跳至主内容

预定义搜索字段及值

以下表格按类别展示含预定义值的搜索字段:

文件

字段名称

描述

预定义值

file.operation

对文件执行的操作类型。

  • 读取

  • 写入

  • 删除

  • 重命名

  • 关闭

  • 创建

file.attribute_operation

涉及更改文件属性的操作类型。

  • 安全属性变更

  • 基本属性变更

  • 日期时间变更

file.item_type

被访问或修改的对象的类型。

  • 文件

  • 文件夹

  • 网页

  • 站点

  • 租户

警报

字段名称

描述

预定义值

alert.type

生成警报的技术类型。

  • 高级威胁检测

  • 账户管理

  • 主机检测

  • atd测试版

  • hd报告

  • 命令行

  • ctc

  • ghoster

  • hd无报告

  • 沙箱

  • 内存扫描

  • url状态

  • gemma

  • 异常检测

  • amsi

  • 动态机器学习

  • 自我保护

  • 用户检测

  • 加密保护

  • etw

  • 用户检测_yara

alert.mark

描述生成警报的类型。

  • 信息 - 该警报为信息性;此类警报仅用于通知目的。

  • 可疑 - 该警报描述可疑行为。此值常见于 EDR 检测。

  • 恶意软件 - 该警报描述恶意行为

alert.scan_type

描述触发警报的扫描类型。

  • 实时防护

  • 按需扫描

  • HTTP流量

alert.actions_taken

对文件采取的操作

  • 无效

  • 无操作

  • 拦截

  • 拦截并清除

  • 仅清除

  • 删除

  • 隔离

网络

字段名称

描述

预定义值

network.direction

网络流量方向

  • 出站

  • 入站

  • 双向

进程

字段名称

描述

预定义值

process.integrity_level

进程完整性级别

  • 不受信任

  • 系统

process.parent_integrity_level

父进程的完整性级别。

  • 不受信任

  • 系统

process.access_privileges

表示进程运行时拥有的权限。

  • 提升权限

  • 受限权限

process.parent_access_privileges

表示父进程运行时拥有的权限。

  • 提升权限

  • 受限权限

注册表

字段名称

描述

预定义值

registry.operation

数据访问类型。

  • 读取

  • 写入

  • 创建

  • 删除

registry.type

注册表数据类型。

  • sz

  • expand_sz

  • 二进制

  • 双字

  • 小端双字

  • 大端双字

  • 链接

  • 多字符串

  • 资源列表

  • 完整资源描述符

  • 资源需求列表

  • 四字

用户

字段名称

描述

预定义值

用户类型

执行操作的用户类型。

  • 用户 - 普通用户

  • 组织管理员 - Microsoft 365组织中的管理员

  • 数据中心账户 - Microsoft数据中心管理员或数据中心系统账户

  • 系统账户 - 系统账户

  • 应用程序 - 应用程序

  • 服务 - 服务主体

  • custom_policy - 自定义策略

  • system_policy - 系统策略

电子邮件

字段名称

定义

预定义值

email.logon_type

以下值表示访问邮箱的用户类型。

  • owner - 邮箱所有者

  • administrator - 管理员

  • delegate - 委托用户

  • microsoft_transport_service - 数据中心内的传输服务

  • microsoft_service_account - 数据中心内的服务账户

  • delegated_administrator - 委派管理员

其他

字段名称

描述

预定义值

other.event_name

事件名称。

other.os

操作系统类型。

  • Windows

  • Linux

  • macOS

其他事件类型

事件类型。

  • 原始数据

  • 告警

  • 扩展告警

其他检测类别

检测类型。

  • 终端检测与响应(EDR)检测

  • 勒索软件

  • 反恶意软件扫描接口

  • AMSI检测

  • 异常检测

  • 反恶意软件检测

  • ATD测试版检测

  • ATD检测

  • Gemma检测

  • 硬盘检测

  • 无报告硬盘检测

  • 报告硬盘检测

  • 机器学习检测

  • 内存扫描检测

  • 网络扫描检测

  • 用户自定义检测

  • 命令行扫描检测

  • 沙箱检测

  • URL状态检测

  • cryptprotect检测

  • etw检测

  • 用户检测_yara

其他.传感器名称

生成警报的传感器。

  • atc

  • edr

  • 文件扫描

  • 流量扫描

  • office365

其他.架构

操作系统的架构类型。

  • x86

  • x64

其他.合规中心事件

表示该活动是Microsoft 365合规中心事件。

其他.结果状态

表示操作是否成功。

本节内容 :