Del via


Forstå det avancerede jagtskema

Gælder for:

  • Microsoft Defender XDR

Vigtigt!

Nogle oplysninger i denne artikel er relateret til et produkt, der er udgivet på forhånd, og som kan blive ændret væsentligt, før det udgives kommercielt. Microsoft giver ingen garantier, udtrykt eller stiltiende, med hensyn til de oplysninger, der er angivet her.

Det avancerede jagtskema består af flere tabeller, der indeholder enten hændelsesoplysninger eller oplysninger om enheder, beskeder, identiteter og andre objekttyper. Hvis du effektivt vil oprette forespørgsler, der strækker sig over flere tabeller, skal du forstå tabellerne og kolonnerne i det avancerede jagtskema.

Hent skemaoplysninger

Når du opretter forespørgsler, skal du bruge den indbyggede skemareference til hurtigt at få følgende oplysninger om hver tabel i skemaet:

  • Beskrivelse af tabeller – datatypen i tabellen og kilden til disse data.
  • Kolonner – alle kolonnerne i tabellen.
  • Handlingstyper – mulige værdier i kolonnen, ActionType der repræsenterer de hændelsestyper, der understøttes af tabellen. Disse oplysninger leveres kun for tabeller, der indeholder hændelsesoplysninger.
  • Eksempelforespørgsel – eksempelforespørgsler, der viser, hvordan tabellen kan anvendes.

Få adgang til skemareferencen

Hvis du hurtigt vil have adgang til skemareferencen, skal du vælge handlingen Vis reference ud for tabelnavnet i skemarepræsentationen. Du kan også vælge Skemareference for at søge efter en tabel.

Siden Skemareference på siden Avanceret jagt på portalen Microsoft Defender

Få mere at vide om skematabellerne

Følgende reference viser alle tabellerne i skemaet. Hvert tabelnavn linker til en side, der beskriver kolonnenavnene for den pågældende tabel. Tabel- og kolonnenavne vises også i Microsoft Defender XDR som en del af skemarepræsentationen på skærmen avanceret jagt.

Tabelnavn Beskrivelse
AADSignInEventsBeta Microsoft Entra interaktive og ikke-interaktive logons
AADSpnSignInEventsBeta Microsoft Entra tjenesteprincipal og administrerede identitetslogon
AlertEvidence Filer, IP-adresser, URL-adresser, brugere eller enheder, der er knyttet til beskeder
AlertInfo Beskeder fra Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for Identity, herunder oplysninger om alvorsgrad og trusselskategorisering
BehaviorEntities Funktionsmådedatatyper i Microsoft Defender for Cloud Apps
BehaviorInfo Beskeder fra Microsoft Defender for Cloud Apps
CloudAppEvents Hændelser, der involverer konti og objekter i Office 365 og andre cloudapps og -tjenester
DeviceEvents Flere hændelsestyper, herunder hændelser, der udløses af sikkerhedskontrolelementer, f.eks. Microsoft Defender Antivirus og beskyttelse mod udnyttelse
DeviceFileCertificateInfo Certifikatoplysninger for signerede filer, der er hentet fra hændelser for certifikatbekræftelse på slutpunkter
DeviceFileEvents Filoprettelse, ændring og andre filsystemhændelser
DeviceImageLoadEvents DLL-indlæsningshændelser
DeviceInfo Computeroplysninger, herunder os-oplysninger
DeviceLogonEvents Logon og andre godkendelseshændelser på enheder
DeviceNetworkEvents Netværksforbindelse og relaterede hændelser
DeviceNetworkInfo Netværksegenskaber for enheder, herunder fysiske adaptere, IP- og MAC-adresser samt forbundne netværk og domæner
DeviceProcessEvents Procesoprettelse og relaterede hændelser
DeviceRegistryEvents Oprettelse og ændring af registreringsdatabaseposter
DeviceTvmHardwareFirmware Hardware- og firmwareoplysninger for enheder som kontrolleret af Defender Vulnerability Management
DeviceTvmInfoGathering Defender Sårbarhedsadministrationsvurderingshændelser, herunder konfiguration og tilstande for angrebsoverfladen
DeviceTvmInfoGatheringKB Metadata for vurderingshændelser, der indsamles i tabellen DeviceTvmInfogathering
DeviceTvmSecureConfigurationAssessment Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender vurderingshændelser, der angiver status for forskellige sikkerhedskonfigurationer på enheder
DeviceTvmSecureConfigurationAssessmentKB Vidensbase om forskellige sikkerhedskonfigurationer, der bruges af Admininstration af håndtering af sikkerhedsrisici til Microsoft Defender til at vurdere enheder; omfatter tilknytninger til forskellige standarder og benchmarks
DeviceTvmSoftwareEvidenceBeta Bevisoplysninger om, hvor en bestemt software blev registreret på en enhed
DeviceTvmSoftwareInventory Oversigt over software, der er installeret på enheder, herunder versionsoplysninger og status for ophør af support
DeviceTvmSoftwareVulnerabilities Softwaresårbarheder, der findes på enheder, og listen over tilgængelige sikkerhedsopdateringer, der løser hver enkelt sårbarhed
DeviceTvmSoftwareVulnerabilitiesKB Vidensbase om offentligt offentliggjorte sårbarheder, herunder om udnyttelseskode er offentligt tilgængelig
EmailAttachmentInfo Oplysninger om filer, der er knyttet til mails
EmailEvents Microsoft 365-mailhændelser, herunder levering af mail og blokeringshændelser
EmailPostDeliveryEvents Sikkerhedshændelser, der opstår efter levering, når Microsoft 365 har leveret mails til modtagerpostkassen
EmailUrlInfo Oplysninger om URL-adresser i mails
ExposureGraphEdges Edge-oplysninger fra Microsoft Security Exposure Management giver indsigt i relationer mellem enheder og aktiver i grafen
ExposureGraphNodes Microsoft Security Exposure Management-nodeoplysninger om eksponeringsgrafen i Microsoft Security Exposure Management, om organisatoriske enheder og deres egenskaber
IdentityDirectoryEvents Hændelser, der involverer en domænecontroller i det lokale miljø, som kører Active Directory (AD). Denne tabel dækker en række identitetsrelaterede hændelser og systemhændelser på domænecontrolleren.
IdentityInfo Kontooplysninger fra forskellige kilder, herunder Microsoft Entra ID
IdentityLogonEvents Godkendelseshændelser på Active Directory og Microsoft onlinetjenester
IdentityQueryEvents Forespørgsler til Active Directory-objekter, f.eks. brugere, grupper, enheder og domæner
UrlClickEvents Klik på sikre links fra mailmeddelelser, Teams og Office 365 apps

Tip

Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.