BehaviorEntities (préversion)
S’applique à :
- Microsoft Defender XDR
Le BehaviorEntities tableau du schéma de repérage avancé contient des informations sur les comportements dans Microsoft Defender for Cloud Apps. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Importante
La BehaviorEntities table est en préversion et n’est pas disponible pour GCC. Les informations ici peuvent être considérablement modifiées avant leur publication commerciale. Microsoft n’offre aucune garantie, explicite ou implicite, concernant les informations fournies ici. Vous avez des commentaires à partager ? Remplissez notre formulaire de commentaires.
Les comportements sont un type de données dans Microsoft Defender XDR basé sur un ou plusieurs événements bruts. Les comportements fournissent des insights contextuels sur les événements et peuvent, mais pas nécessairement, indiquer une activité malveillante. En savoir plus sur les comportements
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure de génération de l’enregistrement |
BehaviorId |
string |
Identificateur unique du comportement |
ActionType |
string |
Type de comportement |
Categories |
string |
Type d’indicateur de menace ou d’activité de violation identifié par le comportement |
ServiceSource |
string |
Produit ou service qui a identifié le comportement |
DetectionSource |
string |
Technologie de détection ou capteur qui a identifié le composant ou l’activité notable |
DataSources |
string |
Produits ou services qui ont fourni des informations sur le comportement |
EntityType |
string |
Type d’objet, tel qu’un fichier, un processus, un appareil ou un utilisateur |
EntityRole |
string |
Indique si l’entité est impactée ou simplement liée |
DetailedEntityRole |
string |
Rôles de l’entité dans le comportement |
FileName |
string |
Nom du fichier auquel le comportement s’applique |
FolderPath |
string |
Dossier contenant le fichier auquel le comportement s’applique |
SHA1 |
string |
SHA-1 du fichier auquel le comportement s’applique |
SHA256 |
string |
SHA-256 du fichier auquel le comportement s’applique |
FileSize |
long |
Taille, en octets, du fichier auquel le comportement s’applique |
ThreatFamily |
string |
Famille de logiciels malveillants dont le fichier ou le processus suspect ou malveillant a été classé sous |
RemoteIP |
string |
Adresse IP à laquelle la connexion était en cours |
RemoteUrl |
string |
URL ou nom de domaine complet (FQDN) à laquelle/auquel la connexion était en cours |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain |
string |
Domaine du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
LocalIP |
string |
Adresse IP attribuée à l’appareil local utilisé pendant la communication |
NetworkMessageId |
string |
Identificateur unique d’e-mail, généré par Office 365 |
EmailSubject |
string |
Objet de l’e-mail |
EmailClusterId |
string |
Identificateur du groupe des e-mails similaires ordonnés en fonction de l’analyse heuristique de leur contenu. |
Application |
string |
Application qui a effectué l’action enregistrée |
ApplicationId |
int |
Identificateur unique de l’application |
OAuthApplicationId |
string |
Identificateur unique de l’application OAuth tierce |
ProcessCommandLine |
string |
Ligne de commande utilisée pour créer le nouveau processus |
RegistryKey |
string |
Clé de Registre à laquelle l’action enregistrée a été appliquée |
RegistryValueName |
string |
Nom de la valeur de Registre à laquelle l’action enregistrée a été appliquée |
RegistryValueData |
string |
Données de la valeur de Registre à laquelle l’action enregistrée a été appliquée |
AdditionalFields |
string |
Informations supplémentaires sur le comportement |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Collaborez avec la communauté Sécurité Microsoft dans notre communauté technique : Communauté technique Microsoft Defender XDR.