AlertEvidence
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen i det avancerade sökschemat innehåller information om olika enheter – AlertEvidence filer, IP-adresser, URL-adresser, användare eller enheter – som associeras med aviseringar från Microsoft Defender för slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
AlertId |
string |
Unikt ID för aviseringen |
ServiceSource |
string |
Produkt eller tjänst som tillhandahöll aviseringsinformationen |
EntityType |
string |
Typ av objekt, till exempel en fil, en process, en enhet eller en användare |
EvidenceRole |
string |
Hur entitet involveras i en avisering, som anger om den påverkas eller inte är relaterad |
EvidenceDirection |
string |
Anger om entiteten är källan eller målet för en nätverksanslutning |
FileName |
string |
Namnet på filen som den inspelade åtgärden tillämpats på |
FolderPath |
string |
Mapp som innehåller den fil som den inspelade åtgärden tillämpats på |
SHA1 |
string |
SHA-1 för filen som den inspelade åtgärden tillämpats på |
SHA256 |
string |
SHA-256 av filen som den inspelade åtgärden tillämpats på. Det här fältet fylls vanligtvis inte i – använd SHA1-kolumnen när den är tillgänglig. |
FileSize |
int |
Storlek på filen i byte |
ThreatFamily |
string |
Programfamilj som den misstänkta eller skadliga filen eller processen har klassificerats under |
RemoteIP |
string |
IP-adress som var ansluten till |
RemoteUrl |
string |
URL eller fullständigt kvalificerat domännamn (FQDN) som var anslutet till |
AccountName |
string |
Användarnamn för kontot |
AccountDomain |
string |
Domän för kontot |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unikt ID för kontot i Azure Active Directory |
AccountUpn |
string |
Användarkontons huvudnamn (UPN) |
DeviceId |
string |
Unikt ID för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för datorn |
LocalIP |
string |
IP-adress tilldelad till den lokala enheten som används under kommunikation |
NetworkMessageId |
string |
Unikt ID för e-postmeddelandet som genereras av Office 365 |
EmailSubject |
string |
E-postmeddelandets ämne |
ApplicationId |
string |
Unikt ID för programmet |
Application |
string |
Program som utförde den inspelade åtgärden |
ProcessCommandLine |
string |
Kommandorad som används för att skapa den nya processen |
AdditionalFields |
string |
Ytterligare information om händelsen i JSON-matrisformat |
RegistryKey |
string |
Registernyckel som den inspelade åtgärden tillämpats på |
RegistryValueName |
string |
Namnet på registervärdet som den inspelade åtgärden tillämpats på |
RegistryValueData |
string |
Data för registervärdet som den inspelade åtgärden tillämpats på |