Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Tabella dei comportamenti di Microsoft Sentinel. Contiene informazioni sui comportamenti, che fanno riferimento a una conclusione o a informazioni dettagliate basate su uno o più eventi non elaborati, che possono fornire agli analisti più contesto nelle indagini.
Attributi di tabella
| Attribute | Value |
|---|---|
| Tipi di risorse | microsoft.securityinsights/securityinsights |
| Categorie | Security |
| Soluzioni | SecurityInsights |
| Log di base | Yes |
| Trasformazione durante l'ingestione | NO |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Description |
|---|---|---|
| AccountObjectId | corda | Identificatore univoco per l'account in Microsoft Entra ID. |
| AccountUpn | corda | Nome principale utente (UPN) dell'account. |
| Tipo di azione | corda | Tipo di comportamento. |
| Campi aggiuntivi | corda | Informazioni aggiuntive sull'entità o sull'evento. |
| AttackTechniques | corda | Tecniche MITRE ATT&CK associate all'attività che ha attivato il comportamento. |
| BehaviorId | corda | Identificatore univoco per il comportamento. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| Categorie | corda | Tipi di indicatori di minaccia o attività di violazione identificati dal comportamento. |
| DataSources | corda | Prodotti o servizi che hanno fornito informazioni sul comportamento. |
| Description | corda | Descrizione del comportamento. |
| DetectionSource | corda | Tecnologia di rilevamento o sensore che ha identificato il componente o l'attività rilevanti. |
| DeviceId | corda | Identificatore univoco per il dispositivo nel servizio. |
| EndTime | datetime | Data e ora dell'ultima attività correlata al comportamento. |
| _IsBillable | corda | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| _ResourceId | corda | Identificatore univoco della risorsa a cui è associato il record. |
| ServiceSource | corda | Prodotto o servizio che ha fornito il comportamento. |
| SourceSystem | corda | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| StartTime | datetime | Data e ora della prima attività correlata al comportamento. |
| _SubscriptionId (ID sottoscrizione) | corda | Identificatore univoco della sottoscrizione a cui è associato il record |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | datetime | Data e ora di generazione del record. |
| TIPO | corda | Nome della tabella |