Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A AlertEvidence tabela no esquema de investigação avançada contém informações sobre várias entidades ( ficheiros, endereços IP, URLs, utilizadores ou dispositivos) associadas a alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Esta tabela de investigação avançada é preenchida por registos de vários serviços Microsoft Defender. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar serviços no Defender XDR, leia Implementar serviços suportados.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
AlertId |
string |
Identificador exclusivo do alerta |
Title |
string |
Título do alerta |
Categories |
string |
Lista de categorias às quais as informações pertencem, no formato de matriz JSON |
AttackTechniques |
string |
MITRE ATT&técnicas CK associadas à atividade que acionou o alerta |
ServiceSource |
string |
Produto ou serviço que forneceu as informações do alerta |
DetectionSource |
string |
Tecnologia ou sensor de deteção que identificou o componente ou atividade notável |
EntityType |
string |
Tipo de objeto, como um ficheiro, um processo, um dispositivo ou um utilizador |
EvidenceRole |
string |
Como a entidade está envolvida num alerta, indicando se é afetada ou se está apenas relacionada |
EvidenceDirection |
string |
Indica se a entidade é a origem ou o destino de uma ligação de rede |
FileName |
string |
Nome do ficheiro ao qual a ação gravada foi aplicada |
FolderPath |
string |
Pasta que contém o ficheiro ao qual a ação gravada foi aplicada |
SHA1 |
string |
SHA-1 do ficheiro ao qual a ação gravada foi aplicada |
SHA256 |
string |
SHA-256 do ficheiro ao qual a ação gravada foi aplicada. Normalmente, este campo não é preenchido— utilize a coluna SHA1 quando estiver disponível. |
FileSize |
long |
Tamanho do ficheiro em bytes |
ThreatFamily |
string |
Família de software maligno em que o processo ou ficheiro suspeito ou malicioso foi classificado em |
RemoteIP |
string |
Endereço IP ao qual estava a ser ligado |
RemoteUrl |
string |
URL ou nome de domínio completamente qualificado (FQDN) ao qual estava a ser ligado |
AccountName |
string |
Nome de utilizador da conta |
AccountDomain |
string |
Domínio da conta |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
DeviceId |
string |
Identificador exclusivo do dispositivo no serviço |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
LocalIP |
string |
Endereço IP atribuído ao dispositivo local utilizado durante a comunicação |
NetworkMessageId |
string |
Identificador exclusivo do e-mail, gerado por Office 365 |
EmailSubject |
string |
Assunto do e-mail |
Application |
string |
Aplicação que executou a ação gravada |
ApplicationId |
int |
Identificador exclusivo da aplicação |
OAuthApplicationId |
string |
Identificador exclusivo da aplicação OAuth de terceiros |
ProcessCommandLine |
string |
Linha de comandos utilizada para criar o novo processo |
RegistryKey |
string |
Chave de registo à qual a ação registada foi aplicada |
RegistryValueName |
string |
Nome do valor de registo ao qual a ação registada foi aplicada |
RegistryValueData |
string |
Dados do valor de registo ao qual a ação registada foi aplicada |
AdditionalFields |
string |
Informações adicionais sobre a entidade ou evento |
Severity |
string |
Indica o impacto potencial (alto, médio ou baixo) do indicador de ameaça ou atividade de falha identificada pelo alerta |
CloudResource |
string |
Nome do recurso da cloud |
CloudPlatform |
string |
A plataforma na cloud à qual o recurso pertence pode ser a Azure, Amazon Web Services ou Google Cloud Platform |
ResourceType |
string |
Tipo de recurso da cloud |
ResourceID |
string |
Identificador exclusivo do recurso da cloud acedido |
SubscriptionId |
string |
Identificador exclusivo da subscrição do serviço cloud |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.