Erweitertes Huntingschema – Namensänderungen
Gilt für:
- Microsoft Defender XDR
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Das schema der erweiterten Suche wird regelmäßig aktualisiert, um neue Tabellen und Spalten hinzuzufügen. In einigen Fällen werden vorhandene Spaltennamen umbenannt oder ersetzt, um die Benutzererfahrung zu verbessern. Informationen zu Benennungsänderungen, die sich auf Ihre Abfragen auswirken können, finden Sie in diesem Artikel.
Benennungsänderungen werden automatisch auf Abfragen angewendet, die in Microsoft Defender XDR gespeichert werden, einschließlich Abfragen, die von benutzerdefinierten Erkennungsregeln verwendet werden. Sie müssen diese Abfragen nicht manuell aktualisieren. Sie müssen jedoch die folgenden Abfragen aktualisieren:
- Abfragen, die mithilfe der API ausgeführt werden
- Abfragen, die an anderer Stelle außerhalb Microsoft Defender XDR gespeichert werden
Dezember 2020
Tabellenname | Ursprünglicher Spaltenname | Neuer Spaltenname | Grund für die Änderung |
---|---|---|---|
EmailEvents | FinalEmailAction |
EmailAction |
Kundenfeedback |
EmailEvents | FinalEmailActionPolicy |
EmailActionPolicy |
Kundenfeedback |
EmailEvents | FinalEmailActionPolicyGuid |
EmailActionPolicyGuid |
Kundenfeedback |
Januar 2021
Spaltenname | Ursprünglicher Wertname | Neuer Wertname | Grund für die Änderung |
---|---|---|---|
DetectionSource |
Defender for Cloud Apps | Microsoft Defender for Cloud Apps | Rebranding |
DetectionSource |
WindowsDefenderAtp | EDR | Rebranding |
DetectionSource |
WindowsDefenderAv | Antivirus | Rebranding |
DetectionSource |
WindowsDefenderSmartScreen | Smartscreen | Rebranding |
DetectionSource |
CustomerTI | Benutzerdefinierte TI | Rebranding |
DetectionSource |
OfficeATP | Microsoft Defender für Office 365 | Rebranding |
DetectionSource |
MTP | Microsoft Defender XDR | Rebranding |
DetectionSource |
AzureATP | Microsoft Defender for Identity | Rebranding |
DetectionSource |
CustomDetection | Benutzerdefinierte Erkennung | Rebranding |
DetectionSource |
Automatisierte Investition | Automatisierte Untersuchung | Rebranding |
DetectionSource |
ThreatExperts | Microsoft-Bedrohungsexperten | Rebranding |
DetectionSource |
Ti eines Drittanbieters | Sensoren von Drittanbietern | Rebranding |
ServiceSource |
Microsoft Defender ATP | Microsoft Defender für Endpunkt | Rebranding |
ServiceSource |
Microsoft Threat Protection | Microsoft Defender XDR | Rebranding |
ServiceSource |
Office 365 ATP | Microsoft Defender für Office 365 | Rebranding |
ServiceSource |
Azure ATP | Microsoft Defender for Identity | Rebranding |
DetectionSource
ist in der Tabelle AlertInfo verfügbar. ServiceSource
ist in den Tabellen AlertEvidence und AlertInfo verfügbar.
Februar 2021
In den Tabellen EmailAttachmentInfo und EmailEvents wurden die
MalwareFilterVerdict
Spalten undPhishFilterVerdict
durch dieThreatTypes
Spalte ersetzt. DieMalwareDetectionMethod
Spalten undPhishDetectionMethod
wurden ebenfalls durch dieDetectionMethods
-Spalte ersetzt. Diese Optimierung ermöglicht es uns, weitere Informationen unter den neuen Spalten bereitzustellen. Die Zuordnung ist unten angegeben.Tabellenname Ursprünglicher Spaltenname Neuer Spaltenname Grund für die Änderung EmailAttachmentInfo
MalwareDetectionMethod
PhishDetectionMethod
DetectionMethods
Weitere Erkennungsmethoden einschließen EmailAttachmentInfo
MalwareFilterVerdict
PhishFilterVerdict
ThreatTypes
Weitere Bedrohungstypen einschließen EmailEvents
MalwareDetectionMethod
PhishDetectionMethod
DetectionMethods
Weitere Erkennungsmethoden einschließen EmailEvents
MalwareFilterVerdict
PhishFilterVerdict
ThreatTypes
Weitere Bedrohungstypen einschließen In den
EmailAttachmentInfo
Tabellen undEmailEvents
wurde dieThreatNames
Spalte hinzugefügt, um weitere Informationen zur E-Mail-Bedrohung zu erhalten. Diese Spalte enthält Werte wie Spam oder Phish.In der Tabelle DeviceInfo wurde die
DeviceObjectId
Spalte basierend auf Kundenfeedback durch dieAadDeviceId
Spalte ersetzt.In der Tabelle DeviceEvents wurden mehrere ActionType-Namen geändert, um die Beschreibung der Aktion besser widerzuspiegeln. Details zu den Änderungen finden Sie unten.
Tabellenname Ursprünglicher ActionType-Name Neuer ActionType-Name Grund für die Änderung DeviceEvents
UsbDriveMount
UsbDriveMounted
Kundenfeedback DeviceEvents
UsbDriveUnmount
UsbDriveUnmounted
Kundenfeedback DeviceEvents
WriteProcessMemoryApiCall
WriteToLsassProcessMemory
Kundenfeedback
März 2021
Die DeviceTvmSoftwareInventoryVulnerabilities
Tabelle ist veraltet. Ersetzen sie durch die DeviceTvmSoftwareInventory
Tabellen und DeviceTvmSoftwareVulnerabilities
.
Mai 2021
Die AppFileEvents
Tabelle ist veraltet. Die CloudAppEvents
Tabelle enthält Informationen, die früher in der AppFileEvents
Tabelle enthalten waren, sowie andere Aktivitäten in Clouddiensten.
Verwandte Themen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.