Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Die BehaviorInfo Tabelle im schema der erweiterten Suche enthält Informationen zu Verhaltensweisen aus Microsoft Defender for Cloud Apps und User and Entity Behavior Analytics (UEBA). Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Wichtig
Die BehaviorInfo Tabelle befindet sich in der Vorschauphase und ist für GCC nicht verfügbar. Die hier aufgeführten Informationen können vor der kommerziellen Veröffentlichung wesentlich geändert werden. Microsoft übernimmt mit diesen Informationen keinerlei Gewährleistung, sei sie ausdrücklich oder konkludent. Möchten Sie Feedback teilen? Füllen Sie unser Feedbackformular aus.
Verhaltensweisen sind ein Datentyp in Microsoft Defender XDR basierend auf einem oder mehreren Unformatierten Ereignissen. Verhaltensweisen bieten kontextbezogene Einblicke in Ereignisse und können, aber nicht unbedingt, auf böswillige Aktivitäten hinweisen. Weitere Informationen finden Sie in den folgenden Artikeln:
- Untersuchen von Verhaltensweisen mit der erweiterten Suche
- Übersetzen von unformatierten Sicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhaltensweisen in Microsoft Sentinel
Diese erweiterte Suchtabelle wird mit Datensätzen aus Defender for Cloud Apps und UEBA aufgefüllt. Wenn Ihr organization diese Dienste nicht in Microsoft Defender XDR bereitstellt, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben keine Ergebnisse zurück. Weitere Informationen zum Bereitstellen von Diensten in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste.
Um sicherzustellen, dass Defender for Cloud Apps- und UEBA-Daten die BehaviorInfo Tabelle auffüllen, befolgen Sie die Anweisungen in den folgenden Artikeln:
- Verbinden von Microsoft 365 mit Microsoft Defender for Cloud Apps
- Aktivieren der UEBA-Verhaltensebene
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit, wann der Datensatz generiert wurde |
BehaviorId |
string |
Eindeutiger Bezeichner für das Verhalten |
Title |
string |
Titel des Verhaltens |
Description |
string |
Beschreibung des Verhaltens |
Categories |
string |
Art des Bedrohungsindikators oder der Sicherheitsverletzungsaktivität, die durch das Verhalten identifiziert wird, wie vom MITRE ATT&CK-Framework definiert |
AttackTechniques |
string |
MITRE ATT&CK-Techniken, die der Aktivität zugeordnet sind, die das Verhalten ausgelöst hat |
ServiceSource |
string |
Produkt oder Dienst, das das Verhalten identifiziert hat |
DetectionSource |
string |
Erkennungstechnologie oder Sensor, die die relevante Komponente oder Aktivität identifiziert hat |
DataSources |
string |
Produkte oder Dienste, die Informationen für das Verhalten bereitgestellt haben |
DeviceId |
string |
Eindeutiger Bezeichner für das Gerät im Dienst |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
StartTime |
datetime |
Datum und Uhrzeit der ersten Aktivität im Zusammenhang mit dem Verhalten |
EndTime |
datetime |
Datum und Uhrzeit der letzten Aktivität im Zusammenhang mit dem Verhalten |
AdditionalFields |
string |
Zusätzliche Informationen zum Verhalten |
ActionType |
string |
Art des Verhaltens |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.