M365 Defender 集成
编辑M365 Defender 集成
编辑概述
编辑Microsoft 365 Defender 集成允许您监控警报、事件(Microsoft Graph 安全 API)和事件(流式 API)日志。Microsoft 365 Defender 是一套统一的、贯穿攻击前和攻击后的企业防御套件,它可以在端点、身份、电子邮件和应用程序之间本地协调检测、预防、调查和响应,从而提供针对复杂攻击的集成保护。
使用 Microsoft 365 Defender 集成来收集和解析来自 Microsoft Azure 事件中心、Microsoft Graph Security v1.0 REST API 和 Microsoft 365 Defender API 的数据。然后,在 Kibana 中可视化这些数据。
例如,您可以使用此集成中的数据来整合和关联来自多个来源的安全警报。此外,通过查看警报和事件,用户可以在 Microsoft 365 Defender 门户中采取适当的措施。
数据流
编辑Microsoft 365 Defender 集成收集四种事件类型的日志:警报、事件、事件和日志。
警报:此数据流利用 M365 Defender 流式 API 来收集警报,包括 Microsoft 或合作伙伴安全提供商已识别并标记为需要采取行动的客户租户中的可疑活动。
事件(推荐):此数据流利用 M365 Defender 流式 API 来收集警报、设备、电子邮件、应用程序和身份事件。事件将流式传输到 Azure 事件中心。有关流式 API 公开并由 Elastic 集成支持的支持事件列表,请参阅 Microsoft 的文档此处。
事件和警报(推荐):此数据流利用 Microsoft Graph 安全 API 来摄取关联的警报实例集合和相关元数据,这些元数据反映了 M365D 中的攻击故事。此集成支持来自 Microsoft 365 Defender、Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Identity、Microsoft Defender for Cloud Apps 和 Microsoft Purview 数据丢失防护的事件。
日志(已弃用):不建议使用此数据流,因为它会从 Microsoft 计划弃用的 SIEM API 中收集事件。当 Microsoft 弃用 SIEM API 时,将删除此数据流。如果您目前正在使用此数据流,我们建议您迁移到支持 Microsoft Graph Security API 的事件数据流。事件数据流收集与日志数据流相同的数据。有关从 SIEM API 迁移到 Graph Security API 的更多信息,请参阅 Microsoft 的文档。
要求
编辑您需要 Elasticsearch 来存储和搜索您的数据,以及 Kibana 来可视化和管理它。您可以使用我们托管在 Elastic Cloud 上的 Elasticsearch 服务(推荐),或者在您自己的硬件上自行管理 Elastic Stack。
此模块使用了 Microsoft Azure 事件中心用于流式事件,Microsoft Graph Security v1.0 REST API用于事件,以及 Microsoft 365 Defender API用于日志数据流。
对于 事件,在 filebeat Azure 事件中心输入中,分区上的租约和事件流中的检查点等状态在接收器之间使用 Azure 存储容器共享。因此,作为使用此输入的前提条件,用户必须创建或使用现有的存储帐户。
兼容性
编辑-
当前集成版本中已支持受支持的 Microsoft 365 Defender 流式事件类型
序号 资源类型 1
AlertEvidence
2
AlertInfo
3
DeviceEvents
4
DeviceFileCertificateInfo
5
DeviceFileEvents
6
DeviceImageLoadEvents
7
DeviceInfo
8
DeviceLogonEvents
9
DeviceNetworkEvents
10
DeviceNetworkInfo
11
DeviceProcessEvents
12
DeviceRegistryEvents
13
EmailAttachmentInfo
14
EmailEvents
15
EmailPostDeliveryEvents
16
EmailUrlInfo
17
IdentityLogonEvents
18
IdentityQueryEvents
19
IdentityDirectoryEvents
20
CloudAppEvents
21
UrlClickEvent
设置
编辑要从 Microsoft Azure 事件中心收集数据,请按照以下步骤操作
编辑要从 Microsoft Graph Security v1.0 REST API 收集数据,请按照以下步骤操作
编辑- 注册新的 Azure 应用程序.
- 访问事件 API 所需的权限为 SecurityIncident.Read.All。 请参阅更多详细信息此处
- 创建应用程序后,它将生成客户端 ID、客户端密钥和租户 ID 值,这些值是收集警报和事件数据所必需的。
要从 Microsoft 365 Defender REST API 收集数据,请按照以下步骤操作
编辑- 注册新的 Azure 应用程序.
- 访问日志 API 所需的权限为 Incident.Read.All。
- 创建应用程序后,它将生成客户端 ID、客户端密钥和租户 ID 值,这些值是收集日志数据所必需的。
日志参考
编辑警报
编辑这是 alert 数据集。
示例
alert 的示例事件如下所示
{
"@timestamp": "2023-10-20T09:54:07.503Z",
"agent": {
"ephemeral_id": "5047ff1c-c1ac-4b5f-aaff-47aee13c110b",
"id": "54d960cc-1254-43af-8389-292d7627367d",
"name": "elastic-agent-15120",
"type": "filebeat",
"version": "8.14.3"
},
"cloud": {
"account": {
"id": "3adb963c-8e61-48e8-a06d-6dbb0dacea39"
}
},
"data_stream": {
"dataset": "m365_defender.alert",
"namespace": "14786",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "54d960cc-1254-43af-8389-292d7627367d",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": [
"detected"
],
"agent_id_status": "verified",
"category": [
"host",
"iam",
"network",
"process"
],
"created": "2023-10-20T09:53:09.883Z",
"dataset": "m365_defender.alert",
"duration": 2478000000,
"end": "2023-10-20T09:51:41.993Z",
"id": "daefa1828b-dd4e-405c-8a3b-aa28596830dd_1",
"ingested": "2024-08-12T16:00:30Z",
"kind": "alert",
"original": "{\"actorDisplayName\":null,\"additionalData\":null,\"alertPolicyId\":null,\"alertWebUrl\":\"https://security.microsoft.com/alerts/daefa1828b-dd4e-405c-8a3b-aa28596830dd_1?tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39\",\"assignedTo\":null,\"category\":\"Execution\",\"classification\":null,\"comments\":[],\"createdDateTime\":\"2023-10-20T09:53:09.8839373Z\",\"description\":\"A suspicious PowerShell activity was observed on the machine. \\nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.\",\"detectionSource\":\"microsoftDefenderForEndpoint\",\"detectorId\":\"7f1c3609-a3ff-40e2-995b-c01770161d68\",\"determination\":null,\"evidence\":[{\"@odata.type\":\"#microsoft.graph.security.deviceEvidence\",\"azureAdDeviceId\":\"f18bd540-d5e4-46e0-8ddd-3d03a59e4e14\",\"createdDateTime\":\"2023-10-20T09:53:10.1933333Z\",\"defenderAvStatus\":\"notSupported\",\"detailedRoles\":[\"PrimaryDevice\"],\"deviceDnsName\":\"clw555test\",\"firstSeenDateTime\":\"2023-10-20T09:50:17.7383987Z\",\"healthStatus\":\"inactive\",\"ipInterfaces\":[\"192.168.5.65\",\"fe80::cfe4:80b:615c:38fb\",\"127.0.0.1\",\"::1\"],\"loggedOnUsers\":[{\"accountName\":\"CDPUserIS-38411\",\"domainName\":\"AzureAD\"}],\"mdeDeviceId\":\"505d70d89cfa3428f7aac7d2eb3a64c60fd3d843\",\"onboardingStatus\":\"onboarded\",\"osBuild\":22621,\"osPlatform\":\"Windows11\",\"rbacGroupId\":0,\"rbacGroupName\":null,\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"riskScore\":\"high\",\"roles\":[],\"tags\":[],\"verdict\":\"unknown\",\"version\":\"22H2\",\"vmMetadata\":null},{\"@odata.type\":\"#microsoft.graph.security.userEvidence\",\"createdDateTime\":\"2023-10-20T09:53:10.1933333Z\",\"detailedRoles\":[],\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"userAccount\":{\"accountName\":\"CDPUserIS-38411\",\"azureAdUserId\":null,\"displayName\":null,\"domainName\":\"AzureAD\",\"userPrincipalName\":null,\"userSid\":\"S-1-12-1-1485667349-1150190949-4065799612-2328216759\"},\"verdict\":\"unknown\"},{\"@odata.type\":\"#microsoft.graph.security.urlEvidence\",\"createdDateTime\":\"2023-10-20T09:53:10.1933333Z\",\"detailedRoles\":[],\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"url\":\"http://127.0.0.1/1.exe\",\"verdict\":\"suspicious\"},{\"@odata.type\":\"#microsoft.graph.security.ipEvidence\",\"countryLetterCode\":null,\"createdDateTime\":\"2023-10-20T09:53:10.1933333Z\",\"detailedRoles\":[],\"ipAddress\":\"127.0.0.1\",\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"verdict\":\"suspicious\"},{\"@odata.type\":\"#microsoft.graph.security.processEvidence\",\"createdDateTime\":\"2023-10-20T09:53:10.1933333Z\",\"detailedRoles\":[],\"detectionStatus\":\"detected\",\"imageFile\":{\"fileName\":\"powershell.exe\",\"filePath\":\"C:\\\\\Windows\\\\\System32\\\\\WindowsPowerShell\\\\\v1.0\",\"filePublisher\":\"Microsoft Corporation\",\"fileSize\":491520,\"issuer\":null,\"sha1\":\"a72c41316307889e43fe8605a0dca4a72e72a011\",\"sha256\":\"d783ba6567faf10fdff2d0ea3864f6756862d6c733c7f4467283da81aedc3a80\",\"signer\":null},\"mdeDeviceId\":\"505d70d89cfa3428f7aac7d2eb3a64c60fd3d843\",\"parentProcessCreationDateTime\":\"2023-10-20T09:51:19.5064237Z\",\"parentProcessId\":5772,\"parentProcessImageFile\":{\"fileName\":\"cmd.exe\",\"filePath\":\"C:\\\\\Windows\\\\\System32\",\"filePublisher\":\"Microsoft Corporation\",\"fileSize\":323584,\"issuer\":null,\"sha1\":null,\"sha256\":null,\"signer\":null},\"processCommandLine\":\"powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\\\\\\\\\test-WDATP-test\\\\\\\\\\invoice.exe');Start-Process 'C:\\\\\\\\\\test-WDATP-test\\\\\\\\\\invoice.exe'\",\"processCreationDateTime\":\"2023-10-20T09:51:39.4997961Z\",\"processId\":8224,\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"userAccount\":{\"accountName\":\"CDPUserIS-38411\",\"azureAdUserId\":null,\"displayName\":null,\"domainName\":\"AzureAD\",\"userPrincipalName\":null,\"userSid\":\"S-1-12-1-1485667349-1150190949-4065799612-2328216759\"},\"verdict\":\"unknown\"}],\"firstActivityDateTime\":\"2023-10-20T09:51:39.5154802Z\",\"id\":\"daefa1828b-dd4e-405c-8a3b-aa28596830dd_1\",\"incidentId\":\"23\",\"incidentWebUrl\":\"https://security.microsoft.com/incidents/23?tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39\",\"lastActivityDateTime\":\"2023-10-20T09:51:41.9939003Z\",\"lastUpdateDateTime\":\"2023-10-20T09:54:07.5033333Z\",\"mitreTechniques\":[\"T1059.001\"],\"productName\":\"Microsoft Defender for Endpoint\",\"providerAlertId\":\"efa1828b-dd4e-405c-8a3b-aa28596830dd_1\",\"recommendedActions\":\"1. Examine the PowerShell command line to understand what commands were executed. Note: the content may need to be decoded if it is Base64-encoded.\\n2. Search the script for more indicators to investigate - for example IP addresses (potential C\\u0026C servers), target computers etc.\\n3. Explore the timeline of this and other related machines for additional suspect activities around the time of the alert.\\n4. Look for the process that invoked this PowerShell run and their origin. Consider submitting any suspect files in the chain for deep analysis for detailed behavior information.\",\"resolvedDateTime\":null,\"serviceSource\":\"microsoftDefenderForEndpoint\",\"severity\":\"medium\",\"status\":\"new\",\"tenantId\":\"3adb963c-8e61-48e8-a06d-6dbb0dacea39\",\"threatDisplayName\":null,\"threatFamilyName\":null,\"title\":\"Suspicious PowerShell command line\"}",
"provider": "microsoftDefenderForEndpoint",
"severity": 3,
"start": "2023-10-20T09:51:39.515Z",
"type": [
"info"
],
"url": "https://security.microsoft.com/alerts/daefa1828b-dd4e-405c-8a3b-aa28596830dd_1?tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39"
},
"host": {
"id": [
"505d70d89cfa3428f7aac7d2eb3a64c60fd3d843"
],
"ip": [
"127.0.0.1"
],
"os": {
"name": [
"Windows11"
],
"version": [
"22H2"
]
}
},
"input": {
"type": "httpjson"
},
"m365_defender": {
"alert": {
"category": "Execution",
"created_datetime": "2023-10-20T09:53:09.883Z",
"description": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"detection_source": "microsoftDefenderForEndpoint",
"detector_id": "7f1c3609-a3ff-40e2-995b-c01770161d68",
"evidence": [
{
"azure_ad_device_id": "f18bd540-d5e4-46e0-8ddd-3d03a59e4e14",
"created_datetime": "2023-10-20T09:53:10.193Z",
"defender_av_status": "notSupported",
"detailed_roles": [
"PrimaryDevice"
],
"device_dns_name": "clw555test",
"first_seen_datetime": "2023-10-20T09:50:17.738Z",
"health_status": "inactive",
"ip_interfaces": [
"192.168.5.65",
"fe80::cfe4:80b:615c:38fb",
"127.0.0.1",
"::1"
],
"logged_on_users": [
{
"account_name": "CDPUserIS-38411",
"domain_name": "AzureAD"
}
],
"mde_device_id": "505d70d89cfa3428f7aac7d2eb3a64c60fd3d843",
"odata_type": "#microsoft.graph.security.deviceEvidence",
"onboarding_status": "onboarded",
"os_build": "22621",
"os_platform": "Windows11",
"rbac_group": {
"id": "0"
},
"remediation_status": "none",
"risk_score": "high",
"verdict": "unknown",
"version": "22H2"
},
{
"created_datetime": "2023-10-20T09:53:10.193Z",
"odata_type": "#microsoft.graph.security.userEvidence",
"remediation_status": "none",
"user_account": {
"account_name": "CDPUserIS-38411",
"domain_name": "AzureAD",
"user_sid": "S-1-12-1-1485667349-1150190949-4065799612-2328216759"
},
"verdict": "unknown"
},
{
"created_datetime": "2023-10-20T09:53:10.193Z",
"odata_type": "#microsoft.graph.security.urlEvidence",
"remediation_status": "none",
"url": "http://127.0.0.1/1.exe",
"verdict": "suspicious"
},
{
"created_datetime": "2023-10-20T09:53:10.193Z",
"ip_address": "127.0.0.1",
"odata_type": "#microsoft.graph.security.ipEvidence",
"remediation_status": "none",
"verdict": "suspicious"
},
{
"created_datetime": "2023-10-20T09:53:10.193Z",
"detection_status": "detected",
"image_file": {
"name": "powershell.exe",
"path": "C:\\Windows\\System32\\WindowsPowerShell\\v1.0",
"publisher": "Microsoft Corporation",
"sha1": "a72c41316307889e43fe8605a0dca4a72e72a011",
"sha256": "d783ba6567faf10fdff2d0ea3864f6756862d6c733c7f4467283da81aedc3a80",
"size": 491520
},
"mde_device_id": "505d70d89cfa3428f7aac7d2eb3a64c60fd3d843",
"odata_type": "#microsoft.graph.security.processEvidence",
"parent_process": {
"creation_datetime": "2023-10-20T09:51:19.506Z",
"id": 5772,
"image_file": {
"name": "cmd.exe",
"path": "C:\\Windows\\System32",
"publisher": "Microsoft Corporation",
"size": 323584
}
},
"process": {
"command_line": "powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\\\\test-WDATP-test\\\\\invoice.exe');Start-Process 'C:\\\\\test-WDATP-test\\\\\invoice.exe'",
"creation_datetime": "2023-10-20T09:51:39.499Z",
"id": 8224
},
"remediation_status": "none",
"user_account": {
"account_name": "CDPUserIS-38411",
"domain_name": "AzureAD",
"user_sid": "S-1-12-1-1485667349-1150190949-4065799612-2328216759"
},
"verdict": "unknown"
}
],
"first_activity_datetime": "2023-10-20T09:51:39.515Z",
"id": "daefa1828b-dd4e-405c-8a3b-aa28596830dd_1",
"incident_id": "23",
"incident_web_url": {
"domain": "security.microsoft.com",
"original": "https://security.microsoft.com/incidents/23?tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39",
"path": "/incidents/23",
"query": "tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39",
"scheme": "https"
},
"last_activity_datetime": "2023-10-20T09:51:41.993Z",
"last_update_datetime": "2023-10-20T09:54:07.503Z",
"mitre_techniques": [
"T1059.001"
],
"provider_alert_id": "efa1828b-dd4e-405c-8a3b-aa28596830dd_1",
"recommended_actions": "1. Examine the PowerShell command line to understand what commands were executed. Note: the content may need to be decoded if it is Base64-encoded.\n2. Search the script for more indicators to investigate - for example IP addresses (potential C&C servers), target computers etc.\n3. Explore the timeline of this and other related machines for additional suspect activities around the time of the alert.\n4. Look for the process that invoked this PowerShell run and their origin. Consider submitting any suspect files in the chain for deep analysis for detailed behavior information.",
"service_source": "microsoftDefenderForEndpoint",
"severity": "medium",
"status": "new",
"tenant_id": "3adb963c-8e61-48e8-a06d-6dbb0dacea39",
"title": "Suspicious PowerShell command line",
"web_url": {
"domain": "security.microsoft.com",
"original": "https://security.microsoft.com/alerts/daefa1828b-dd4e-405c-8a3b-aa28596830dd_1?tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39",
"path": "/alerts/daefa1828b-dd4e-405c-8a3b-aa28596830dd_1",
"query": "tid=3adb963c-8e61-48e8-a06d-6dbb0dacea39",
"scheme": "https"
}
}
},
"message": "A suspicious PowerShell activity was observed on the machine. \nThis behavior may indicate that PowerShell was used during installation, exploration, or in some cases in lateral movement activities which are used by attackers to invoke modules, download external payloads, or get more information about the system. Attackers usually use PowerShell to bypass security protection mechanisms by executing their payload in memory without touching the disk and leaving any trace.",
"process": {
"command_line": [
"powershell.exe -NoExit -ExecutionPolicy Bypass -WindowStyle Hidden $ErrorActionPreference= 'silentlycontinue';(New-Object System.Net.WebClient).DownloadFile('http://127.0.0.1/1.exe', 'C:\\\\\test-WDATP-test\\\\\invoice.exe');Start-Process 'C:\\\\\test-WDATP-test\\\\\invoice.exe'"
],
"hash": {
"sha1": [
"a72c41316307889e43fe8605a0dca4a72e72a011"
],
"sha256": [
"d783ba6567faf10fdff2d0ea3864f6756862d6c733c7f4467283da81aedc3a80"
]
},
"parent": {
"pid": [
5772
],
"start": [
"2023-10-20T09:51:19.506Z"
]
},
"pid": [
8224
],
"start": [
"2023-10-20T09:51:39.499Z"
],
"user": {
"name": [
"CDPUserIS-38411"
]
}
},
"related": {
"hash": [
"a72c41316307889e43fe8605a0dca4a72e72a011",
"d783ba6567faf10fdff2d0ea3864f6756862d6c733c7f4467283da81aedc3a80"
],
"hosts": [
"505d70d89cfa3428f7aac7d2eb3a64c60fd3d843",
"Windows11",
"22H2",
"clw555test",
"AzureAD"
],
"ip": [
"127.0.0.1"
],
"user": [
"CDPUserIS-38411",
"S-1-12-1-1485667349-1150190949-4065799612-2328216759"
]
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"m365_defender-alert"
],
"threat": {
"tactic": {
"name": [
"Execution"
]
},
"technique": {
"subtechnique": {
"id": [
"T1059.001"
]
}
}
},
"user": {
"domain": [
"AzureAD"
],
"name": [
"CDPUserIS-38411"
]
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
input.type |
filebeat 输入的类型。 |
keyword |
log.offset |
日志偏移量。 |
long |
m365_defender.alert.actor_display_name |
与此警报关联的攻击者或活动组。 |
keyword |
m365_defender.alert.assigned_to |
警报的所有者,如果未分配所有者,则为 null。 |
keyword |
m365_defender.alert.category |
警报所属的攻击杀伤链类别。与 MITRE ATT&CK 框架对齐。 |
keyword |
m365_defender.alert.classification |
指定警报是否表示真实威胁。可能的值包括:unknown、falsePositive、truePositive、benignPositive、unknownFutureValue。 |
keyword |
m365_defender.alert.comments |
安全运营 (SecOps) 团队在警报管理过程中创建的注释数组。 |
flattened |
m365_defender.alert.created_datetime |
Microsoft 365 Defender 创建警报的时间。 |
date |
m365_defender.alert.description |
描述每个警报的字符串值。 |
keyword |
m365_defender.alert.detection_source |
识别重要组件或活动的检测技术或传感器。 |
keyword |
m365_defender.alert.detector_id |
触发警报的检测器的 ID。 |
keyword |
m365_defender.alert.determination |
指定调查的结果,警报是否表示真实的攻击,如果是,则指定攻击的性质。可能的值包括:unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue。 |
keyword |
m365_defender.alert.evidence.antispam_direction |
电子邮件相对于您网络的方向。可能的值包括:Inbound、Outbound 或 Intraorg。 |
keyword |
m365_defender.alert.evidence.app_id |
应用程序的唯一标识符。 |
keyword |
m365_defender.alert.evidence.attachments_count |
电子邮件中附件的数量。 |
long |
m365_defender.alert.evidence.azure_ad_device_id |
当设备加入 Azure AD 时,Azure Active Directory (Azure AD) 分配给设备的唯一标识符。 |
keyword |
m365_defender.alert.evidence.cluster_by |
群集中电子邮件的群集逻辑。 |
keyword |
m365_defender.alert.evidence.cluster_by_value |
用于聚类相似电子邮件的值。 |
keyword |
m365_defender.alert.evidence.created_datetime |
创建证据并将其添加到警报的时间。 |
date |
m365_defender.alert.evidence.defender_av_status |
Defender 反恶意软件引擎的状态。可能的值包括:notReporting、disabled、notUpdated、updated、unknown、notSupported、unknownFutureValue。 |
keyword |
m365_defender.alert.evidence.delivery_action |
电子邮件的送达操作。可能的值包括:Delivered、DeliveredAsSpam、Junked、Blocked 或 Replaced。 |
keyword |
m365_defender.alert.evidence.delivery_location |
电子邮件的送达位置。可能的值包括:Inbox、External、JunkFolder、Quarantine、Failed、Dropped、DeletedFolder 或 Forwarded。 |
keyword |
m365_defender.alert.evidence.detailed_roles |
与事件关联的用户的详细角色。 |
keyword |
m365_defender.alert.evidence.detection_status |
检测的状态。可能的值包括:detected、blocked、prevented、unknownFutureValue。 |
keyword |
m365_defender.alert.evidence.device_dns_name |
设备的完全限定域名 (FQDN)。 |
keyword |
m365_defender.alert.evidence.display_name |
应用程序的名称。 |
keyword |
m365_defender.alert.evidence.email_count |
电子邮件群集中电子邮件的计数。 |
long |
m365_defender.alert.evidence.file_details.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.alert.evidence.file_details.name |
文件的名称。 |
keyword |
m365_defender.alert.evidence.file_details.odata_type |
keyword |
|
m365_defender.alert.evidence.file_details.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.alert.evidence.file_details.publisher |
文件的发布者。 |
keyword |
m365_defender.alert.evidence.file_details.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.alert.evidence.file_details.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.alert.evidence.file_details.signer |
签名文件的签名者。 |
keyword |
m365_defender.alert.evidence.file_details.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.alert.evidence.first_seen_datetime |
首次看到设备的日期和时间。 |
date |
m365_defender.alert.evidence.health_status |
设备的健康状态。可能的值包括:active(活动)、inactive(非活动)、impairedCommunication(通信受损)、noSensorData(无传感器数据)、noSensorDataImpairedCommunication(无传感器数据且通信受损)、unknown(未知)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.image_file.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.alert.evidence.image_file.name |
文件的名称。 |
keyword |
m365_defender.alert.evidence.image_file.odata_type |
keyword |
|
m365_defender.alert.evidence.image_file.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.alert.evidence.image_file.publisher |
文件的发布者。 |
keyword |
m365_defender.alert.evidence.image_file.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.alert.evidence.image_file.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.alert.evidence.image_file.signer |
签名文件的签名者。 |
keyword |
m365_defender.alert.evidence.image_file.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.alert.evidence.instance_id |
软件即服务 (SaaS) 应用程序实例的标识符。 |
keyword |
m365_defender.alert.evidence.instance_name |
SaaS 应用程序实例的名称。 |
keyword |
m365_defender.alert.evidence.internet_message_id |
由发送电子邮件系统设置的电子邮件的面向公众的标识符。 |
keyword |
m365_defender.alert.evidence.ip_address |
IP 地址的值,可以是 V4 地址格式或 V6 地址格式。 |
ip |
m365_defender.alert.evidence.ip_interfaces |
与事件相关的 IP 接口。 |
ip |
m365_defender.alert.evidence.language |
检测到的电子邮件内容的语言。 |
keyword |
m365_defender.alert.evidence.logged_on_users.account_name |
已登录用户的用户帐户名称。 |
keyword |
m365_defender.alert.evidence.logged_on_users.domain_name |
已登录用户的用户帐户域。 |
keyword |
m365_defender.alert.evidence.logged_on_users.odata_type |
keyword |
|
m365_defender.alert.evidence.mde_device_id |
Microsoft Defender for Endpoint 为设备分配的唯一标识符。 |
keyword |
m365_defender.alert.evidence.network_message_id |
由 Microsoft 365 生成的电子邮件的唯一标识符。 |
keyword |
m365_defender.alert.evidence.network_message_ids |
由 Microsoft 365 生成的群集中电子邮件的唯一标识符。 |
keyword |
m365_defender.alert.evidence.object_id |
Azure AD 中应用程序对象的唯一标识符。 |
keyword |
m365_defender.alert.evidence.odata_type |
keyword |
|
m365_defender.alert.evidence.onboarding_status |
计算机加入 Microsoft Defender for Endpoint 的状态。可能的值包括:insufficientInfo(信息不足)、onboarded(已加入)、canBeOnboarded(可加入)、unsupported(不支持)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.os_build |
设备正在运行的操作系统版本号。 |
keyword |
m365_defender.alert.evidence.os_platform |
设备正在运行的操作系统平台。 |
keyword |
m365_defender.alert.evidence.p1_sender.display_name |
发送者的名称。 |
keyword |
m365_defender.alert.evidence.p1_sender.domain_name |
发送者域。 |
keyword |
m365_defender.alert.evidence.p1_sender.email_address |
发送者的电子邮件地址。 |
keyword |
m365_defender.alert.evidence.p1_sender.odata_type |
keyword |
|
m365_defender.alert.evidence.p2_sender.display_name |
发送者的名称。 |
keyword |
m365_defender.alert.evidence.p2_sender.domain_name |
发送者域。 |
keyword |
m365_defender.alert.evidence.p2_sender.email_address |
发送者的电子邮件地址。 |
keyword |
m365_defender.alert.evidence.p2_sender.odata_type |
keyword |
|
m365_defender.alert.evidence.parent_process.creation_datetime |
创建进程的父进程的日期和时间。 |
date |
m365_defender.alert.evidence.parent_process.id |
生成该进程的父进程的进程 ID (PID)。 |
long |
m365_defender.alert.evidence.parent_process.image_file.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.name |
文件的名称。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.odata_type |
keyword |
|
m365_defender.alert.evidence.parent_process.image_file.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.publisher |
文件的发布者。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.signer |
签名文件的签名者。 |
keyword |
m365_defender.alert.evidence.parent_process.image_file.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.alert.evidence.primary_address |
邮箱的主要电子邮件地址。 |
keyword |
m365_defender.alert.evidence.process.command_line |
用于创建新进程的命令行。 |
keyword |
m365_defender.alert.evidence.process.creation_datetime |
创建进程的日期和时间。 |
date |
m365_defender.alert.evidence.process.id |
新创建进程的进程 ID (PID)。 |
long |
m365_defender.alert.evidence.publisher |
应用程序发布者的名称。 |
keyword |
m365_defender.alert.evidence.query |
用于标识电子邮件群集的查询。 |
keyword |
m365_defender.alert.evidence.rbac_group.id |
基于角色的访问控制 (RBAC) 设备组的 ID。 |
keyword |
m365_defender.alert.evidence.rbac_group.name |
RBAC 设备组的名称。 |
keyword |
m365_defender.alert.evidence.received_datetime |
接收电子邮件的日期和时间。 |
date |
m365_defender.alert.evidence.recipient_email_address |
收件人的电子邮件地址,或通讯组列表展开后的收件人的电子邮件地址。 |
keyword |
m365_defender.alert.evidence.registry_hive |
记录的操作所应用的注册表配置单元。 |
keyword |
m365_defender.alert.evidence.registry_key |
记录的操作所应用的注册表项。 |
keyword |
m365_defender.alert.evidence.registry_value |
记录的操作所应用的注册表值的数据。 |
keyword |
m365_defender.alert.evidence.registry_value_name |
记录的操作所应用的注册表值的名称。 |
keyword |
m365_defender.alert.evidence.registry_value_type |
记录的操作所应用的注册表值的数据类型,例如二进制或字符串。 |
keyword |
m365_defender.alert.evidence.remediation_status |
采取的修正措施的状态。可能的值包括:none(无)、remediated(已修正)、prevented(已阻止)、blocked(已阻止)、notFound(未找到)、active(活动)、pendingApproval(待批准)、declined(已拒绝)、notRemediated(未修正)、running(正在运行)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.remediation_status_details |
有关修正状态的详细信息。 |
keyword |
m365_defender.alert.evidence.risk_score |
由 Microsoft Defender for Endpoint 评估的风险评分。可能的值包括:none(无)、informational(信息性)、low(低)、medium(中)、high(高)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.roles |
证据实体在警报中代表的角色,例如,与攻击者关联的 IP 地址将具有证据角色“攻击者”。 |
keyword |
m365_defender.alert.evidence.saas_app_id |
SaaS 应用程序的标识符。 |
keyword |
m365_defender.alert.evidence.security_group_id |
安全组的唯一标识符。 |
keyword |
m365_defender.alert.evidence.sender_ip |
上次检测到的转发邮件的邮件服务器的 IP 地址。 |
ip |
m365_defender.alert.evidence.subject |
电子邮件的主题。 |
keyword |
m365_defender.alert.evidence.tags |
与证据实例关联的自定义标记数组,例如表示一组设备、高价值资产等。 |
keyword |
m365_defender.alert.evidence.threat_detection_methods |
用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法的集合。 |
keyword |
m365_defender.alert.evidence.threats |
发现的恶意软件或其他威胁的检测名称集合。 |
keyword |
m365_defender.alert.evidence.type |
keyword |
|
m365_defender.alert.evidence.url |
唯一资源定位器 (URL)。 |
keyword |
m365_defender.alert.evidence.url_count |
电子邮件中嵌入的 URL 的数量。 |
long |
m365_defender.alert.evidence.urls |
此电子邮件中包含的 URL 的集合。 |
keyword |
m365_defender.alert.evidence.urn |
标识群集的自动化调查的统一资源名称 (URN)。 |
keyword |
m365_defender.alert.evidence.user_account.account_name |
用户帐户的显示名称。 |
keyword |
m365_defender.alert.evidence.user_account.azure_ad_user_id |
Azure AD 中的用户对象标识符。 |
keyword |
m365_defender.alert.evidence.user_account.domain_name |
用户所属的 Active Directory 域的名称。 |
keyword |
m365_defender.alert.evidence.user_account.odata_type |
keyword |
|
m365_defender.alert.evidence.user_account.user_principal_name |
Azure AD 中帐户的用户主体名称。 |
keyword |
m365_defender.alert.evidence.user_account.user_sid |
用户帐户的本地安全标识符。 |
keyword |
m365_defender.alert.evidence.verdict |
自动化调查得出的结论。可能的值包括:unknown(未知)、suspicious(可疑)、malicious(恶意)、noThreatsFound(未发现威胁)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.version |
操作系统平台的版本。 |
keyword |
m365_defender.alert.evidence.vm_metadata.cloud_provider |
托管虚拟机的云提供商。可能的值包括:unknown(未知)、azure(Azure)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.evidence.vm_metadata.odata_type |
keyword |
|
m365_defender.alert.evidence.vm_metadata.resource_id |
Azure 资源的唯一标识符。 |
keyword |
m365_defender.alert.evidence.vm_metadata.subscription_id |
客户租户所属的 Azure 订阅的唯一标识符。 |
keyword |
m365_defender.alert.evidence.vm_metadata.vm_id |
虚拟机实例的唯一标识符。 |
keyword |
m365_defender.alert.first_activity_datetime |
与警报关联的最早活动。 |
date |
m365_defender.alert.id |
表示警报资源的唯一标识符。 |
keyword |
m365_defender.alert.incident_id |
表示此警报资源与之关联的事件的唯一标识符。 |
keyword |
m365_defender.alert.incident_web_url.domain |
keyword |
|
m365_defender.alert.incident_web_url.extension |
keyword |
|
m365_defender.alert.incident_web_url.fragment |
keyword |
|
m365_defender.alert.incident_web_url.full |
keyword |
|
m365_defender.alert.incident_web_url.original |
keyword |
|
m365_defender.alert.incident_web_url.password |
keyword |
|
m365_defender.alert.incident_web_url.path |
keyword |
|
m365_defender.alert.incident_web_url.port |
long |
|
m365_defender.alert.incident_web_url.query |
keyword |
|
m365_defender.alert.incident_web_url.scheme |
keyword |
|
m365_defender.alert.incident_web_url.username |
keyword |
|
m365_defender.alert.last_activity_datetime |
与警报关联的最旧活动。 |
date |
m365_defender.alert.last_update_datetime |
在 Microsoft 365 Defender 中上次更新警报的时间。 |
date |
m365_defender.alert.mitre_techniques |
与 MITRE ATT&CK 框架对齐的攻击技术。 |
keyword |
m365_defender.alert.odata_type |
keyword |
|
m365_defender.alert.provider_alert_id |
警报在生成警报的安全提供商产品中显示的 ID。 |
keyword |
m365_defender.alert.recommended_actions |
如果生成此警报,应采取的建议响应和修正措施。 |
keyword |
m365_defender.alert.resolved_datetime |
解决警报的时间。 |
date |
m365_defender.alert.service_source |
创建此警报的服务或产品。可能的值包括:microsoftDefenderForEndpoint、microsoftDefenderForIdentity、microsoftCloudAppSecurity、microsoftDefenderForOffice365、microsoft365Defender、aadIdentityProtection、appGovernance、dataLossPrevention。 |
keyword |
m365_defender.alert.severity |
指示对资产的可能影响。严重性越高,影响越大。通常,较高严重性的项目需要最紧急的关注。可能的值包括:unknown(未知)、informational(信息性)、low(低)、medium(中)、high(高)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.status |
警报的状态。可能的值包括:new(新建)、inProgress(进行中)、resolved(已解决)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.alert.tenant_id |
创建警报的 Azure Active Directory 租户。 |
keyword |
m365_defender.alert.threat_display_name |
与此警报关联的威胁。 |
keyword |
m365_defender.alert.threat_family_name |
与此警报关联的威胁家族。 |
keyword |
m365_defender.alert.title |
简短的标识字符串值,用于描述警报。 |
keyword |
m365_defender.alert.web_url.domain |
keyword |
|
m365_defender.alert.web_url.extension |
keyword |
|
m365_defender.alert.web_url.fragment |
keyword |
|
m365_defender.alert.web_url.full |
keyword |
|
m365_defender.alert.web_url.original |
keyword |
|
m365_defender.alert.web_url.password |
keyword |
|
m365_defender.alert.web_url.path |
keyword |
|
m365_defender.alert.web_url.port |
long |
|
m365_defender.alert.web_url.query |
keyword |
|
m365_defender.alert.web_url.scheme |
keyword |
|
m365_defender.alert.web_url.username |
keyword |
event
编辑这是 event 数据集。
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
Target.process.command_line |
启动进程的完整命令行,包括可执行文件的绝对路径和所有参数。某些参数可能会被过滤以保护敏感信息。 |
通配符 |
Target.process.command_line.text |
|
文本 |
Target.process.executable |
进程可执行文件的绝对路径。 |
keyword |
Target.process.executable.text |
|
文本 |
Target.process.name |
进程名称。有时也称为程序名称或类似名称。 |
keyword |
Target.process.name.text |
|
文本 |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
dll.Ext.size |
dll 可执行文件的大小。 |
long |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移 |
long |
m365_defender.event.aad_device_id |
Azure AD 中设备的唯一标识符。 |
keyword |
m365_defender.event.account.display_name |
在地址簿中显示的帐户用户名。通常是名字或姓名的组合,中间名缩写和姓氏。 |
keyword |
m365_defender.event.account.domain |
帐户的域。 |
keyword |
m365_defender.event.account.id |
Microsoft Defender for Cloud Apps 找到的帐户标识符。可以是 Azure Active Directory ID、用户主体名称或其他标识符。 |
keyword |
m365_defender.event.account.name |
帐户的用户名。 |
keyword |
m365_defender.event.account.object_id |
Azure Active Directory 中帐户的唯一标识符。 |
keyword |
m365_defender.event.account.sid |
帐户的安全标识符 (SID)。 |
keyword |
m365_defender.event.account.type |
用户帐户的类型,指示其一般角色和访问级别,例如普通、系统、管理员、域管理员、系统、应用程序。 |
keyword |
m365_defender.event.account.upn |
帐户的用户主体名称 (UPN)。 |
keyword |
m365_defender.event.action.result |
操作的结果。 |
keyword |
m365_defender.event.action.trigger |
指示操作是由管理员触发(手动或通过批准待处理的自动操作),还是由某些特殊机制触发,例如 ZAP 或动态传递。 |
keyword |
m365_defender.event.action.type |
触发事件的活动类型。有关详细信息,请参阅门户内架构参考。 |
keyword |
m365_defender.event.action.value |
对实体采取的操作。 |
keyword |
m365_defender.event.active_users |
事件发生时登录到计算机的所有用户的数组。 |
keyword |
m365_defender.event.activity.objects |
记录的活动中涉及的对象列表,例如文件或文件夹。 |
flattened |
m365_defender.event.activity.type |
触发事件的活动类型。 |
keyword |
m365_defender.event.additional_fields |
有关实体或事件的其他信息,采用 JSON 数组格式。 |
flattened |
m365_defender.event.alert.categories |
keyword |
|
m365_defender.event.alert.category |
警报识别的威胁指标或违规活动类型。 |
keyword |
m365_defender.event.alert.id |
警报的唯一标识符。 |
keyword |
m365_defender.event.app_guard_container_id |
Application Guard 用于隔离浏览器活动的虚拟化容器的标识符。 |
keyword |
m365_defender.event.app_instance_id |
long |
|
m365_defender.event.application |
执行记录的操作的应用程序。 |
keyword |
m365_defender.event.application_id |
应用程序的唯一标识符。 |
keyword |
m365_defender.event.asset_value |
指示用户分配的设备值。 |
keyword |
m365_defender.event.attachment_count |
电子邮件中附件的数量。 |
long |
m365_defender.event.attack_techniques |
与触发警报的活动相关的 MITRE ATT&CK 技术。 |
keyword |
m365_defender.event.authentication_details |
电子邮件身份验证协议(如 DMARC、DKIM、SPF 或多种身份验证类型 (CompAuth) 的组合)的通过或失败判决列表。 |
keyword |
m365_defender.event.bulk_complaint_level |
分配给来自批量邮件发送者的电子邮件的阈值,较高的批量投诉级别 (BCL) 表示电子邮件更有可能产生投诉,因此更有可能是垃圾邮件。 |
long |
m365_defender.event.category |
带有AdvancedHunting-前缀的高级搜索表名称。 |
keyword |
m365_defender.event.certificate.countersignature_time |
证书被反签名的日期和时间。 |
date |
m365_defender.event.certificate.creation_time |
证书创建的日期和时间。 |
date |
m365_defender.event.certificate.expiration_time |
证书设置为过期的日期和时间。 |
date |
m365_defender.event.certificate.serial_number |
证书颁发机构 (CA) 特有的证书标识符。 |
keyword |
m365_defender.event.city |
客户端 IP 地址地理位置所在的城市。 |
keyword |
m365_defender.event.client_version |
在计算机上运行的端点代理或传感器的版本。 |
keyword |
m365_defender.event.confidence_level |
任何垃圾邮件或网络钓鱼判决的置信级别列表。对于垃圾邮件,此列显示垃圾邮件置信级别 (SCL),指示是否跳过电子邮件 (-1)、发现不是垃圾邮件 (0,1)、发现是中等置信度的垃圾邮件 (5,6) 或发现是高置信度的垃圾邮件 (9)。对于网络钓鱼,此列显示置信级别是“高”还是“低”。 |
flattened |
m365_defender.event.connected_networks |
适配器连接到的网络。每个 JSON 数组都包含网络名称、类别(公共、专用或域)、描述以及一个指示是否公共连接到 Internet 的标志。 |
flattened |
m365_defender.event.connectors |
定义组织邮件流以及电子邮件的路由方式的自定义说明。 |
keyword |
m365_defender.event.country_code |
指示客户端 IP 地址地理位置所在国家/地区的两位字母代码。 |
keyword |
m365_defender.event.crl_distribution_point_urls |
列出包含证书和证书吊销列表 (CRL) 的网络共享 URL 的 JSON 数组。 |
keyword |
m365_defender.event.default_gateways |
JSON 数组格式的默认网关地址。 |
keyword |
m365_defender.event.delivery.action |
电子邮件的传递操作:已传递、已放入垃圾邮件、已阻止或已替换。 |
keyword |
m365_defender.event.delivery.location |
电子邮件的传递位置:收件箱/文件夹、本地/外部、垃圾邮件、隔离、失败、已丢弃、已删除邮件。 |
keyword |
m365_defender.event.destination.device_name |
运行处理记录的操作的服务器应用程序的设备的名称。 |
keyword |
m365_defender.event.destination.ip_address |
运行处理记录的操作的服务器应用程序的设备的 IP 地址。 |
ip |
m365_defender.event.destination.port |
相关网络通信或活动的目标端口。 |
long |
m365_defender.event.detection.methods |
用于检测电子邮件中或点击时发现的恶意软件、网络钓鱼或其他威胁的方法。 |
flattened |
m365_defender.event.detection.source |
识别重要组件或活动的检测技术或传感器。 |
keyword |
m365_defender.event.device.category |
将某些设备类型分组到以下类别下的更广泛的分类:端点、网络设备、IoT、未知。 |
keyword |
m365_defender.event.device.id |
服务中设备或计算机的唯一标识符。 |
keyword |
m365_defender.event.device.name |
设备、计算机或端点的完全限定域名 (FQDN)。 |
keyword |
m365_defender.event.device.sub_type |
某些设备类型的其他修饰符,例如,移动设备可以是平板电脑或智能手机;仅当设备发现找到有关此属性的足够信息时才可用。 |
keyword |
m365_defender.event.device.type |
基于用途和功能(例如网络设备、工作站、服务器、移动设备、游戏机或打印机)的设备类型。 |
keyword |
m365_defender.event.device_dynamic_tags |
使用动态标记规则自动分配的设备标记。 |
keyword |
m365_defender.event.device_manual_tags |
使用门户 UI 或公共 API 手动创建的设备标记。 |
keyword |
m365_defender.event.dns.answers |
服务器从 DNS 查询返回的答案。 |
keyword |
m365_defender.event.dns.header_flags |
2 个字母的 DNS 标头标志的数组。 |
keyword |
m365_defender.event.dns.qclass_name |
正在查询的记录的 DNS 类。 |
keyword |
m365_defender.event.dns.qtype_name |
正在查询的 DNS 记录类型。 |
keyword |
m365_defender.event.dns.query |
DNS 查询。 |
keyword |
m365_defender.event.dns.rcode_name |
DNS 响应代码。 |
keyword |
m365_defender.event.dns.ttls |
此资源记录可以在被丢弃之前缓存的时间间隔(以秒为单位)。 |
双精度浮点数 |
m365_defender.event.dns_addresses |
JSON 数组格式的 DNS 服务器地址。 |
keyword |
m365_defender.event.email.action |
根据筛选判决、策略和用户操作对电子邮件采取的最终操作:将邮件移至垃圾邮件文件夹、添加 X 标头、修改主题、重定向邮件、删除邮件、发送到隔离区、未采取任何操作、密件抄送邮件。 |
keyword |
m365_defender.event.email.action_policy |
生效的操作策略:反垃圾邮件高置信度、反垃圾邮件、反垃圾邮件批量邮件、反垃圾邮件网络钓鱼、反网络钓鱼域模拟、反网络钓鱼用户模拟、反网络钓鱼欺骗、反网络钓鱼图模拟、反恶意软件、安全附件、企业传输规则 (ETR)。 |
keyword |
m365_defender.event.email.action_policy_guid |
确定最终邮件操作的策略的唯一标识符。 |
keyword |
m365_defender.event.email.cluster_id |
根据其内容的启发式分析进行聚类的类似电子邮件组的标识符。 |
keyword |
m365_defender.event.email.direction |
电子邮件相对于您的网络的方向:入站、出站、组织内部。 |
keyword |
m365_defender.event.email.language |
检测到的电子邮件内容的语言。 |
keyword |
m365_defender.event.email.subject |
电子邮件的主题。 |
keyword |
m365_defender.event.entity_type |
对象类型,例如文件、进程、设备或用户。 |
keyword |
m365_defender.event.evidence.direction |
指示实体是网络连接的源还是目标。 |
keyword |
m365_defender.event.evidence.role |
实体如何参与警报,指示它是受影响的还是仅仅是相关的。 |
keyword |
m365_defender.event.exclusion_reason |
指示设备排除的原因。 |
keyword |
m365_defender.event.exposure_level |
指示设备的暴露级别。 |
keyword |
m365_defender.event.failure_reason |
解释记录的操作失败原因的信息。 |
keyword |
m365_defender.event.file.name |
应用记录的操作的文件名称。 |
keyword |
m365_defender.event.file.origin_ip |
下载文件的 IP 地址。 |
ip |
m365_defender.event.file.origin_referrer_url |
链接到下载文件的网页 URL。 |
keyword |
m365_defender.event.file.origin_url |
下载文件的 URL。 |
keyword |
m365_defender.event.file.size |
文件大小(以字节为单位)。 |
long |
m365_defender.event.file.type |
文件扩展名类型。 |
keyword |
m365_defender.event.folder_path |
包含应用记录的操作的文件的文件夹。 |
keyword |
m365_defender.event.initiating_process.account_domain |
运行负责事件的进程的帐户的域。 |
keyword |
m365_defender.event.initiating_process.account_name |
运行负责事件的进程的帐户的用户名。 |
keyword |
m365_defender.event.initiating_process.account_object_id |
运行负责事件的进程的用户帐户的 Azure AD 对象 ID。 |
keyword |
m365_defender.event.initiating_process.account_sid |
负责该事件的进程所运行的帐户的安全标识符 (SID)。 |
keyword |
m365_defender.event.initiating_process.account_upn |
负责该事件的进程所运行的帐户的用户主体名称 (UPN)。 |
keyword |
m365_defender.event.initiating_process.command_line |
用于运行启动事件的进程的命令行。 |
keyword |
m365_defender.event.initiating_process.creation_time |
启动事件的进程的启动日期和时间。 |
date |
m365_defender.event.initiating_process.file_name |
启动事件的进程的名称。 |
keyword |
m365_defender.event.initiating_process.file_size |
运行负责该事件的进程的文件大小。 |
long |
m365_defender.event.initiating_process.folder_path |
包含启动事件的进程(映像文件)的文件夹。 |
keyword |
m365_defender.event.initiating_process.id |
启动事件的进程的进程 ID (PID)。 |
long |
m365_defender.event.initiating_process.integrity_level |
启动事件的进程的完整性级别。Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。这些完整性级别会影响对资源的权限。 |
keyword |
m365_defender.event.initiating_process.logon_id |
启动事件的进程的登录会话的标识符。此标识符仅在同一计算机的重启之间是唯一的。 |
keyword |
m365_defender.event.initiating_process.md5 |
启动事件的进程(映像文件)的 MD5 哈希值。 |
keyword |
m365_defender.event.initiating_process.parent_creation_time |
负责该事件的进程的父进程的启动日期和时间。 |
date |
m365_defender.event.initiating_process.parent_file_name |
生成负责该事件的进程的父进程的名称。 |
keyword |
m365_defender.event.initiating_process.parent_id |
生成负责该事件的进程的父进程的进程 ID (PID)。 |
long |
m365_defender.event.initiating_process.sha1 |
启动事件的进程(映像文件)的 SHA-1 值。 |
keyword |
m365_defender.event.initiating_process.sha256 |
启动事件的进程(映像文件)的 SHA-256 值。此字段通常未填充,请在可用时使用 SHA1 列。 |
keyword |
m365_defender.event.initiating_process.signature_status |
有关启动事件的进程(映像文件)的签名状态的信息。 |
keyword |
m365_defender.event.initiating_process.signer_type |
启动事件的进程(映像文件)的文件签名者的类型。 |
keyword |
m365_defender.event.initiating_process.token_elevation |
令牌类型,指示应用于启动事件的进程的用户帐户控制 (UAC) 特权提升的存在或缺失。 |
keyword |
m365_defender.event.initiating_process.version_info_company_name |
负责该事件的进程(映像文件)的版本信息中的公司名称。 |
keyword |
m365_defender.event.initiating_process.version_info_file_description |
负责该事件的进程(映像文件)的版本信息中的描述。 |
keyword |
m365_defender.event.initiating_process.version_info_internal_file_name |
负责该事件的进程(映像文件)的版本信息中的内部文件名。 |
keyword |
m365_defender.event.initiating_process.version_info_original_file_name |
负责该事件的进程(映像文件)的版本信息中的原始文件名。 |
keyword |
m365_defender.event.initiating_process.version_info_product_name |
负责该事件的进程(映像文件)的版本信息中的产品名称。 |
keyword |
m365_defender.event.initiating_process.version_info_product_version |
负责该事件的进程(映像文件)的版本信息中的产品版本。 |
keyword |
m365_defender.event.internet_message_id |
由发送电子邮件系统设置的电子邮件的面向公众的标识符。 |
keyword |
m365_defender.event.ip_address |
用户单击链接的设备的公共 IP 地址或分配给终结点并在相关网络通信期间使用的 IP 地址。 |
ip |
m365_defender.event.ip_addresses |
包含分配给适配器的所有 IP 地址及其各自的子网前缀和 IP 地址空间(例如公共、专用或链路本地)的 JSON 数组。 |
flattened |
m365_defender.event.ip_category |
有关 IP 地址的其他信息。 |
keyword |
m365_defender.event.ip_tags |
应用于特定 IP 地址和 IP 地址范围的客户定义信息。 |
keyword |
m365_defender.event.ipv4_dhcp |
DHCP 服务器的 IPv4 地址。 |
ip |
m365_defender.event.ipv6_dhcp |
DHCP 服务器的 IPv6 地址。 |
ip |
m365_defender.event.is_admin_operation |
指示该活动是否由管理员执行。 |
布尔值 |
m365_defender.event.is_anonymous_proxy |
指示 IP 地址是否属于已知的匿名代理。 |
布尔值 |
m365_defender.event.is_azure_ad_joined |
指示计算机是否已加入 Azure Active Directory 的布尔值指示器。 |
布尔值 |
m365_defender.event.is_azure_info_protection_applied |
指示文件是否已由 Azure 信息保护加密。 |
布尔值 |
m365_defender.event.is_clicked_through |
指示用户是否能够单击进入原始 URL 或被阻止。 |
布尔值 |
m365_defender.event.is_excluded |
确定该设备当前是否从 Microsoft Defender 漏洞管理体验中排除。 |
布尔值 |
m365_defender.event.is_external_user |
指示网络内部的用户是否不属于组织的域。 |
布尔值 |
m365_defender.event.is_impersonated |
指示该活动是否由一个用户代表另一个(模拟的)用户执行。 |
布尔值 |
m365_defender.event.is_internet_facing |
指示该设备是否面向 Internet。 |
布尔值 |
m365_defender.event.is_local_admin |
指示用户是否是计算机上的本地管理员的布尔值指示器。 |
布尔值 |
m365_defender.event.is_root_signer_microsoft |
指示根证书的签名者是否是 Microsoft,以及文件是否包含在 Windows 操作系统中。 |
布尔值 |
m365_defender.event.is_signed |
指示文件是否已签名。 |
布尔值 |
m365_defender.event.is_trusted |
指示文件是否基于 WinVerifyTrust 函数的结果受信任,该函数会检查未知的根证书信息、无效签名、吊销的证书和其他可疑属性。 |
布尔值 |
m365_defender.event.isp |
与终结点 IP 地址关联的 Internet 服务提供商 (ISP)。 |
keyword |
m365_defender.event.issuer |
有关颁发证书颁发机构 (CA) 的信息。 |
keyword |
m365_defender.event.issuer_hash |
标识颁发证书颁发机构 (CA) 的唯一哈希值。 |
keyword |
m365_defender.event.join_type |
keyword |
|
m365_defender.event.local.ip |
通信期间使用的分配给本地设备或计算机的 IP 地址。 |
ip |
m365_defender.event.local.ip_type |
IP 地址的类型,例如公共、专用、保留、回送、Teredo、FourToSixMapping 和广播。 |
keyword |
m365_defender.event.local.port |
通信期间使用的本地计算机上的 TCP 端口。 |
long |
m365_defender.event.location |
与事件关联的城市、国家/地区或其他地理位置。 |
keyword |
m365_defender.event.logon.id |
登录会话的标识符。此标识符仅在同一计算机的重启之间是唯一的。 |
keyword |
m365_defender.event.logon.type |
登录会话的类型,具体为:交互式、远程交互式 (RDP) 登录、网络、批处理、服务。 |
keyword |
m365_defender.event.mac_address |
网络适配器的 MAC 地址。 |
keyword |
m365_defender.event.machine_group |
计算机的计算机组。此组由基于角色的访问控制使用,以确定对计算机的访问权限。 |
keyword |
m365_defender.event.md5 |
已记录操作应用到的文件的 MD5 哈希值。 |
keyword |
m365_defender.event.merged_device_ids |
已分配给同一设备的以前的设备 ID。 |
keyword |
m365_defender.event.merged_to_device_id |
分配给设备的最新设备 ID。 |
keyword |
m365_defender.event.model |
供应商或制造商的产品的型号名称或编号,仅当设备发现找到有关此属性的足够信息时才可用。 |
keyword |
m365_defender.event.network.adapter_name |
网络适配器的名称。 |
keyword |
m365_defender.event.network.adapter_status |
网络适配器的操作状态。有关可能的值,请参阅此枚举。 |
keyword |
m365_defender.event.network.adapter_type |
网络适配器类型。有关可能的值,请参阅此枚举。 |
keyword |
m365_defender.event.network.adapter_vendor |
keyword |
|
m365_defender.event.network.message_id |
由 Microsoft 365 生成的电子邮件的唯一标识符。 |
keyword |
m365_defender.event.network_direction |
DeviceNetworkEvents 中使用的网络方向。 |
keyword |
m365_defender.event.oauth_application_id |
keyword |
|
m365_defender.event.object.id |
已记录操作应用到的对象的唯一标识符。 |
keyword |
m365_defender.event.object.name |
已记录操作应用到的对象的名称。 |
keyword |
m365_defender.event.object.type |
已记录操作应用到的对象的类型,例如文件或文件夹。 |
keyword |
m365_defender.event.onboarding_status |
指示设备当前是否已加入 Microsoft Defender for Endpoint,或者是否不支持该设备。 |
keyword |
m365_defender.event.operation_name |
keyword |
|
m365_defender.event.org_level.action |
针对电子邮件采取的操作,以响应在组织级别定义的策略的匹配项。 |
keyword |
m365_defender.event.org_level.policy |
触发对电子邮件采取的操作的组织策略。 |
keyword |
m365_defender.event.os.architecture |
计算机上运行的操作系统的体系结构。 |
keyword |
m365_defender.event.os.build |
计算机上运行的操作系统的内部版本号。 |
keyword |
m365_defender.event.os.distribution |
操作系统平台的发行版,例如 Linux 平台的 Ubuntu 或 RedHat。 |
keyword |
m365_defender.event.os.platform |
计算机上运行的操作系统的平台。这表示特定的操作系统,包括同一系列中的变体,例如 Windows 11、Windows 10 和 Windows 7。 |
keyword |
m365_defender.event.os.version |
计算机上运行的操作系统的版本。 |
keyword |
m365_defender.event.os.version_info |
有关操作系统版本的其他信息,例如常用名称、代码名称或版本号。 |
keyword |
m365_defender.event.port |
通信期间使用的 TCP 端口。 |
long |
m365_defender.event.previous.file_name |
由于操作而被重命名的文件的原始名称。 |
keyword |
m365_defender.event.previous.folder_path |
在应用已记录的操作之前,包含文件的原始文件夹。 |
keyword |
m365_defender.event.previous.registry_key |
修改之前注册表值的原始注册表项。 |
keyword |
m365_defender.event.previous.registry_value_data |
修改之前注册表值的原始数据。 |
keyword |
m365_defender.event.previous.registry_value_name |
修改之前注册表值的原始名称。 |
keyword |
m365_defender.event.process.command_line |
用于创建新进程的命令行。 |
keyword |
m365_defender.event.process.creation_time |
创建进程的日期和时间。 |
date |
m365_defender.event.process.id |
新创建进程的进程 ID (PID)。 |
long |
m365_defender.event.process.integrity_level |
新创建的进程的完整性级别。Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。这些完整性级别会影响对资源的权限。 |
keyword |
m365_defender.event.process.token_elevation |
令牌类型,指示应用于新创建的进程的用户帐户控制 (UAC) 特权提升的存在或缺失。 |
keyword |
m365_defender.event.process.version_info_company_name |
新创建的进程的版本信息中的公司名称。 |
keyword |
m365_defender.event.process.version_info_file_description |
新创建的进程的版本信息中的描述。 |
keyword |
m365_defender.event.process.version_info_internal_file_name |
新创建的进程的版本信息中的内部文件名。 |
keyword |
m365_defender.event.process.version_info_original_file_name |
新创建的进程的版本信息中的原始文件名。 |
keyword |
m365_defender.event.process.version_info_product_name |
新创建的进程的版本信息中的产品名称。 |
keyword |
m365_defender.event.process.version_info_product_version |
新创建的进程的版本信息中的产品版本。 |
keyword |
m365_defender.event.protocol |
通信期间使用的协议。 |
keyword |
m365_defender.event.public_ip.geo.city_name |
keyword |
|
m365_defender.event.public_ip.geo.continent_name |
keyword |
|
m365_defender.event.public_ip.geo.country_iso_code |
keyword |
|
m365_defender.event.public_ip.geo.country_name |
keyword |
|
m365_defender.event.public_ip.geo.location |
geo_point |
|
m365_defender.event.public_ip.geo.region_iso_code |
keyword |
|
m365_defender.event.public_ip.geo.region_name |
keyword |
|
m365_defender.event.public_ip.value |
已加入 Microsoft Defender for Endpoint 服务的计算机用于连接的公有 IP 地址。这可能是计算机本身的 IP 地址、NAT 设备或代理的 IP 地址。 |
ip |
m365_defender.event.query.target |
正在查询的用户、组、设备、域或任何其他实体类型的名称。 |
keyword |
m365_defender.event.query.type |
查询的类型,例如 QueryGroup、QueryUser 或 EnumerateUsers。 |
keyword |
m365_defender.event.query.value |
用于运行查询的字符串。 |
keyword |
m365_defender.event.raw_event_data |
来自源应用程序或服务的原始事件信息,采用 JSON 格式。 |
flattened |
m365_defender.event.recipient.email_address |
收件人的电子邮件地址,或通讯组列表展开后的收件人的电子邮件地址。 |
keyword |
m365_defender.event.recipient.object_id |
Azure AD 中电子邮件收件人的唯一标识符。 |
keyword |
m365_defender.event.registry.device_tag |
通过注册表添加的计算机标记。 |
keyword |
m365_defender.event.registry.key |
记录的操作所应用的注册表项。 |
keyword |
m365_defender.event.registry.value_data |
记录的操作所应用的注册表值的数据。 |
keyword |
m365_defender.event.registry.value_name |
记录的操作所应用的注册表值的名称。 |
keyword |
m365_defender.event.registry.value_type |
记录的操作所应用的注册表值的数据类型,例如二进制或字符串。 |
keyword |
m365_defender.event.remote.device_name |
对受影响计算机执行远程操作的计算机的名称。根据报告的事件,此名称可以是完全限定域名 (FQDN)、NetBIOS 名称或不含域信息的主机名。 |
keyword |
m365_defender.event.remote.ip |
正在连接到的 IP 地址。 |
ip |
m365_defender.event.remote.ip_type |
IP 地址的类型,例如公共、专用、保留、回送、Teredo、FourToSixMapping 和广播。 |
keyword |
m365_defender.event.remote.port |
正在连接到的远程设备上的 TCP 端口。 |
long |
m365_defender.event.remote.url |
正在连接到的 URL 或完全限定域名 (FQDN)。 |
keyword |
m365_defender.event.report_id |
基于重复计数器的事件标识符。若要识别唯一事件,必须将此列与 DeviceName 和 Timestamp 列结合使用。 |
keyword |
m365_defender.event.request.account_domain |
用于远程发起活动的帐户的域。 |
keyword |
m365_defender.event.request.account_name |
用于远程发起活动的帐户的用户名。 |
keyword |
m365_defender.event.request.account_sid |
用于远程发起活动的帐户的安全标识符 (SID)。 |
keyword |
m365_defender.event.request.protocol |
用于发起活动的网络协议(如果适用):未知、本地、SMB 或 NFS。 |
keyword |
m365_defender.event.request.source_ip |
发起活动的远程设备的 IPv4 或 IPv6 地址。 |
ip |
m365_defender.event.request.source_port |
发起活动的远程设备上的源端口。 |
long |
m365_defender.event.sender.display_name |
在地址簿中显示的发送者姓名,通常是名字或姓氏、中间名的首字母和姓氏或姓的组合。 |
keyword |
m365_defender.event.sender.from_address |
来自 FROM 标头的发件人电子邮件地址,该地址对电子邮件客户端上的电子邮件收件人可见。 |
keyword |
m365_defender.event.sender.from_domain |
来自 FROM 标头的发件人域,该域对电子邮件客户端上的电子邮件收件人可见。 |
keyword |
m365_defender.event.sender.ipv4 |
中继邮件的上次检测到的邮件服务器的 IPv4 地址。 |
ip |
m365_defender.event.sender.ipv6 |
中继邮件的上次检测到的邮件服务器的 IPv6 地址。 |
ip |
m365_defender.event.sender.mail_from_address |
MAIL FROM 标头中的发件人电子邮件地址,也称为信封发件人或返回路径地址。 |
keyword |
m365_defender.event.sender.mail_from_domain |
MAIL FROM 标头中的发件人域,也称为信封发件人或返回路径地址。 |
keyword |
m365_defender.event.sender.object_id |
发件人在 Azure AD 中的帐户的唯一标识符。 |
keyword |
m365_defender.event.sensitivity.label |
应用于电子邮件、文件或其他内容的标签,用于对其进行信息保护分类。 |
keyword |
m365_defender.event.sensitivity.sub_label |
应用于电子邮件、文件或其他内容的子标签,用于对其进行信息保护分类;敏感度子标签在敏感度标签下分组,但被视为独立。 |
keyword |
m365_defender.event.sensor_health_state |
指示设备的 EDR 传感器的运行状况(如果已加入 Microsoft Defender for Endpoint)。 |
keyword |
m365_defender.event.service_source |
提供警报信息的产品或服务。 |
keyword |
m365_defender.event.severity |
指示警报标识的威胁指示器或泄露活动可能造成的影响(高、中或低)。 |
keyword |
m365_defender.event.sha1 |
应用记录操作的文件的 SHA-1。 |
keyword |
m365_defender.event.sha256 |
应用记录操作的文件的 SHA-256。此字段通常未填充 - 请在可用时使用 SHA1 列。 |
keyword |
m365_defender.event.share_name |
包含该文件的共享文件夹的名称。 |
keyword |
m365_defender.event.signature_type |
指示签名信息是从文件本身读取为嵌入内容,还是从外部目录文件读取。 |
keyword |
m365_defender.event.signer |
有关文件签名者的信息。 |
keyword |
m365_defender.event.signer_hash |
标识签名者的唯一哈希值。 |
keyword |
m365_defender.event.subject |
电子邮件的主题。 |
keyword |
m365_defender.event.target.account_display_name |
应用记录操作的帐户的显示名称。 |
keyword |
m365_defender.event.target.account_upn |
应用记录操作的帐户的用户主体名称 (UPN)。 |
keyword |
m365_defender.event.target.device_name |
应用记录操作的设备的完全限定域名 (FQDN)。 |
keyword |
m365_defender.event.tenant.id |
keyword |
|
m365_defender.event.tenant.name |
keyword |
|
m365_defender.event.threat.family |
可疑或恶意文件或进程所归类的恶意软件家族。 |
keyword |
m365_defender.event.threat.names |
检测到的恶意软件或其他威胁的名称。 |
keyword |
m365_defender.event.threat.types |
电子邮件筛选堆栈关于电子邮件是否包含恶意软件、网络钓鱼或其他威胁的判定。 |
keyword |
m365_defender.event.time |
Microsoft Defender 收到事件的时间。 |
date |
m365_defender.event.timestamp |
记录事件的日期和时间。 |
date |
m365_defender.event.title |
警报的标题。 |
keyword |
m365_defender.event.tunnel_type |
隧道协议,如果接口用于此目的,例如 6to4、Teredo、ISATAP、PPTP、SSTP 和 SSH。 |
keyword |
m365_defender.event.url |
电子邮件主题、正文或附件中的完整 URL。 |
keyword |
m365_defender.event.url_chain |
对于涉及重定向的场景,它包括重定向链中存在的 URL。 |
keyword |
m365_defender.event.url_count |
电子邮件中嵌入的 URL 的数量。 |
long |
m365_defender.event.url_domain |
URL 的域名或主机名。 |
keyword |
m365_defender.event.url_location |
keyword |
|
m365_defender.event.user_agent |
来自 Web 浏览器或其他客户端应用程序的用户代理信息。 |
keyword |
m365_defender.event.user_agent_tags |
Microsoft Defender for Cloud Apps 在用户代理字段的标记中提供的更多信息。可以包含以下任何值:“本机客户端”、“过时的浏览器”、“过时的操作系统”、“机器人”。 |
keyword |
m365_defender.event.user_level_action |
根据收件人定义的邮箱策略匹配项对电子邮件采取的操作。 |
keyword |
m365_defender.event.user_level_policy |
触发对电子邮件采取的操作的最终用户邮箱策略。 |
keyword |
m365_defender.event.vendor |
产品供应商或制造商的名称,仅当设备发现找到有关此属性的足够信息时可用。 |
keyword |
m365_defender.event.workload |
用户单击链接的应用程序,值为 Email、Office 和 Teams。 |
keyword |
process.Ext.api.name |
keyword |
|
process.Ext.api.parameters.address |
目标内存地址。 |
long |
process.Ext.api.parameters.desired_access_numeric |
此参数指示传递给 |
long |
process.Ext.api.parameters.protection |
页面区域的内存保护。与 |
keyword |
process.Ext.api.parameters.size |
传递给 API 调用的参数值的大小。 |
long |
process.Ext.token.integrity_level_name |
完整性级别,用于确定强制完整性控制 (MIC) 使用的主体的保护或访问级别。 |
keyword |
process.executable |
进程可执行文件的绝对路径。 |
keyword |
process.executable.caseless |
|
keyword |
process.executable.text |
|
match_only_text |
process.name |
进程名称。有时也称为程序名称或类似名称。 |
keyword |
process.name.caseless |
|
keyword |
process.name.text |
|
match_only_text |
process.parent.group_leader.name |
keyword |
|
url.user_info |
keyword |
事件
编辑这是 事件 数据集。
示例
事件 的示例事件如下所示
{
"@timestamp": "2021-09-30T09:35:45.113Z",
"agent": {
"ephemeral_id": "cd25528a-43c2-4c2b-9dfd-f46ec8044067",
"id": "d0cc4e5a-22d2-441c-b3e3-b77013785358",
"name": "elastic-agent-63564",
"type": "filebeat",
"version": "8.14.3"
},
"cloud": {
"account": {
"id": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c"
},
"provider": [
"azure"
]
},
"data_stream": {
"dataset": "m365_defender.incident",
"namespace": "13281",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "d0cc4e5a-22d2-441c-b3e3-b77013785358",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": [
"detected"
],
"agent_id_status": "verified",
"created": "2021-08-13T08:43:35.553Z",
"dataset": "m365_defender.incident",
"id": "2972395",
"ingested": "2024-08-12T16:01:29Z",
"kind": "alert",
"original": "{\"@odata.type\":\"#microsoft.graph.security.incident\",\"alerts\":{\"@odata.type\":\"#microsoft.graph.security.alert\",\"actorDisplayName\":null,\"alertWebUrl\":\"https://security.microsoft.com/alerts/da637551227677560813_-961444813?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c\",\"assignedTo\":null,\"category\":\"DefenseEvasion\",\"classification\":\"unknown\",\"comments\":[],\"createdDateTime\":\"2021-04-27T12:19:27.7211305Z\",\"description\":\"A hidden file has been launched. This activity could indicate a compromised host. Attackers often hide files associated with malicious tools to evade file system inspection and defenses.\",\"detectionSource\":\"antivirus\",\"detectorId\":\"e0da400f-affd-43ef-b1d5-afc2eb6f2756\",\"determination\":\"unknown\",\"evidence\":[{\"@odata.type\":\"#microsoft.graph.security.deviceEvidence\",\"azureAdDeviceId\":null,\"createdDateTime\":\"2021-04-27T12:19:27.7211305Z\",\"defenderAvStatus\":\"unknown\",\"deviceDnsName\":\"tempDns\",\"firstSeenDateTime\":\"2020-09-12T07:28:32.4321753Z\",\"healthStatus\":\"active\",\"loggedOnUsers\":[],\"mdeDeviceId\":\"73e7e2de709dff64ef64b1d0c30e67fab63279db\",\"onboardingStatus\":\"onboarded\",\"osBuild\":22424,\"osPlatform\":\"Windows10\",\"rbacGroupId\":75,\"rbacGroupName\":\"UnassignedGroup\",\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"riskScore\":\"medium\",\"roles\":[\"compromised\"],\"tags\":[\"Test Machine\"],\"verdict\":\"unknown\",\"version\":\"Other\",\"vmMetadata\":{\"cloudProvider\":\"azure\",\"resourceId\":\"/subscriptions/8700d3a3-3bb7-4fbe-a090-488a1ad04161/resourceGroups/WdatpApi-EUS-STG/providers/Microsoft.Compute/virtualMachines/NirLaviTests\",\"subscriptionId\":\"8700d3a3-3bb7-4fbe-a090-488a1ad04161\",\"vmId\":\"ca1b0d41-5a3b-4d95-b48b-f220aed11d78\"}},{\"@odata.type\":\"#microsoft.graph.security.fileEvidence\",\"createdDateTime\":\"2021-04-27T12:19:27.7211305Z\",\"detectionStatus\":\"detected\",\"fileDetails\":{\"fileName\":\"MsSense.exe\",\"filePath\":\"C:\\\\\Program Files\\\\\temp\",\"filePublisher\":\"Microsoft Corporation\",\"fileSize\":6136392,\"issuer\":null,\"sha1\":\"5f1e8acedc065031aad553b710838eb366cfee9a\",\"sha256\":\"8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec\",\"signer\":null},\"mdeDeviceId\":\"73e7e2de709dff64ef64b1d0c30e67fab63279db\",\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"verdict\":\"unknown\"},{\"@odata.type\":\"#microsoft.graph.security.processEvidence\",\"createdDateTime\":\"2021-04-27T12:19:27.7211305Z\",\"detectionStatus\":\"detected\",\"imageFile\":{\"fileName\":\"MsSense.exe\",\"filePath\":\"C:\\\\\Program Files\\\\\temp\",\"filePublisher\":\"Microsoft Corporation\",\"fileSize\":6136392,\"issuer\":null,\"sha1\":\"5f1e8acedc065031aad553b710838eb366cfee9a\",\"sha256\":\"8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec\",\"signer\":null},\"mdeDeviceId\":\"73e7e2de709dff64ef64b1d0c30e67fab63279db\",\"parentProcessCreationDateTime\":\"2021-08-12T07:39:09.0909239Z\",\"parentProcessId\":668,\"parentProcessImageFile\":{\"fileName\":\"services.exe\",\"filePath\":\"C:\\\\\Windows\\\\\System32\",\"filePublisher\":\"Microsoft Corporation\",\"fileSize\":731744,\"issuer\":null,\"sha1\":null,\"sha256\":null,\"signer\":null},\"processCommandLine\":\"\\\"MsSense.exe\\\"\",\"processCreationDateTime\":\"2021-08-12T12:43:19.0772577Z\",\"processId\":4780,\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"userAccount\":{\"accountName\":\"SYSTEM\",\"azureAdUserId\":null,\"domainName\":\"NT AUTHORITY\",\"userPrincipalName\":null,\"userSid\":\"S-1-5-18\"},\"verdict\":\"unknown\"},{\"@odata.type\":\"#microsoft.graph.security.registryKeyEvidence\",\"createdDateTime\":\"2021-04-27T12:19:27.7211305Z\",\"registryHive\":\"HKEY_LOCAL_MACHINE\",\"registryKey\":\"SYSTEM\\\\\CONTROLSET001\\\\\CONTROL\\\\\WMI\\\\\AUTOLOGGER\\\\\SENSEAUDITLOGGER\",\"remediationStatus\":\"none\",\"remediationStatusDetails\":null,\"roles\":[],\"tags\":[],\"verdict\":\"unknown\"}],\"firstActivityDateTime\":\"2021-04-26T07:45:50.116Z\",\"id\":\"da637551227677560813_-961444813\",\"incidentId\":\"28282\",\"incidentWebUrl\":\"https://security.microsoft.com/incidents/28282?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c\",\"lastActivityDateTime\":\"2021-05-02T07:56:58.222Z\",\"lastUpdateDateTime\":\"2021-05-02T14:19:01.3266667Z\",\"mitreTechniques\":[\"T1564.001\"],\"providerAlertId\":\"da637551227677560813_-961444813\",\"recommendedActions\":\"Collect artifacts and determine scope\\n�\\tReview the machine timeline for suspicious activities that may have occurred before and after the time of the alert, and record additional related artifacts (files, IPs/URLs) \\n�\\tLook for the presence of relevant artifacts on other systems. Identify commonalities and differences between potentially compromised systems.\\n�\\tSubmit relevant files for deep analysis and review resulting detailed behavioral information.\\n�\\tSubmit undetected files to the MMPC malware portal\\n\\nInitiate containment \\u0026 mitigation \\n�\\tContact the user to verify intent and initiate local remediation actions as needed.\\n�\\tUpdate AV signatures and run a full scan. The scan might reveal and remove previously-undetected malware components.\\n�\\tEnsure that the machine has the latest security updates. In particular, ensure that you have installed the latest software, web browser, and Operating System versions.\\n�\\tIf credential theft is suspected, reset all relevant users passwords.\\n�\\tBlock communication with relevant URLs or IPs at the organization�s perimeter.\",\"resolvedDateTime\":null,\"serviceSource\":\"microsoftDefenderForEndpoint\",\"severity\":\"low\",\"status\":\"new\",\"tenantId\":\"b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c\",\"threatDisplayName\":null,\"threatFamilyName\":null,\"title\":\"Suspicious execution of hidden file\"},\"assignedTo\":\"[email protected]\",\"classification\":\"truePositive\",\"comments\":[{\"comment\":\"Demo incident\",\"createdBy\":\"[email protected]\",\"createdTime\":\"2021-09-30T12:07:37.2756993Z\"}],\"createdDateTime\":\"2021-08-13T08:43:35.5533333Z\",\"determination\":\"multiStagedAttack\",\"displayName\":\"Multi-stage incident involving Initial access \\u0026 Command and control on multiple endpoints reported by multiple sources\",\"id\":\"2972395\",\"incidentWebUrl\":\"https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47\",\"lastUpdateDateTime\":\"2021-09-30T09:35:45.1133333Z\",\"redirectIncidentId\":null,\"severity\":\"medium\",\"status\":\"active\",\"tags\":[\"Demo\"],\"tenantId\":\"b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c\"}",
"provider": "microsoftDefenderForEndpoint",
"severity": 3,
"url": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47"
},
"file": {
"hash": {
"sha1": [
"5f1e8acedc065031aad553b710838eb366cfee9a"
],
"sha256": [
"8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec"
]
},
"name": [
"MsSense.exe"
],
"path": [
"C:\\Program Files\\temp"
],
"size": [
6136392
]
},
"host": {
"id": [
"73e7e2de709dff64ef64b1d0c30e67fab63279db"
],
"name": [
"tempdns"
],
"os": {
"name": [
"Windows10"
],
"version": [
"Other"
]
}
},
"input": {
"type": "httpjson"
},
"m365_defender": {
"incident": {
"alert": {
"alert_web_url": {
"domain": "security.microsoft.com",
"original": "https://security.microsoft.com/alerts/da637551227677560813_-961444813?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"path": "/alerts/da637551227677560813_-961444813",
"query": "tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"scheme": "https"
},
"category": "DefenseEvasion",
"classification": "unknown",
"created_datetime": "2021-04-27T12:19:27.721Z",
"description": "A hidden file has been launched. This activity could indicate a compromised host. Attackers often hide files associated with malicious tools to evade file system inspection and defenses.",
"detection_source": "antivirus",
"detector_id": "e0da400f-affd-43ef-b1d5-afc2eb6f2756",
"determination": "unknown",
"evidence": [
{
"created_datetime": "2021-04-27T12:19:27.721Z",
"defender_av_status": "unknown",
"device_dns_name": "tempDns",
"first_seen_datetime": "2020-09-12T07:28:32.432Z",
"health_status": "active",
"mde_device_id": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
"odata_type": "#microsoft.graph.security.deviceEvidence",
"onboarding_status": "onboarded",
"os_build": "22424",
"os_platform": "Windows10",
"rbac_group": {
"id": "75",
"name": "UnassignedGroup"
},
"remediation_status": "none",
"risk_score": "medium",
"roles": [
"compromised"
],
"tags": [
"Test Machine"
],
"verdict": "unknown",
"version": "Other",
"vm_metadata": {
"cloud_provider": "azure",
"resource_id": "/subscriptions/8700d3a3-3bb7-4fbe-a090-488a1ad04161/resourceGroups/WdatpApi-EUS-STG/providers/Microsoft.Compute/virtualMachines/NirLaviTests",
"subscription_id": "8700d3a3-3bb7-4fbe-a090-488a1ad04161",
"vm_id": "ca1b0d41-5a3b-4d95-b48b-f220aed11d78"
}
},
{
"created_datetime": "2021-04-27T12:19:27.721Z",
"detection_status": "detected",
"file_details": {
"name": "MsSense.exe",
"path": "C:\\Program Files\\temp",
"publisher": "Microsoft Corporation",
"sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
"sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
"size": 6136392
},
"mde_device_id": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
"odata_type": "#microsoft.graph.security.fileEvidence",
"remediation_status": "none",
"verdict": "unknown"
},
{
"created_datetime": "2021-04-27T12:19:27.721Z",
"detection_status": "detected",
"image_file": {
"name": "MsSense.exe",
"path": "C:\\Program Files\\temp",
"publisher": "Microsoft Corporation",
"sha1": "5f1e8acedc065031aad553b710838eb366cfee9a",
"sha256": "8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec",
"size": 6136392
},
"mde_device_id": "73e7e2de709dff64ef64b1d0c30e67fab63279db",
"odata_type": "#microsoft.graph.security.processEvidence",
"parent_process": {
"creation_datetime": "2021-08-12T07:39:09.090Z",
"id": 668,
"image_file": {
"name": "services.exe",
"path": "C:\\Windows\\System32",
"publisher": "Microsoft Corporation",
"size": 731744
}
},
"process": {
"command_line": "\"MsSense.exe\"",
"creation_datetime": "2021-08-12T12:43:19.077Z",
"id": 4780
},
"remediation_status": "none",
"user_account": {
"account_name": "SYSTEM",
"domain_name": "NT AUTHORITY",
"user_sid": "S-1-5-18"
},
"verdict": "unknown"
},
{
"created_datetime": "2021-04-27T12:19:27.721Z",
"odata_type": "#microsoft.graph.security.registryKeyEvidence",
"registry_hive": "HKEY_LOCAL_MACHINE",
"registry_key": "SYSTEM\\CONTROLSET001\\CONTROL\\WMI\\AUTOLOGGER\\SENSEAUDITLOGGER",
"remediation_status": "none",
"verdict": "unknown"
}
],
"first_activity_datetime": "2021-04-26T07:45:50.116Z",
"id": "da637551227677560813_-961444813",
"incident_id": "28282",
"incident_web_url": {
"domain": "security.microsoft.com",
"original": "https://security.microsoft.com/incidents/28282?tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"path": "/incidents/28282",
"query": "tid=b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"scheme": "https"
},
"last_activity_datetime": "2021-05-02T07:56:58.222Z",
"last_update_datetime": "2021-05-02T14:19:01.326Z",
"mitre_techniques": [
"T1564.001"
],
"provider_alert_id": "da637551227677560813_-961444813",
"recommended_actions": "Collect artifacts and determine scope\n�\tReview the machine timeline for suspicious activities that may have occurred before and after the time of the alert, and record additional related artifacts (files, IPs/URLs) \n�\tLook for the presence of relevant artifacts on other systems. Identify commonalities and differences between potentially compromised systems.\n�\tSubmit relevant files for deep analysis and review resulting detailed behavioral information.\n�\tSubmit undetected files to the MMPC malware portal\n\nInitiate containment & mitigation \n�\tContact the user to verify intent and initiate local remediation actions as needed.\n�\tUpdate AV signatures and run a full scan. The scan might reveal and remove previously-undetected malware components.\n�\tEnsure that the machine has the latest security updates. In particular, ensure that you have installed the latest software, web browser, and Operating System versions.\n�\tIf credential theft is suspected, reset all relevant users passwords.\n�\tBlock communication with relevant URLs or IPs at the organization�s perimeter.",
"service_source": "microsoftDefenderForEndpoint",
"severity": "low",
"status": "new",
"tenant_id": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"title": "Suspicious execution of hidden file"
},
"assigned_to": "[email protected]",
"classification": "truePositive",
"comments": [
{
"comment": "Demo incident",
"createdBy": "[email protected]",
"createdTime": "2021-09-30T12:07:37.2756993Z"
}
],
"created_datetime": "2021-08-13T08:43:35.553Z",
"determination": "multiStagedAttack",
"display_name": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"id": "2972395",
"last_update_datetime": "2021-09-30T09:35:45.113Z",
"odata_type": "#microsoft.graph.security.incident",
"severity": "medium",
"status": "active",
"tags": [
"Demo"
],
"tenant_id": "b3c1b5fc-828c-45fa-a1e1-10d74f6d6e9c",
"web_url": {
"domain": "security.microsoft.com",
"original": "https://security.microsoft.com/incidents/2972395?tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"path": "/incidents/2972395",
"query": "tid=12f988bf-16f1-11af-11ab-1d7cd011db47",
"scheme": "https"
}
}
},
"message": "Multi-stage incident involving Initial access & Command and control on multiple endpoints reported by multiple sources",
"process": {
"command_line": [
"\"MsSense.exe\""
],
"hash": {
"sha1": [
"5f1e8acedc065031aad553b710838eb366cfee9a"
],
"sha256": [
"8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec"
]
},
"parent": {
"pid": [
668
],
"start": [
"2021-08-12T07:39:09.090Z"
]
},
"pid": [
4780
],
"start": [
"2021-08-12T12:43:19.077Z"
],
"user": {
"name": [
"SYSTEM"
]
}
},
"registry": {
"hive": [
"HKEY_LOCAL_MACHINE"
],
"key": [
"SYSTEM\\CONTROLSET001\\CONTROL\\WMI\\AUTOLOGGER\\SENSEAUDITLOGGER"
]
},
"related": {
"hash": [
"5f1e8acedc065031aad553b710838eb366cfee9a",
"8963a19fb992ad9a76576c5638fd68292cffb9aaac29eb8285f9abf6196a7dec"
],
"hosts": [
"tempDns",
"NT AUTHORITY"
],
"user": [
"[email protected]",
"[email protected]",
"SYSTEM",
"S-1-5-18"
]
},
"source": {
"user": {
"name": "[email protected]"
}
},
"tags": [
"preserve_original_event",
"preserve_duplicate_custom_fields",
"forwarded",
"m365_defender-incident"
],
"threat": {
"tactic": {
"name": [
"DefenseEvasion"
]
},
"technique": {
"subtechnique": {
"id": [
"T1564.001"
]
}
}
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集。 |
constant_keyword |
event.module |
事件模块。 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移 |
long |
m365_defender.incident.alert.actor_display_name |
与此警报关联的攻击者或活动组。 |
keyword |
m365_defender.incident.alert.alert_web_url.domain |
keyword |
|
m365_defender.incident.alert.alert_web_url.extension |
keyword |
|
m365_defender.incident.alert.alert_web_url.fragment |
keyword |
|
m365_defender.incident.alert.alert_web_url.full |
keyword |
|
m365_defender.incident.alert.alert_web_url.original |
keyword |
|
m365_defender.incident.alert.alert_web_url.password |
keyword |
|
m365_defender.incident.alert.alert_web_url.path |
keyword |
|
m365_defender.incident.alert.alert_web_url.port |
long |
|
m365_defender.incident.alert.alert_web_url.query |
keyword |
|
m365_defender.incident.alert.alert_web_url.scheme |
keyword |
|
m365_defender.incident.alert.alert_web_url.username |
keyword |
|
m365_defender.incident.alert.assigned_to |
警报的所有者,如果未分配所有者,则为 null。 |
keyword |
m365_defender.incident.alert.category |
警报所属的攻击杀伤链类别。与 MITRE ATT&CK 框架对齐。 |
keyword |
m365_defender.incident.alert.classification |
指定警报是否表示真实威胁。可能的值包括:unknown、falsePositive、truePositive、benignPositive、unknownFutureValue。 |
keyword |
m365_defender.incident.alert.comments |
安全运营 (SecOps) 团队在警报管理过程中创建的注释数组。 |
flattened |
m365_defender.incident.alert.created_datetime |
Microsoft 365 Defender 创建警报的时间。 |
date |
m365_defender.incident.alert.description |
描述每个警报的字符串值。 |
keyword |
m365_defender.incident.alert.detection_source |
识别重要组件或活动的检测技术或传感器。 |
keyword |
m365_defender.incident.alert.detector_id |
触发警报的检测器的 ID。 |
keyword |
m365_defender.incident.alert.determination |
指定调查的结果,警报是否表示真实的攻击,如果是,则指定攻击的性质。可能的值包括:unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue。 |
keyword |
m365_defender.incident.alert.evidence.antispam_direction |
电子邮件相对于您网络的方向。可能的值包括:Inbound、Outbound 或 Intraorg。 |
keyword |
m365_defender.incident.alert.evidence.app_id |
应用程序的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.attachments_count |
电子邮件中附件的数量。 |
long |
m365_defender.incident.alert.evidence.azure_ad_device_id |
当设备加入 Azure AD 时,Azure Active Directory (Azure AD) 分配给设备的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.cluster_by |
群集中电子邮件的群集逻辑。 |
keyword |
m365_defender.incident.alert.evidence.cluster_by_value |
用于聚类相似电子邮件的值。 |
keyword |
m365_defender.incident.alert.evidence.created_datetime |
创建证据并将其添加到警报的时间。 |
date |
m365_defender.incident.alert.evidence.defender_av_status |
Defender 反恶意软件引擎的状态。可能的值包括:notReporting、disabled、notUpdated、updated、unknown、notSupported、unknownFutureValue。 |
keyword |
m365_defender.incident.alert.evidence.delivery_action |
电子邮件的送达操作。可能的值包括:Delivered、DeliveredAsSpam、Junked、Blocked 或 Replaced。 |
keyword |
m365_defender.incident.alert.evidence.delivery_location |
电子邮件的送达位置。可能的值包括:Inbox、External、JunkFolder、Quarantine、Failed、Dropped、DeletedFolder 或 Forwarded。 |
keyword |
m365_defender.incident.alert.evidence.detection_status |
检测的状态。可能的值包括:detected、blocked、prevented、unknownFutureValue。 |
keyword |
m365_defender.incident.alert.evidence.device_dns_name |
设备的完全限定域名 (FQDN)。 |
keyword |
m365_defender.incident.alert.evidence.display_name |
应用程序的名称。 |
keyword |
m365_defender.incident.alert.evidence.email_count |
电子邮件群集中电子邮件的计数。 |
long |
m365_defender.incident.alert.evidence.file_details.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.incident.alert.evidence.file_details.name |
文件的名称。 |
keyword |
m365_defender.incident.alert.evidence.file_details.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.file_details.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.incident.alert.evidence.file_details.publisher |
文件的发布者。 |
keyword |
m365_defender.incident.alert.evidence.file_details.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.file_details.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.file_details.signer |
签名文件的签名者。 |
keyword |
m365_defender.incident.alert.evidence.file_details.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.incident.alert.evidence.first_seen_datetime |
首次看到设备的日期和时间。 |
date |
m365_defender.incident.alert.evidence.health_status |
设备的健康状态。可能的值包括:active(活动)、inactive(非活动)、impairedCommunication(通信受损)、noSensorData(无传感器数据)、noSensorDataImpairedCommunication(无传感器数据且通信受损)、unknown(未知)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.image_file.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.incident.alert.evidence.image_file.name |
文件的名称。 |
keyword |
m365_defender.incident.alert.evidence.image_file.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.image_file.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.incident.alert.evidence.image_file.publisher |
文件的发布者。 |
keyword |
m365_defender.incident.alert.evidence.image_file.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.image_file.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.image_file.signer |
签名文件的签名者。 |
keyword |
m365_defender.incident.alert.evidence.image_file.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.incident.alert.evidence.instance_id |
软件即服务 (SaaS) 应用程序实例的标识符。 |
keyword |
m365_defender.incident.alert.evidence.instance_name |
SaaS 应用程序实例的名称。 |
keyword |
m365_defender.incident.alert.evidence.internet_message_id |
由发送电子邮件系统设置的电子邮件的面向公众的标识符。 |
keyword |
m365_defender.incident.alert.evidence.ip_address |
IP 地址的值,可以是 V4 地址格式或 V6 地址格式。 |
ip |
m365_defender.incident.alert.evidence.language |
检测到的电子邮件内容的语言。 |
keyword |
m365_defender.incident.alert.evidence.logged_on_users.account_name |
已登录用户的用户帐户名称。 |
keyword |
m365_defender.incident.alert.evidence.logged_on_users.domain_name |
已登录用户的用户帐户域。 |
keyword |
m365_defender.incident.alert.evidence.logged_on_users.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.mde_device_id |
Microsoft Defender for Endpoint 为设备分配的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.network_message_id |
由 Microsoft 365 生成的电子邮件的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.network_message_ids |
由 Microsoft 365 生成的群集中电子邮件的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.object_id |
Azure AD 中应用程序对象的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.onboarding_status |
计算机加入 Microsoft Defender for Endpoint 的状态。可能的值包括:insufficientInfo(信息不足)、onboarded(已加入)、canBeOnboarded(可加入)、unsupported(不支持)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.os_build |
设备正在运行的操作系统版本号。 |
keyword |
m365_defender.incident.alert.evidence.os_platform |
设备正在运行的操作系统平台。 |
keyword |
m365_defender.incident.alert.evidence.p1_sender.display_name |
发送者的名称。 |
keyword |
m365_defender.incident.alert.evidence.p1_sender.domain_name |
发送者域。 |
keyword |
m365_defender.incident.alert.evidence.p1_sender.email_address |
发送者的电子邮件地址。 |
keyword |
m365_defender.incident.alert.evidence.p1_sender.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.p2_sender.display_name |
发送者的名称。 |
keyword |
m365_defender.incident.alert.evidence.p2_sender.domain_name |
发送者域。 |
keyword |
m365_defender.incident.alert.evidence.p2_sender.email_address |
发送者的电子邮件地址。 |
keyword |
m365_defender.incident.alert.evidence.p2_sender.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.parent_process.creation_datetime |
创建进程的父进程的日期和时间。 |
date |
m365_defender.incident.alert.evidence.parent_process.id |
生成该进程的父进程的进程 ID (PID)。 |
long |
m365_defender.incident.alert.evidence.parent_process.image_file.issuer |
颁发证书的证书颁发机构 (CA)。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.name |
文件的名称。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.parent_process.image_file.path |
文件实例的文件路径(位置)。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.publisher |
文件的发布者。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.sha1 |
文件内容的 Sha1 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.sha256 |
文件内容的 Sha256 加密哈希值。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.signer |
签名文件的签名者。 |
keyword |
m365_defender.incident.alert.evidence.parent_process.image_file.size |
文件的大小(以字节为单位)。 |
long |
m365_defender.incident.alert.evidence.primary_address |
邮箱的主要电子邮件地址。 |
keyword |
m365_defender.incident.alert.evidence.process.command_line |
用于创建新进程的命令行。 |
keyword |
m365_defender.incident.alert.evidence.process.creation_datetime |
创建进程的日期和时间。 |
date |
m365_defender.incident.alert.evidence.process.id |
新创建进程的进程 ID (PID)。 |
long |
m365_defender.incident.alert.evidence.publisher |
应用程序发布者的名称。 |
keyword |
m365_defender.incident.alert.evidence.query |
用于标识电子邮件群集的查询。 |
keyword |
m365_defender.incident.alert.evidence.rbac_group.id |
基于角色的访问控制 (RBAC) 设备组的 ID。 |
keyword |
m365_defender.incident.alert.evidence.rbac_group.name |
RBAC 设备组的名称。 |
keyword |
m365_defender.incident.alert.evidence.received_datetime |
接收电子邮件的日期和时间。 |
date |
m365_defender.incident.alert.evidence.recipient_email_address |
收件人的电子邮件地址,或通讯组列表展开后的收件人的电子邮件地址。 |
keyword |
m365_defender.incident.alert.evidence.registry_hive |
记录的操作所应用的注册表配置单元。 |
keyword |
m365_defender.incident.alert.evidence.registry_key |
记录的操作所应用的注册表项。 |
keyword |
m365_defender.incident.alert.evidence.registry_value |
记录的操作所应用的注册表值的数据。 |
keyword |
m365_defender.incident.alert.evidence.registry_value_name |
记录的操作所应用的注册表值的名称。 |
keyword |
m365_defender.incident.alert.evidence.registry_value_type |
记录的操作所应用的注册表值的数据类型,例如二进制或字符串。 |
keyword |
m365_defender.incident.alert.evidence.remediation_status |
采取的修正措施的状态。可能的值包括:none(无)、remediated(已修正)、prevented(已阻止)、blocked(已阻止)、notFound(未找到)、active(活动)、pendingApproval(待批准)、declined(已拒绝)、notRemediated(未修正)、running(正在运行)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.remediation_status_details |
有关修正状态的详细信息。 |
keyword |
m365_defender.incident.alert.evidence.risk_score |
由 Microsoft Defender for Endpoint 评估的风险评分。可能的值包括:none(无)、informational(信息性)、low(低)、medium(中)、high(高)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.roles |
证据实体在警报中代表的角色,例如,与攻击者关联的 IP 地址将具有证据角色“攻击者”。 |
keyword |
m365_defender.incident.alert.evidence.saas_app_id |
SaaS 应用程序的标识符。 |
keyword |
m365_defender.incident.alert.evidence.security_group_id |
安全组的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.sender_ip |
上次检测到的转发邮件的邮件服务器的 IP 地址。 |
ip |
m365_defender.incident.alert.evidence.subject |
电子邮件的主题。 |
keyword |
m365_defender.incident.alert.evidence.tags |
与证据实例关联的自定义标记数组,例如表示一组设备、高价值资产等。 |
keyword |
m365_defender.incident.alert.evidence.threat_detection_methods |
用于检测电子邮件中发现的恶意软件、网络钓鱼或其他威胁的方法的集合。 |
keyword |
m365_defender.incident.alert.evidence.threats |
发现的恶意软件或其他威胁的检测名称集合。 |
keyword |
m365_defender.incident.alert.evidence.type |
keyword |
|
m365_defender.incident.alert.evidence.url |
唯一资源定位器 (URL)。 |
keyword |
m365_defender.incident.alert.evidence.url_count |
电子邮件中嵌入的 URL 的数量。 |
long |
m365_defender.incident.alert.evidence.urls |
此电子邮件中包含的 URL 的集合。 |
keyword |
m365_defender.incident.alert.evidence.urn |
标识群集的自动化调查的统一资源名称 (URN)。 |
keyword |
m365_defender.incident.alert.evidence.user_account.account_name |
用户帐户的显示名称。 |
keyword |
m365_defender.incident.alert.evidence.user_account.azure_ad_user_id |
Azure AD 中的用户对象标识符。 |
keyword |
m365_defender.incident.alert.evidence.user_account.display_name |
Azure AD 中的用户显示名称。 |
keyword |
m365_defender.incident.alert.evidence.user_account.domain_name |
用户所属的 Active Directory 域的名称。 |
keyword |
m365_defender.incident.alert.evidence.user_account.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.user_account.user_principal_name |
Azure AD 中帐户的用户主体名称。 |
keyword |
m365_defender.incident.alert.evidence.user_account.user_sid |
用户帐户的本地安全标识符。 |
keyword |
m365_defender.incident.alert.evidence.verdict |
自动化调查得出的结论。可能的值包括:unknown(未知)、suspicious(可疑)、malicious(恶意)、noThreatsFound(未发现威胁)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.version |
操作系统平台的版本。 |
keyword |
m365_defender.incident.alert.evidence.vm_metadata.cloud_provider |
托管虚拟机的云提供商。可能的值包括:unknown(未知)、azure(Azure)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.evidence.vm_metadata.odata_type |
keyword |
|
m365_defender.incident.alert.evidence.vm_metadata.resource_id |
Azure 资源的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.vm_metadata.subscription_id |
客户租户所属的 Azure 订阅的唯一标识符。 |
keyword |
m365_defender.incident.alert.evidence.vm_metadata.vm_id |
虚拟机实例的唯一标识符。 |
keyword |
m365_defender.incident.alert.first_activity_datetime |
与警报关联的最早活动。 |
date |
m365_defender.incident.alert.id |
表示警报资源的唯一标识符。 |
keyword |
m365_defender.incident.alert.incident_id |
表示此警报资源与之关联的事件的唯一标识符。 |
keyword |
m365_defender.incident.alert.incident_web_url.domain |
keyword |
|
m365_defender.incident.alert.incident_web_url.extension |
keyword |
|
m365_defender.incident.alert.incident_web_url.fragment |
keyword |
|
m365_defender.incident.alert.incident_web_url.full |
keyword |
|
m365_defender.incident.alert.incident_web_url.original |
keyword |
|
m365_defender.incident.alert.incident_web_url.password |
keyword |
|
m365_defender.incident.alert.incident_web_url.path |
keyword |
|
m365_defender.incident.alert.incident_web_url.port |
long |
|
m365_defender.incident.alert.incident_web_url.query |
keyword |
|
m365_defender.incident.alert.incident_web_url.scheme |
keyword |
|
m365_defender.incident.alert.incident_web_url.username |
keyword |
|
m365_defender.incident.alert.last_activity_datetime |
与警报关联的最旧活动。 |
date |
m365_defender.incident.alert.last_update_datetime |
在 Microsoft 365 Defender 中上次更新警报的时间。 |
date |
m365_defender.incident.alert.mitre_techniques |
与 MITRE ATT&CK 框架对齐的攻击技术。 |
keyword |
m365_defender.incident.alert.provider_alert_id |
警报在生成警报的安全提供商产品中显示的 ID。 |
keyword |
m365_defender.incident.alert.recommended_actions |
如果生成此警报,应采取的建议响应和修正措施。 |
match_only_text |
m365_defender.incident.alert.resolved_datetime |
解决警报的时间。 |
date |
m365_defender.incident.alert.service_source |
创建此警报的服务或产品。可能的值包括:microsoftDefenderForEndpoint、microsoftDefenderForIdentity、microsoftCloudAppSecurity、microsoftDefenderForOffice365、microsoft365Defender、aadIdentityProtection、appGovernance、dataLossPrevention。 |
keyword |
m365_defender.incident.alert.severity |
指示对资产的可能影响。严重性越高,影响越大。通常,较高严重性的项目需要最紧急的关注。可能的值包括:unknown(未知)、informational(信息性)、low(低)、medium(中)、high(高)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.status |
警报的状态。可能的值包括:new(新建)、inProgress(进行中)、resolved(已解决)、unknownFutureValue(未知未来值)。 |
keyword |
m365_defender.incident.alert.tenant_id |
创建警报的 Azure Active Directory 租户。 |
keyword |
m365_defender.incident.alert.threat_display_name |
与此警报关联的威胁。 |
keyword |
m365_defender.incident.alert.threat_family_name |
与此警报关联的威胁家族。 |
keyword |
m365_defender.incident.alert.title |
简短的标识字符串值,用于描述警报。 |
keyword |
m365_defender.incident.assigned_to |
事件的所有者,如果没有分配所有者,则为 null。可自由编辑的文本。 |
keyword |
m365_defender.incident.classification |
事件的规范。可能的值为:unknown、falsePositive、truePositive、informationalExpectedActivity、unknownFutureValue。 |
keyword |
m365_defender.incident.comments |
安全运营 (SecOps) 团队在管理事件时创建的注释数组。 |
flattened |
m365_defender.incident.created_datetime |
首次创建事件的时间。 |
date |
m365_defender.incident.determination |
指定事件的判断。可能的值为:unknown、apt、malware、securityPersonnel、securityTesting、unwantedSoftware、other、multiStagedAttack、compromisedUser、phishing、maliciousUserActivity、clean、insufficientData、confirmedUserActivity、lineOfBusinessApplication、unknownFutureValue。 |
keyword |
m365_defender.incident.display_name |
事件名称。 |
keyword |
m365_defender.incident.id |
表示事件的唯一标识符。 |
keyword |
m365_defender.incident.last_update_datetime |
事件上次更新的时间。 |
date |
m365_defender.incident.odata_type |
keyword |
|
m365_defender.incident.redirect_incident_id |
仅当事件与其他事件分组在一起时填充,作为处理事件的逻辑的一部分。在这种情况下,状态属性将被重定向。 |
keyword |
m365_defender.incident.severity |
指示对资产的可能影响。严重程度越高,影响越大。通常,严重程度较高的项目需要最立即的关注。可能的值为:unknown、informational、low、medium、high、unknownFutureValue。 |
keyword |
m365_defender.incident.status |
事件的状态。可能的值为:active、resolved、redirected、unknownFutureValue。 |
keyword |
m365_defender.incident.tags |
与事件关联的自定义标记数组。 |
keyword |
m365_defender.incident.tenant_id |
创建警报的 Azure Active Directory 租户。 |
keyword |
m365_defender.incident.web_url.domain |
keyword |
|
m365_defender.incident.web_url.extension |
keyword |
|
m365_defender.incident.web_url.fragment |
keyword |
|
m365_defender.incident.web_url.full |
keyword |
|
m365_defender.incident.web_url.original |
keyword |
|
m365_defender.incident.web_url.password |
keyword |
|
m365_defender.incident.web_url.path |
keyword |
|
m365_defender.incident.web_url.port |
long |
|
m365_defender.incident.web_url.query |
keyword |
|
m365_defender.incident.web_url.scheme |
keyword |
|
m365_defender.incident.web_url.username |
keyword |
日志
编辑这是 log 数据集。
示例
一个 log 的示例事件如下所示
{
"@timestamp": "2020-09-06T12:07:55.32Z",
"agent": {
"ephemeral_id": "ec3d7681-6c8e-4b8c-a808-6f632687f2ad",
"id": "a588bfad-b81a-4554-968a-cb8de7d78d90",
"name": "elastic-agent-14529",
"type": "filebeat",
"version": "8.14.3"
},
"cloud": {
"provider": "azure"
},
"data_stream": {
"dataset": "m365_defender.log",
"namespace": "94775",
"type": "logs"
},
"ecs": {
"version": "8.11.0"
},
"elastic_agent": {
"id": "a588bfad-b81a-4554-968a-cb8de7d78d90",
"snapshot": false,
"version": "8.14.3"
},
"event": {
"action": "InitialAccess",
"agent_id_status": "verified",
"category": [
"host"
],
"created": "2020-09-06T12:07:55.1366667Z",
"dataset": "m365_defender.log",
"duration": 0,
"end": "2020-09-06T12:04:00Z",
"id": "faf8edc936-85f8-a603-b800-08d8525cf099",
"ingested": "2024-08-12T16:02:18Z",
"kind": "alert",
"original": "{\"alerts\":{\"actorName\":null,\"alertId\":\"faf8edc936-85f8-a603-b800-08d8525cf099\",\"assignedTo\":\"Automation\",\"category\":\"InitialAccess\",\"classification\":null,\"creationTime\":\"2020-09-06T12:07:54.3716642Z\",\"description\":\"This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2\",\"detectionSource\":\"OfficeATP\",\"determination\":null,\"devices\":[],\"entities\":{\"aadUserId\":null,\"accountName\":null,\"clusterBy\":null,\"deliveryAction\":null,\"deviceId\":null,\"domainName\":null,\"entityType\":\"MailBox\",\"fileName\":null,\"filePath\":null,\"ipAddress\":null,\"mailboxAddress\":\"[email protected]\",\"mailboxDisplayName\":\"test User3\",\"parentProcessCreationTime\":null,\"parentProcessId\":null,\"processCommandLine\":null,\"processCreationTime\":null,\"processId\":null,\"recipient\":null,\"registryHive\":null,\"registryKey\":null,\"registryValue\":null,\"registryValueType\":null,\"securityGroupId\":null,\"securityGroupName\":null,\"sender\":null,\"sha1\":null,\"sha256\":null,\"subject\":null,\"url\":null,\"userPrincipalName\":\"[email protected]\",\"userSid\":null},\"firstActivity\":\"2020-09-06T12:04:00Z\",\"incidentId\":924518,\"investigationId\":null,\"investigationState\":\"Queued\",\"lastActivity\":\"2020-09-06T12:04:00Z\",\"lastUpdatedTime\":\"2020-09-06T12:37:40.88Z\",\"mitreTechniques\":[],\"resolvedTime\":null,\"serviceSource\":\"OfficeATP\",\"severity\":\"Informational\",\"status\":\"InProgress\",\"threatFamilyName\":null,\"title\":\"Email reported by user as malware or phish\"},\"assignedTo\":null,\"classification\":\"Unknown\",\"comments\":[],\"createdTime\":\"2020-09-06T12:07:55.1366667Z\",\"determination\":\"NotAvailable\",\"incidentId\":924518,\"incidentName\":\"Email reported by user as malware or phish\",\"lastUpdateTime\":\"2020-09-06T12:07:55.32Z\",\"redirectIncidentId\":null,\"severity\":\"Informational\",\"status\":\"Active\",\"tags\":[]}",
"provider": "OfficeATP",
"severity": 1,
"start": "2020-09-06T12:04:00Z",
"timezone": "UTC",
"type": [
"info"
]
},
"file": {
"hash": {}
},
"input": {
"type": "httpjson"
},
"m365_defender": {
"alerts": {
"assignedTo": "Automation",
"creationTime": "2020-09-06T12:07:54.3716642Z",
"detectionSource": "OfficeATP",
"entities": {
"entityType": "MailBox",
"mailboxAddress": "[email protected]",
"mailboxDisplayName": "test User3"
},
"incidentId": "924518",
"investigationState": "Queued",
"lastUpdatedTime": "2020-09-06T12:37:40.88Z",
"severity": "Informational",
"status": "InProgress"
},
"classification": "Unknown",
"determination": "NotAvailable",
"incidentId": "924518",
"incidentName": "Email reported by user as malware or phish",
"status": "Active"
},
"message": "Email reported by user as malware or phish",
"observer": {
"name": "OfficeATP",
"product": "365 Defender",
"vendor": "Microsoft"
},
"process": {
"parent": {}
},
"related": {
"user": [
"[email protected]"
]
},
"rule": {
"description": "This alert is triggered when any email message is reported as malware or phish by users -V1.0.0.2"
},
"tags": [
"preserve_original_event",
"m365_defender",
"forwarded"
],
"threat": {
"framework": "MITRE ATT&CK",
"technique": {
"name": [
"InitialAccess"
]
}
},
"user": {
"name": "[email protected]"
}
}
导出的字段
| 字段 | 描述 | 类型 |
|---|---|---|
@timestamp |
事件时间戳。 |
date |
cloud.image.id |
云实例的镜像 ID。 |
keyword |
data_stream.dataset |
数据流数据集。 |
constant_keyword |
data_stream.namespace |
数据流命名空间。 |
constant_keyword |
data_stream.type |
数据流类型。 |
constant_keyword |
event.dataset |
事件数据集 |
constant_keyword |
event.module |
事件模块 |
constant_keyword |
host.containerized |
主机是否为容器。 |
布尔值 |
host.os.build |
操作系统构建信息。 |
keyword |
host.os.codename |
操作系统代号(如果有)。 |
keyword |
input.type |
输入类型 |
keyword |
log.offset |
日志偏移 |
long |
m365_defender.alerts.actorName |
与此警报关联的活动组(如果有)。 |
keyword |
m365_defender.alerts.assignedTo |
事件的所有者,如果没有分配所有者,则为 null。 |
keyword |
m365_defender.alerts.classification |
事件的规范。属性值为:Unknown、FalsePositive、TruePositive 或 null。 |
keyword |
m365_defender.alerts.creationTime |
首次创建警报的时间。 |
date |
m365_defender.alerts.detectionSource |
最初检测到威胁的服务。 |
keyword |
m365_defender.alerts.detectorId |
检测器 ID。 |
keyword |
m365_defender.alerts.determination |
指定事件的判断。属性值为:NotAvailable、Apt、Malware、SecurityPersonnel、SecurityTesting、UnwantedSoftware、Other 或 null。 |
keyword |
m365_defender.alerts.devices |
与调查相关的设备。 |
flattened |
m365_defender.alerts.entities.accountName |
相关用户的帐户名称。 |
keyword |
m365_defender.alerts.entities.clusterBy |
如果 entityType 为 MailCluster,则为元数据列表。 |
keyword |
m365_defender.alerts.entities.deliveryAction |
相关电子邮件的传递状态。 |
keyword |
m365_defender.alerts.entities.deviceId |
与事件相关的设备的唯一 ID。 |
keyword |
m365_defender.alerts.entities.entityType |
已识别为属于给定警报或与给定警报相关的实体。属性值为:User、Ip、Url、File、Process、MailBox、MailMessage、MailCluster、Registry。 |
keyword |
m365_defender.alerts.entities.evidenceCreationTime |
证据创建时间。 |
date |
m365_defender.alerts.entities.ipAddress |
与事件相关的 IP 地址。 |
keyword |
m365_defender.alerts.entities.mailboxAddress |
相关邮箱的邮件地址。 |
keyword |
m365_defender.alerts.entities.mailboxDisplayName |
相关邮箱的显示名称。 |
keyword |
m365_defender.alerts.entities.recipient |
相关电子邮件的收件人。 |
keyword |
m365_defender.alerts.entities.registryHive |
如果 eventType 是注册表,则引用事件相关的注册表中的哪个配置单元。示例:HKEY_LOCAL_MACHINE。 |
keyword |
m365_defender.alerts.entities.registryKey |
引用事件相关的注册表项。 |
keyword |
m365_defender.alerts.entities.registryValueType |
与事件相关的注册表项/值对的值类型。 |
keyword |
m365_defender.alerts.entities.remediationStatus |
修复状态。 |
keyword |
m365_defender.alerts.entities.securityGroupId |
与电子邮件相关的用户的安全组 ID。 |
keyword |
m365_defender.alerts.entities.securityGroupName |
与电子邮件相关的用户的安全组名称。 |
keyword |
m365_defender.alerts.entities.sender |
相关电子邮件的发件人。 |
keyword |
m365_defender.alerts.entities.subject |
相关电子邮件的主题。 |
keyword |
m365_defender.alerts.entities.userSid |
事件用户 SID。 |
keyword |
m365_defender.alerts.entities.verdict |
事件裁定。 |
keyword |
m365_defender.alerts.incidentId |
表示此警报关联的事件的唯一标识符。 |
keyword |
m365_defender.alerts.investigationId |
此警报触发的自动调查 ID。 |
keyword |
m365_defender.alerts.investigationState |
有关调查当前状态的信息。 |
keyword |
m365_defender.alerts.lastUpdatedTime |
警报上次更新的时间。 |
date |
m365_defender.alerts.mitreTechniques |
与 MITRE ATT&CK™ 框架对齐的攻击技术。 |
keyword |
m365_defender.alerts.providerAlertId |
提供程序警报 ID。 |
keyword |
m365_defender.alerts.resolvedTime |
警报解决时间。 |
date |
m365_defender.alerts.severity |
相关警报的严重程度。 |
keyword |
m365_defender.alerts.status |
对警报进行分类(为“新建”、“活动”或“已解决”)。 |
keyword |
m365_defender.alerts.threatFamilyName |
与此警报关联的威胁家族。 |
keyword |
m365_defender.alerts.userSid |
相关用户的 SID。 |
keyword |
m365_defender.assignedTo |
警报的所有者。 |
keyword |
m365_defender.classification |
警报的规范。可能的值为:Unknown、FalsePositive、TruePositive。 |
keyword |
m365_defender.comments |
附加到相关事件的注释。 |
flattened |
m365_defender.determination |
指定事件的判断。属性值为:NotAvailable、Apt、Malware、SecurityPersonnel、SecurityTesting、UnwantedSoftware、Other。 |
keyword |
m365_defender.incidentId |
表示事件的唯一标识符。 |
keyword |
m365_defender.incidentName |
事件的名称。 |
keyword |
m365_defender.incidentUri |
事件 URI。 |
keyword |
m365_defender.investigationState |
调查的当前状态。 |
keyword |
m365_defender.redirectIncidentId |
仅当事件作为事件处理逻辑的一部分与其他事件分组在一起时填充。 |
keyword |
m365_defender.status |
指定警报的当前状态。可能的值为:Unknown、New、InProgress 和 Resolved。 |
keyword |
m365_defender.tags |
与事件关联的自定义标记数组,例如标记一组具有共同特征的事件。 |
keyword |
变更日志
编辑变更日志
| 版本 | 详细信息 | Kibana 版本 |
|---|---|---|
2.17.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.16.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.15.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.15.1 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.15.0 |
缺陷修复 (查看拉取请求) 增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.7 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.6 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.5 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.4 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.3 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.2 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.1 |
缺陷修复 (查看拉取请求) |
8.13.0 或更高版本 |
2.14.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.13.0 |
增强 (查看拉取请求) |
8.13.0 或更高版本 |
2.12.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.11.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.10.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.9.1 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.9.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.8.1 |
缺陷修复 (查看拉取请求) |
8.12.0 或更高版本 |
2.8.0 |
增强 (查看拉取请求) |
8.12.0 或更高版本 |
2.7.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.7.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.6.2 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.6.1 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.6.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.5.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.5.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.4.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.3.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.3.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.2.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.1.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
2.0.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
2.0.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.17.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.16.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.15.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.14.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.13.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.12.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.2 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.1 |
缺陷修复 (查看拉取请求) |
8.7.1 或更高版本 |
1.11.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.10.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.9.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.8.0 |
增强 (查看拉取请求) |
8.7.1 或更高版本 |
1.7.1 |
缺陷修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.7.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.2 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.6.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.1 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.5.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.3 |
增强 (查看拉取请求) 增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.2 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.1 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.4.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.3.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.2.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.2 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.1.0 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.4 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.3 |
Bug 修复 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.2 |
Bug 修复 (查看拉取请求) |
— |
1.0.1 |
增强 (查看拉取请求) |
7.16.0 或更高版本 |
1.0.0 |
增强 (查看拉取请求) |
— |