeddelandets ämne
ApplicationId string Unikt ID för programmet
Application string Program som utförde den inspelade åtgärden
ProcessCommandLine string Kommandorad som används för att skapa den nya processen
AdditionalFields string Ytterligare information om händelsen i JSON-matrisformat
RegistryKey string Registernyckel som den inspelade åtgärden tillämpats på
RegistryValueName string Namnet på registervärdet som den inspelade åtgärden tillämpats på
RegistryValueData string Data för registervärdet som den inspelade åtgärden tillämpats på