跳至主内容

预定义的搜索字段和值

以下表格按类别展示了带有预定义值的搜索字段:

文件

字段名称

描述

预定义值

file.operation

对文件执行的操作类型

  • 读取

  • 写入

  • 删除

  • 重命名

  • 关闭

  • 创建

文件属性操作

涉及更改文件属性的操作类型。

  • 安全属性变更

  • 基本属性变更

  • 日期时间变更

文件项类型

被访问或修改的对象的类型。

  • 文件

  • 文件夹

  • 网页

  • 站点

  • 租户

警报

字段名称

描述

预定义值

警报类型

生成警报的技术类型。

  • 高级威胁防御

  • 恶意软件防护

  • 主机检测

  • 高级威胁防御测试版

  • 主机检测报告

  • 命令行

  • 云威胁防护

  • 幽灵进程检测

  • 硬盘无报告

  • 沙盒

  • 内存扫描

  • 网址状态

  • 宝石

  • 异常检测

  • 反恶意软件扫描接口

  • 动态机器学习

  • 自我保护

  • 用户检测

  • 加密保护

  • 事件追踪

  • 用户检测规则

警报标记

描述生成警报的类型。

  • 信息 - 该警报为信息性;此类警报仅用于通知目的。

  • 可疑 - 该警报描述可疑行为。此值常见于 终端检测与响应 检测。

  • 恶意软件 - 该警报描述恶意行为

警报扫描类型

描述触发警报的扫描类型。

  • 访问时

  • 按需

  • HTTP流量

警报采取的措施

对文件采取的措施。

  • 无效

  • 无操作

  • 拦截

  • 拦截并清除

  • 仅清除

  • 删除

  • 隔离

网络

字段名称

描述

预定义值

network.direction

网络流量的方向

  • 出站

  • 入站

  • 双向

进程

字段名称

描述

预定义值

process.integrity_level

进程的完整性级别

  • 不受信任

  • 系统

process.parent_integrity_level

父进程的完整性级别

  • 不受信任

  • 系统

进程.访问权限

指示进程运行时拥有的权限级别。

  • 提升权限

  • 受限权限

进程.父进程访问权限

指示父进程运行时拥有的权限级别。

  • 提升权限

  • 受限权限

注册表

字段名

描述

预定义值

注册表.操作类型

数据访问的类型。

  • 读取

  • 写入

  • 创建

  • 删除

注册表.数据类型

注册表数据的类型。

  • 字符串值

  • 可扩展字符串值

  • 二进制值

  • 双字值

  • 小端双字值

  • 大端双字

  • 链接

  • 多字符串

  • 资源列表

  • 完整资源描述符

  • 资源需求列表

  • 四字

用户

字段名称

描述

预定义值

用户类型

执行操作的用户类型。

  • 用户 - 普通用户

  • 组织管理员 - 您Microsoft 365组织中的管理员

  • 数据中心账户 - Microsoft数据中心管理员或数据中心系统账户

  • 系统账户 - 系统账户

  • 应用程序 - 应用程序

  • 服务 - 服务主体

  • 自定义策略 - 自定义策略

  • 系统策略 - 系统策略

电子邮件

字段名称

定义

预定义值

email.logon_type

以下值表示访问邮箱的用户类型。

  • owner - 邮箱所有者

  • administrator - 管理员

  • delegate - 委托用户

  • microsoft_transport_service - 数据中心传输服务

  • microsoft_service_account - 数据中心服务账户

  • delegated_administrator - 委派管理员

其他

字段名称

描述

预定义值

other.event_name

事件名称

other.os

操作系统类型

  • windows

  • linux

  • macos

other.event_type

事件类型。

  • 原始数据

  • 告警

  • 扩展告警

其他检测类别

检测类型。

  • 终端检测与响应检测

  • 勒索软件

  • 反恶意软件扫描接口

  • 反恶意软件接口检测

  • 异常检测

  • 反恶意软件检测

  • 高级威胁检测测试版

  • 高级威胁检测

  • Gemma检测

  • 主机检测

  • 无报告主机检测

  • 报告主机检测

  • 机器学习检测

  • 内存扫描检测

  • 网络扫描检测

  • 用户自定义检测

  • 命令行扫描检测

  • 沙箱检测

  • URL状态检测

  • 加密保护检测

  • 事件追踪检测

  • 用户YARA规则检测

其他传感器名称

生成告警的传感器。

  • atc

  • edr

  • 文件扫描

  • 流量扫描

  • office365

其他.架构

操作系统的架构类型。

  • x86

  • x64

其他.合规中心事件

表示该活动是Microsoft 365合规中心事件。

其他.结果状态

表示操作是否成功。

本节内容 :