فهم مخطط التتبع المتقدم
ينطبق على:
- Microsoft Defender XDR
هام
تتعلق بعض المعلومات الواردة في هذه المقالة بالناتج الذي تم إصداره مسبقًا والذي قد يتم تعديله بشكل كبير قبل إصداره تجاريًا. لا تقدم Microsoft أي ضمانات، يتم التعبير عنها أو تضمينها، فيما يتعلق بالمعلومات المقدمة هنا.
يتكون مخطط التتبع المتقدم من جداول متعددة توفر معلومات الحدث أو معلومات حول الأجهزة والتنبيهات والهويات وأنواع الكيانات الأخرى. لإنشاء استعلامات تمتد عبر جداول متعددة بشكل فعال، تحتاج إلى فهم الجداول والأعمدة في مخطط التتبع المتقدم.
الحصول على معلومات المخطط
أثناء إنشاء الاستعلامات، استخدم مرجع المخطط المضمن للحصول بسرعة على المعلومات التالية حول كل جدول في المخطط:
- وصف الجداول - نوع البيانات المضمنة في الجدول ومصدر تلك البيانات.
- الأعمدة — جميع الأعمدة في الجدول.
-
أنواع الإجراءات — القيم المحتملة في
ActionTypeالعمود الذي يمثل أنواع الأحداث التي يدعمها الجدول. يتم توفير هذه المعلومات فقط للجداول التي تحتوي على معلومات الحدث. - نموذج استعلام - أمثلة على الاستعلامات التي تتميز بكيفية استخدام الجدول.
الوصول إلى مرجع المخطط
للوصول بسرعة إلى مرجع المخطط، حدد الإجراء View reference بجوار اسم الجدول في تمثيل المخطط. يمكنك أيضا تحديد مرجع المخطط للبحث عن جدول.
تعرف على جداول المخطط
يسرد المرجع التالي جميع الجداول في المخطط. يرتبط كل اسم جدول بصفحة تصف أسماء الأعمدة لهذا الجدول. يتم أيضا سرد أسماء الجداول والأعمدة في Microsoft Defender XDR كجزء من تمثيل المخطط على شاشة التتبع المتقدمة.
| اسم الجدول | الوصف |
|---|---|
| AADSignInEventsBeta | Microsoft Entra عمليات تسجيل الدخول التفاعلية وغير التفاعلية |
| AADSpnSignInEventsBeta | Microsoft Entra كيان الخدمة وتسجيلات الدخول المدارة للهوية |
| AlertEvidence | الملفات أو عناوين IP أو عناوين URL أو المستخدمين أو الأجهزة المقترنة بالتنبيهات |
| AlertInfo | تنبيهات من Microsoft Defender لنقطة النهاية Microsoft Defender لـ Office 365 Microsoft Defender for Cloud Apps Microsoft Defender for Identity، بما في ذلك معلومات الخطورة وتصنيف التهديدات |
| BehaviorEntities (معاينة) | أنواع بيانات السلوك في Microsoft Defender for Cloud Apps (غير متوفرة ل GCC) |
| BehaviorInfo (معاينة) | تنبيهات من Microsoft Defender for Cloud Apps (غير متوفرة ل GCC) |
| CloudAppEvents | الأحداث التي تتضمن حسابات وعناصر في Office 365 والتطبيقات والخدمات السحابية الأخرى |
| CloudAuditEvents | أحداث تدقيق السحابة لمختلف الأنظمة الأساسية السحابية المحمية بواسطة Microsoft Defender للمؤسسة للسحابة |
| DeviceEvents | أنواع أحداث متعددة، بما في ذلك الأحداث التي يتم تشغيلها بواسطة عناصر التحكم في الأمان مثل Microsoft Defender مكافحة الفيروسات والحماية من الهجمات |
| DeviceFileCertificateInfo | معلومات الشهادة للملفات الموقعة التي تم الحصول عليها من أحداث التحقق من الشهادة على نقاط النهاية |
| DeviceFileEvents | إنشاء الملفات وتعديلها وأحداث نظام الملفات الأخرى |
| DeviceImageLoadEvents | أحداث تحميل DLL |
| DeviceInfo | معلومات الجهاز، بما في ذلك معلومات نظام التشغيل |
| DeviceLogonEvents | عمليات تسجيل الدخول وأحداث المصادقة الأخرى على الأجهزة |
| DeviceNetworkEvents | اتصال الشبكة والأحداث ذات الصلة |
| DeviceNetworkInfo | خصائص شبكة الأجهزة، بما في ذلك المحولات الفعلية وعناوين IP وMAC، بالإضافة إلى الشبكات والمجالات المتصلة |
| DeviceProcessEvents | إنشاء العملية والأحداث ذات الصلة |
| DeviceRegistryEvents | إنشاء إدخالات السجل وتعديلها |
| DeviceTvmHardwareFirmware | معلومات الأجهزة والبرامج الثابتة للأجهزة كما تم التحقق منها بواسطة إدارة الثغرات الأمنية في Defender |
| DeviceTvmInfoGathering | إدارة الثغرات الأمنية في Defender أحداث التقييم بما في ذلك حالات مساحة سطح الهجوم والتكوين |
| DeviceTvmInfoGatheringKB | بيانات التعريف لأحداث التقييم التي تم جمعها في DeviceTvmInfogathering الجدول |
| DeviceTvmSecureConfigurationAssessment | إدارة الثغرات الأمنية في Microsoft Defender أحداث التقييم، مما يشير إلى حالة تكوينات الأمان المختلفة على الأجهزة |
| DeviceTvmSecureConfigurationAssessmentKB | قاعدة معارف لمختلف تكوينات الأمان التي تستخدمها إدارة الثغرات الأمنية في Microsoft Defender لتقييم الأجهزة؛ وتشمل تعيينات لمختلف المعايير والمعايير |
| DeviceTvmSoftwareEvidenceBeta | معلومات الأدلة حول مكان اكتشاف برنامج معين على جهاز |
| DeviceTvmSoftwareInventory | مخزون البرامج المثبتة على الأجهزة، بما في ذلك معلومات إصدارها وحالة انتهاء الدعم |
| DeviceTvmSoftwareVulnerabilities | الثغرات الأمنية في البرامج الموجودة على الأجهزة وقائمة تحديثات الأمان المتوفرة التي تعالج كل ثغرة أمنية |
| DeviceTvmSoftwareVulnerabilitiesKB | قاعدة معارف للثغرات الأمنية التي تم الكشف عنها للجمهور، بما في ذلك ما إذا كانت التعليمات البرمجية للاستغلال متاحة للجمهور |
| EmailAttachmentInfo | معلومات حول الملفات المرفقة برسائل البريد الإلكتروني |
| EmailEvents | أحداث البريد الإلكتروني في Microsoft 365، بما في ذلك تسليم البريد الإلكتروني وحظر الأحداث |
| EmailPostDeliveryEvents | أحداث الأمان التي تحدث بعد التسليم، بعد تسليم Microsoft 365 رسائل البريد الإلكتروني إلى علبة بريد المستلم |
| EmailUrlInfo | معلومات حول عناوين URL على رسائل البريد الإلكتروني |
| ExposureGraphEdges | إدارة التعرض للأمان في Microsoft معلومات حافة الرسم البياني للتعرض توفر رؤية للعلاقات بين الكيانات والأصول في الرسم البياني |
| ExposureGraphNodes | إدارة التعرض للأمان في Microsoft معلومات عقدة الرسم البياني للتعرض، حول الكيانات التنظيمية وخصائصها |
| IdentityDirectoryEvents | الأحداث التي تتضمن وحدة تحكم مجال محلية تقوم بتشغيل Active Directory (AD). يغطي هذا الجدول مجموعة من الأحداث المتعلقة بالهوية وأحداث النظام على وحدة التحكم بالمجال. |
| IdentityInfo | معلومات الحساب من مصادر مختلفة، بما في ذلك Microsoft Entra ID |
| IdentityLogonEvents | أحداث المصادقة على Active Directory وMicrosoft خدمات الإنترنت |
| IdentityQueryEvents | استعلامات لعناصر Active Directory، مثل المستخدمين والمجموعات والأجهزة والمجالات |
| UrlClickEvents | نقرات الارتباطات الآمنة من رسائل البريد الإلكتروني وTeams وتطبيقات Office 365 |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام نتائج الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.