Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Microsoft Defender für Endpunkte (MDE)-Verhaltenstabelle. Enthält Informationen zu Verhaltensweisen, die im Kontext von Microsoft 365 Defender auf eine Schlussfolgerung oder einen Einblick basierend auf einem oder mehreren Rohereignissen verweisen, die Analysten in Untersuchungen mehr Kontext bieten können.
Tabellenattribute
| Merkmal | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | Protokollmanagement |
| Standardprotokoll | Ja |
| Transformation bei Aufnahme | Nein |
| Beispielabfragen | - |
Spalten
| Column | Typ | BESCHREIBUNG |
|---|---|---|
| AccountObjectId | Schnur | Eindeutiger Bezeichner für das Konto in Azure AD. |
| AccountUpn | Schnur | Benutzerprinzipalname (UPN) des Kontos. |
| Aktionstyp | Schnur | Typ der Aktivität, die das Ereignis ausgelöst hat. Mit spezifischen MITRE ATT&CK-Techniken verknüpft. |
| Zusätzliche Felder | Schnur | Zusätzliche Informationen zur Entität oder zum Ereignis. |
| AttackTechniques | Schnur | MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die die Warnung ausgelöst hat. Definiert durch die MITRE ATT&CK Matrix for Enterprise. |
| BehaviorId | Schnur | Eindeutiger Bezeichner für das Verhalten. |
| _BilledSize | real | Die Datensatzgröße in Bytes. |
| Kategorien | Schnur | Arten von Bedrohungsindikator oder Sicherheitsverletzungsaktivitäten, die von der Warnung identifiziert werden. Definiert durch die MITRE ATT&CK Matrix for Enterprise. |
| Datenquellen | Schnur | Produkte oder Dienste, die Informationen für das Verhalten bereitgestellt haben. |
| BESCHREIBUNG | Schnur | Beschreibung des Verhaltens. |
| Erkennungsquelle | Schnur | Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat. |
| Geräte-ID | Schnur | Eindeutiger Bezeichner für das Gerät im Dienst. |
| EndTime | Datum/Uhrzeit | Datum und Uhrzeit der letzten Aktivität im Zusammenhang mit dem Verhalten. |
| _IstAbrechnungsfähig | Schnur | Gibt an, ob das Einlesen der Daten gebührenpflichtig ist. Wenn _IsBillable auf den Wert false festgelegt ist, wird die Eingabe Ihrem Azure-Konto nicht in Rechnung gestellt. |
| ServiceSource | Schnur | Produkt oder Dienst, das die Warnungsinformationen bereitgestellt hat. |
| SourceSystem | Schnur | Typ des Agenten, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Startzeit | Datum/Uhrzeit | Datum und Uhrzeit der ersten Aktivität im Zusammenhang mit dem Verhalten. |
| Mieter-ID | Schnur | Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated | Datum/Uhrzeit | Datum und Uhrzeit der Erstellung des Datensatzes. |
| Typ | Schnur | Der Name der Tabelle. |