Vysvětlení schématu rozšířeného proaktivního proaktivního vyhledávání

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Schéma rozšířeného proaktivního vyhledávání se skládá z několika tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které zahrnují více tabulek, musíte porozumět tabulkám a sloupcům ve schématu rozšířeného proaktivního vyhledávání.

Získání informací o schématu

Při vytváření dotazů můžete pomocí předdefinovaných odkazů na schéma rychle získat následující informace o každé tabulce ve schématu:

  • Popis tabulek – typ dat obsažených v tabulce a zdroj těchto dat.
  • Sloupce – všechny sloupce v tabulce.
  • Typy akcí – možné hodnoty ve sloupci ActionType představující typy událostí podporované tabulkou Tyto informace jsou k dispozici pouze pro tabulky, které obsahují informace o událostech.
  • Ukázkový dotaz – ukázkové dotazy, které obsahují informace o tom, jak lze tabulku využít.

Přístup k referenčním informacím o schématu

Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat Odkaz na schéma a vyhledat tabulku.

Stránka s referenčními informacemi o schématu na stránce Rozšířené proaktivní vyhledávání na portálu Microsoft Defender

Seznámení s tabulkami schématu

Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Microsoft Defender XDR jako součást reprezentace schématu na obrazovce rozšířeného proaktivního vyhledávání.

Název tabulky Popis
AADSignInEventsBeta Microsoft Entra interaktivních a neinteraktivních přihlášení
AADSpnSignInEventsBeta Microsoft Entra přihlášení instančního objektu a spravované identity
AlertEvidence Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním
AlertInfo Výstrahy z Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb
BehaviorEntities Datové typy chování v Microsoft Defender for Cloud Apps
BehaviorInfo Výstrahy z Microsoft Defender for Cloud Apps
CloudAppEvents Události týkající se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách
DeviceEvents Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím
DeviceFileCertificateInfo Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech
DeviceFileEvents Vytváření, úpravy souborů a další události systému souborů
DeviceImageLoadEvents Události načítání knihovny DLL
DeviceInfo Informace o počítači, včetně informací o operačním systému
DeviceLogonEvents Přihlášení a další události ověřování na zařízeních
DeviceNetworkEvents Síťové připojení a související události
DeviceNetworkInfo Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén
DeviceProcessEvents Vytváření procesů a související události
DeviceRegistryEvents Vytváření a úpravy položek registru
DeviceTvmHardwareFirmware Informace o hardwaru a firmwaru zařízení, jak je kontroluje Správa ohrožení zabezpečení v programu Defender
DeviceTvmInfoGathering Události posouzení správy ohrožení zabezpečení programu Defender, včetně konfigurace a stavů potenciální oblasti útoku
DeviceTvmInfoGatheringKB Metadata pro události hodnocení shromážděná v tabulce DeviceTvmInfogathering
DeviceTvmSecureConfigurationAssessment Microsoft Defender Správa zranitelností události posouzení, které označují stav různých konfigurací zabezpečení na zařízeních
DeviceTvmSecureConfigurationAssessmentKB Znalostní báze různých konfigurací zabezpečení používaných Microsoft Defender Správa zranitelností k hodnocení zařízení; zahrnuje mapování na různé standardy a srovnávací testy.
DeviceTvmSoftwareEvidenceBeta Informace o tom, kde byl na zařízení zjištěn určitý software
DeviceTvmSoftwareInventory Inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory
DeviceTvmSoftwareVulnerabilities Chyby zabezpečení softwaru zjištěné na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení
DeviceTvmSoftwareVulnerabilitiesKB Znalostní báze veřejně zveřejněných chyb zabezpečení, včetně toho, zda je kód zneužití veřejně dostupný
EmailAttachmentInfo Informace o souborech připojených k e-mailům
EmailEvents Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů
EmailPostDeliveryEvents Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce
EmailUrlInfo Informace o adresách URL v e-mailech
ExposureGraphEdges Informace o hraničních hranách o okraji ohrožení zabezpečení microsoftu poskytují přehled o vztazích mezi entitami a aktivy v grafu.
ExposureGraphNodes Informace o uzlu grafu ohrožení správy ohrožení zabezpečení Microsoftu, informace o organizačních entitách a jejich vlastnostech
IdentityDirectoryEvents Události týkající se místního řadiče domény se službou Active Directory (AD) Tato tabulka obsahuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény.
IdentityInfo Informace o účtu z různých zdrojů, včetně Microsoft Entra ID
IdentityLogonEvents Události ověřování ve službě Active Directory a Microsoft online služby
IdentityQueryEvents Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény
UrlClickEvents Kliknutí na bezpečné odkazy z e-mailových zpráv, Teams a aplikací Office 365

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.