Vysvětlení schématu rozšířeného proaktivního proaktivního vyhledávání
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.
Schéma rozšířeného proaktivního vyhledávání se skládá z několika tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které zahrnují více tabulek, musíte porozumět tabulkám a sloupcům ve schématu rozšířeného proaktivního vyhledávání.
Získání informací o schématu
Při vytváření dotazů můžete pomocí předdefinovaných odkazů na schéma rychle získat následující informace o každé tabulce ve schématu:
- Popis tabulek – typ dat obsažených v tabulce a zdroj těchto dat.
- Sloupce – všechny sloupce v tabulce.
-
Typy akcí – možné hodnoty ve sloupci
ActionTypepředstavující typy událostí podporované tabulkou Tyto informace jsou k dispozici pouze pro tabulky, které obsahují informace o událostech. - Ukázkový dotaz – ukázkové dotazy, které obsahují informace o tom, jak lze tabulku využít.
Přístup k referenčním informacím o schématu
Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat Odkaz na schéma a vyhledat tabulku.
Seznámení s tabulkami schématu
Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Microsoft Defender XDR jako součást reprezentace schématu na obrazovce rozšířeného proaktivního vyhledávání.
| Název tabulky | Popis |
|---|---|
| AADSignInEventsBeta | Microsoft Entra interaktivních a neinteraktivních přihlášení |
| AADSpnSignInEventsBeta | Microsoft Entra přihlášení instančního objektu a spravované identity |
| AlertEvidence | Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním |
| AlertInfo | Výstrahy z Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb |
| BehaviorEntities (Preview) | Datové typy chování v Microsoft Defender for Cloud Apps (není k dispozici pro GCC) |
| BehaviorInfo (Preview) | Upozornění z Microsoft Defender for Cloud Apps (není k dispozici pro GCC) |
| CloudAppEvents | Události týkající se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách |
| CloudAuditEvents | Události auditu cloudu pro různé cloudové platformy chráněné Microsoft Defender organizace pro cloud |
| DeviceEvents | Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím |
| DeviceFileCertificateInfo | Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech |
| DeviceFileEvents | Vytváření, úpravy souborů a další události systému souborů |
| DeviceImageLoadEvents | Události načítání knihovny DLL |
| DeviceInfo | Informace o počítači, včetně informací o operačním systému |
| DeviceLogonEvents | Přihlášení a další události ověřování na zařízeních |
| DeviceNetworkEvents | Síťové připojení a související události |
| DeviceNetworkInfo | Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén |
| DeviceProcessEvents | Vytváření procesů a související události |
| DeviceRegistryEvents | Vytváření a úpravy položek registru |
| DeviceTvmHardwareFirmware | Informace o hardwaru a firmwaru zařízení podle kontroly Defender Správa zranitelností |
| DeviceTvmInfoGathering | Defender Správa zranitelností události posouzení, včetně konfigurace a stavů potenciální oblasti útoku |
| DeviceTvmInfoGatheringKB | Metadata pro události hodnocení shromážděná v tabulce DeviceTvmInfogathering |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender Správa zranitelností události posouzení, které označují stav různých konfigurací zabezpečení na zařízeních |
| DeviceTvmSecureConfigurationAssessmentKB | Znalostní báze různých konfigurací zabezpečení používaných Microsoft Defender Správa zranitelností k hodnocení zařízení; zahrnuje mapování na různé standardy a srovnávací testy. |
| DeviceTvmSoftwareEvidenceBeta | Informace o tom, kde byl na zařízení zjištěn určitý software |
| DeviceTvmSoftwareInventory | Inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory |
| DeviceTvmSoftwareVulnerabilities | Chyby zabezpečení softwaru zjištěné na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení |
| DeviceTvmSoftwareVulnerabilitiesKB | Znalostní báze veřejně zveřejněných chyb zabezpečení, včetně toho, zda je kód zneužití veřejně dostupný |
| EmailAttachmentInfo | Informace o souborech připojených k e-mailům |
| EmailEvents | Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů |
| EmailPostDeliveryEvents | Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce |
| EmailUrlInfo | Informace o adresách URL v e-mailech |
| ExposureGraphEdges | Správa míry rizika zabezpečení od Microsoftu informace o hranách grafu poskytují přehled o vztazích mezi entitami a aktivy v grafu. |
| ExposureGraphNodes | Správa míry rizika zabezpečení od Microsoftu informace o uzlu grafu expozice, o organizačních entitách a jejich vlastnostech |
| IdentityDirectoryEvents | Události týkající se místního řadiče domény se službou Active Directory (AD) Tato tabulka obsahuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény. |
| IdentityInfo | Informace o účtu z různých zdrojů, včetně Microsoft Entra ID |
| IdentityLogonEvents | Události ověřování ve službě Active Directory a Microsoft online služby |
| IdentityQueryEvents | Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény |
| UrlClickEvents | Kliknutí na bezpečné odkazy z e-mailových zpráv, Teams a aplikací Office 365 |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Práce s výsledky dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.