Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Schéma rozšířeného proaktivního vyhledávání se skládá z několika tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které zahrnují více tabulek, musíte porozumět tabulkám a sloupcům ve schématu rozšířeného proaktivního vyhledávání.
Získání informací o schématu
Při vytváření dotazů můžete pomocí předdefinovaných odkazů na schéma rychle získat následující informace o každé tabulce ve schématu:
- Popis tabulek – typ dat obsažených v tabulce a zdroj těchto dat.
- Sloupce – všechny sloupce v tabulce.
-
Typy akcí – možné hodnoty ve sloupci
ActionTypepředstavující typy událostí podporované tabulkou Tyto informace jsou k dispozici pouze pro tabulky, které obsahují informace o událostech. - Ukázkový dotaz – ukázkové dotazy, které obsahují informace o tom, jak lze tabulku využít.
Přístup k referenčním informacím o schématu
Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat Odkaz na schéma a vyhledat tabulku.
Seznámení s tabulkami schématu
Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Microsoft Defender XDR jako součást reprezentace schématu na obrazovce rozšířeného proaktivního vyhledávání.
| Název tabulky | Popis | Podpora DCR | Podpora příjmu dat pouze pro jezero |
|---|---|---|---|
| AADSignInEventsBeta | Microsoft Entra interaktivních a neinteraktivních přihlášení | Ne | Ne |
| AADSpnSignInEventsBeta | Microsoft Entra přihlášení instančního objektu a spravované identity | Ne | Ne |
| AIAgentsInfo (Preview) | Informace o agentech AI vytvořených pomocí Microsoft Copilot Studio, včetně podrobností o konfiguraci a vlastnictví agenta | Ne | Ne |
| AlertEvidence | Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním | Ano | Ano |
| AlertInfo | Upozornění z Microsoft Defender for Endpoint, Microsoft Defender na Office 365, Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb | Ano | Ano |
| BehaviorEntities (Preview) | Entity (soubor, proces, zařízení, uživatel a další), které se podílejí na chování v Microsoft Defender for Cloud Apps (není k dispozici pro GCC) a Analýza chování uživatelů a entit (UEBA) | Ano | Ano |
| BehaviorInfo (Preview) | Chování z Microsoft Defender for Cloud Apps (není k dispozici pro GCC) a analýza chování uživatelů a entit (UEBA) | Ano | Ano |
| CampaignInfo (Preview) | Email kampaně identifikované Microsoft Defender pro Office 365 | Ano | Ano |
| CloudAppEvents | Události týkající se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách | Ano | Ano |
| CloudAuditEvents (Preview) | Události auditu cloudu pro různé cloudové platformy chráněné Microsoft Defender organizace pro cloud | Ne | Ne |
| CloudProcessEvents (Preview) | Události cloudového procesu pro různé cloudové platformy chráněné Microsoft Defender pro kontejnery organizace | Ne | Ne |
| CloudStorageAggregatedEvents (Preview) | Aktivita cloudového úložiště a související události | Ne | Ne |
| DataSecurityBehaviors (Preview) | Přehledy o potenciálně podezřelém chování uživatelů, které porušuje uživatelem definované nebo výchozí zásady nakonfigurované v sadě řešení Microsoft Purview | Ne | Ne |
| DataSecurityEvents (Preview) | Informace o aktivitách uživatelů, které porušují uživatelem definované nebo výchozí zásady v sadě řešení Microsoft Purview | Ne | Ne |
| DeviceBaselineComplianceAssessment (Preview) | Snímek posouzení dodržování předpisů podle směrného plánu, který označuje stav různých konfigurací zabezpečení souvisejících s profily standardních hodnot na zařízeních | Ne | Ne |
| DeviceBaselineComplianceAssessmentKB (Preview) | Informace o různých konfiguracích zabezpečení používaných standardním dodržováním předpisů k posouzení zařízení | Ne | Ne |
| DeviceBaselineComplianceProfiles (Preview) | Základní profily používané k monitorování dodržování předpisů podle standardních hodnot zařízení | Ne | Ne |
| DeviceEvents | Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím | Ano | Ano |
| DeviceFileCertificateInfo | Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech | Ano | Ano |
| DeviceFileEvents | Vytváření, úpravy souborů a další události systému souborů | Ano | Ano |
| DeviceImageLoadEvents | Události načítání knihovny DLL | Ano | Ano |
| DeviceInfo | Informace o počítači, včetně informací o operačním systému | Ano | Ano |
| DeviceLogonEvents | Přihlášení a další události ověřování na zařízeních | Ano | Ano |
| DeviceNetworkEvents | Síťové připojení a související události | Ano | Ano |
| DeviceNetworkInfo | Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén | Ano | Ano |
| DeviceProcessEvents | Vytváření procesů a související události | Ano | Ano |
| DeviceRegistryEvents | Vytváření a úpravy položek registru | Ano | Ano |
| DeviceTvmBrowserExtensions (Preview) | Instalace rozšíření prohlížeče nalezené na zařízeních z Microsoft Defender Správa zranitelností | Ne | Ne |
| DeviceTvmBrowserExtensionsKB (Preview) | Podrobnosti o rozšíření prohlížeče a informace o oprávněních použité na stránce Microsoft Defender Správa zranitelností rozšíření prohlížeče | Ne | Ne |
| DeviceTvmCertificateInfo (Preview) | Informace o certifikátu pro zařízení v organizaci z Microsoft Defender Správa zranitelností | Ne | Ne |
| DeviceTvmHardwareFirmware | Informace o hardwaru a firmwaru zařízení podle kontroly Defender Správa zranitelností | Ne | Ne |
| DeviceTvmInfoGathering | Defender Správa zranitelností události posouzení, včetně konfigurace a stavů potenciální oblasti útoku | Ne | Ne |
| DeviceTvmInfoGatheringKB | Metadata pro události hodnocení shromážděná v tabulce DeviceTvmInfogathering |
Ne | Ne |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender Správa zranitelností události posouzení, které označují stav různých konfigurací zabezpečení na zařízeních | Ano | Ano |
| DeviceTvmSecureConfigurationAssessmentKB | Znalostní báze různých konfigurací zabezpečení používaných Microsoft Defender Správa zranitelností k hodnocení zařízení; zahrnuje mapování na různé standardy a srovnávací testy. | Ano | Ano |
| DeviceTvmSoftwareEvidenceBeta | Informace o tom, kde byl na zařízení zjištěn určitý software | Ne | Ne |
| DeviceTvmSoftwareInventory | Inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory | Ano | Ano |
| DeviceTvmSoftwareVulnerabilities | Chyby zabezpečení softwaru zjištěné na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení | Ano | Ano |
| DeviceTvmSoftwareVulnerabilitiesKB | Znalostní báze veřejně zveřejněných chyb zabezpečení, včetně toho, zda je kód zneužití veřejně dostupný | Ano | Ano |
| DisruptionAndResponseEvents (Preview) | Události automatického přerušení útoku v Microsoft Defender XDR | Ne | Ne |
| EmailAttachmentInfo | Informace o souborech připojených k e-mailům | Ano | Ano |
| EmailEvents | Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů | Ano | Ano |
| EmailPostDeliveryEvents | Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce | Ano | Ano |
| EmailUrlInfo | Informace o adresách URL v e-mailech | Ano | Ano |
| EntraIdSignInEvents | Microsoft Entra interaktivních a neinteraktivních přihlášení | Ne | Ne |
| EntraIdSpnSignInEvents | Microsoft Entra přihlášení instančního objektu a spravované identity | Ne | Ne |
| ExposureGraphEdges | Správa míry rizika zabezpečení od Microsoftu informace o hranách grafu poskytují přehled o vztazích mezi entitami a aktivy v grafu. | Ne | Ne |
| ExposureGraphNodes | Správa míry rizika zabezpečení od Microsoftu informace o uzlu grafu expozice, o organizačních entitách a jejich vlastnostech | Ne | Ne |
| FileMaliciousContentInfo (Preview) | Soubory, které byly zpracovány Microsoft Defender pro Office 365 v SharePointu Online, OneDrivu a Microsoft Teams. | Ano | Ano |
| GraphApiAuditEvents | Microsoft Entra ID žádosti rozhraní API o prostředky v tenantovi Graph API Microsoftu | Ne | Ne |
| IdentityAccountInfo | Informace o účtu z různých zdrojů, včetně Microsoft Entra ID. Tato tabulka obsahuje také informace a odkazy na identitu, která účet vlastní. | Ne | Ne |
| IdentityDirectoryEvents | Události týkající se místního řadiče domény se službou Active Directory (AD) Tato tabulka obsahuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény. | Ano | Ano |
| IdentityEvents (Preview) | Informace o událostech identit získaných od jiných zprostředkovatelů cloudových služeb identit | Ne | Ne |
| IdentityInfo | Informace o účtu z různých zdrojů, včetně Microsoft Entra ID | Ano | Ne |
| IdentityLogonEvents | Události ověřování ve službě Active Directory a Microsoft online služby | Ano | Ano |
| IdentityQueryEvents | Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény | Ano | Ano |
| MessageEvents | Zprávy odeslané a přijaté ve vaší organizaci v době doručení | Ne | Ne |
| MessagePostDeliveryEvents | Události zabezpečení, ke kterým došlo po doručení zprávy Microsoft Teams ve vaší organizaci | Ne | Ne |
| MessageUrlInfo | Adresy URL odeslané prostřednictvím zpráv Microsoft Teams ve vaší organizaci | Ne | Ne |
| OAuthAppInfo (Preview) | Aplikace OAuth připojené k Microsoftu 365 zaregistrované ve službě Microsoft Entra ID a dostupné ve funkci zásad správného řízení aplikací Defender for Cloud Apps | Ne | Ne |
| UrlClickEvents | Kliknutí na bezpečné odkazy z e-mailových zpráv, Teams a aplikací Office 365 | Ano | Ano |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Práce s výsledky dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.