Freigeben über


Erweitertes Huntingschema – Namensänderungen

Gilt für:

  • Microsoft Defender XDR

Wichtig

Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.

Das schema der erweiterten Suche wird regelmäßig aktualisiert, um neue Tabellen und Spalten hinzuzufügen. In einigen Fällen werden vorhandene Spaltennamen umbenannt oder ersetzt, um die Benutzererfahrung zu verbessern. Informationen zu Benennungsänderungen, die sich auf Ihre Abfragen auswirken können, finden Sie in diesem Artikel.

Benennungsänderungen werden automatisch auf Abfragen angewendet, die in Microsoft Defender XDR gespeichert werden, einschließlich Abfragen, die von benutzerdefinierten Erkennungsregeln verwendet werden. Sie müssen diese Abfragen nicht manuell aktualisieren. Sie müssen jedoch die folgenden Abfragen aktualisieren:

  • Abfragen, die mithilfe der API ausgeführt werden
  • Abfragen, die an anderer Stelle außerhalb Microsoft Defender XDR gespeichert werden

Dezember 2020

Tabellenname Ursprünglicher Spaltenname Neuer Spaltenname Grund für die Änderung
EmailEvents FinalEmailAction EmailAction Kundenfeedback
EmailEvents FinalEmailActionPolicy EmailActionPolicy Kundenfeedback
EmailEvents FinalEmailActionPolicyGuid EmailActionPolicyGuid Kundenfeedback

Januar 2021

Spaltenname Ursprünglicher Wertname Neuer Wertname Grund für die Änderung
DetectionSource Defender for Cloud Apps Microsoft Defender for Cloud Apps Rebranding
DetectionSource WindowsDefenderAtp EDR Rebranding
DetectionSource WindowsDefenderAv Antivirus Rebranding
DetectionSource WindowsDefenderSmartScreen Smartscreen Rebranding
DetectionSource CustomerTI Benutzerdefinierte TI Rebranding
DetectionSource OfficeATP Microsoft Defender für Office 365 Rebranding
DetectionSource MTP Microsoft Defender XDR Rebranding
DetectionSource AzureATP Microsoft Defender for Identity Rebranding
DetectionSource CustomDetection Benutzerdefinierte Erkennung Rebranding
DetectionSource Automatisierte Investition Automatisierte Untersuchung Rebranding
DetectionSource ThreatExperts Microsoft-Bedrohungsexperten Rebranding
DetectionSource Ti eines Drittanbieters Sensoren von Drittanbietern Rebranding
ServiceSource Microsoft Defender ATP Microsoft Defender für Endpunkt Rebranding
ServiceSource Microsoft Threat Protection Microsoft Defender XDR Rebranding
ServiceSource Office 365 ATP Microsoft Defender für Office 365 Rebranding
ServiceSource Azure ATP Microsoft Defender for Identity Rebranding

DetectionSource ist in der Tabelle AlertInfo verfügbar. ServiceSource ist in den Tabellen AlertEvidence und AlertInfo verfügbar.

Februar 2021

  1. In den Tabellen EmailAttachmentInfo und EmailEvents wurden die MalwareFilterVerdictSpalten und PhishFilterVerdict durch die ThreatTypes Spalte ersetzt. Die MalwareDetectionMethod Spalten und PhishDetectionMethod wurden ebenfalls durch die DetectionMethods -Spalte ersetzt. Diese Optimierung ermöglicht es uns, weitere Informationen unter den neuen Spalten bereitzustellen. Die Zuordnung ist unten angegeben.

    Tabellenname Ursprünglicher Spaltenname Neuer Spaltenname Grund für die Änderung
    EmailAttachmentInfo MalwareDetectionMethod
    PhishDetectionMethod
    DetectionMethods Weitere Erkennungsmethoden einschließen
    EmailAttachmentInfo MalwareFilterVerdict
    PhishFilterVerdict
    ThreatTypes Weitere Bedrohungstypen einschließen
    EmailEvents MalwareDetectionMethod
    PhishDetectionMethod
    DetectionMethods Weitere Erkennungsmethoden einschließen
    EmailEvents MalwareFilterVerdict
    PhishFilterVerdict
    ThreatTypes Weitere Bedrohungstypen einschließen
  2. In den EmailAttachmentInfo Tabellen und EmailEvents wurde die ThreatNames Spalte hinzugefügt, um weitere Informationen zur E-Mail-Bedrohung zu erhalten. Diese Spalte enthält Werte wie Spam oder Phish.

  3. In der Tabelle DeviceInfo wurde die DeviceObjectId Spalte basierend auf Kundenfeedback durch die AadDeviceId Spalte ersetzt.

  4. In der Tabelle DeviceEvents wurden mehrere ActionType-Namen geändert, um die Beschreibung der Aktion besser widerzuspiegeln. Details zu den Änderungen finden Sie unten.

    Tabellenname Ursprünglicher ActionType-Name Neuer ActionType-Name Grund für die Änderung
    DeviceEvents UsbDriveMount UsbDriveMounted Kundenfeedback
    DeviceEvents UsbDriveUnmount UsbDriveUnmounted Kundenfeedback
    DeviceEvents WriteProcessMemoryApiCall WriteToLsassProcessMemory Kundenfeedback

März 2021

Die DeviceTvmSoftwareInventoryVulnerabilities Tabelle ist veraltet. Ersetzen sie durch die DeviceTvmSoftwareInventory Tabellen und DeviceTvmSoftwareVulnerabilities .

Mai 2021

Die AppFileEvents Tabelle ist veraltet. Die CloudAppEvents Tabelle enthält Informationen, die früher in der AppFileEvents Tabelle enthalten waren, sowie andere Aktivitäten in Clouddiensten.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.