Grundlegendes zum Schema "Erweiterte Suche"
Gilt für:
- Microsoft Defender XDR
Wichtig
Einige Informationen in diesem Artikel beziehen sich auf ein vorab veröffentlichtes Produkt, das vor der kommerziellen Veröffentlichung möglicherweise erheblich geändert wird. Microsoft übernimmt in Bezug auf die hier bereitgestellten Informationen keine Gewährleistung, weder ausdrücklich noch konkludent.
Das Schema für die erweiterte Suche besteht aus mehreren Tabellen, die entweder Ereignisinformationen oder Informationen zu Geräten, Warnungen, Identitäten und anderen Entitätstypen bereitstellen. Wenn Sie effektive Abfragen erstellen möchten, die sich über mehrere Tabellen erstrecken, müssen Sie die Tabellen und Spalten im Schema "Erweiterte Suche" kennen.
Abrufen von Schemainformationen
Verwenden Sie beim Erstellen von Abfragen die integrierte Schemareferenz, um schnell die folgenden Informationen zu den einzelnen Tabellen im Schema abzurufen:
- Tabellenbeschreibung: Der Typ der in der Tabelle enthaltenen Daten und die Quelle dieser Daten.
- Spalten– alle Spalten in der Tabelle.
-
Aktionstypen: mögliche Werte in der
ActionTypeSpalte, die die von der Tabelle unterstützten Ereignistypen darstellen. Diese Informationen werden nur für Tabellen bereitgestellt, die Ereignisinformationen enthalten. - Beispielabfrage: Beispielabfragen, die zeigen, wie die Tabelle verwendet werden kann.
Zugreifen auf den Schemaverweis
Um schnell auf den Schemaverweis zuzugreifen, wählen Sie die Aktion Verweis anzeigen neben dem Tabellennamen in der Schemadarstellung aus. Sie können auch Schemaverweis auswählen, um nach einer Tabelle zu suchen.
Lernen Sie die Schematabellen kennen
Im Folgenden sind alle Tabellen im Schema aufgelistet. Jeder Tabellenname verweist auf eine Seite, auf der die Spaltennamen für diese Tabelle beschrieben werden. Tabellen- und Spaltennamen werden auch in Microsoft Defender XDR als Teil der Schemadarstellung auf dem Bildschirm für die erweiterte Suche aufgeführt.
| Tabellenname | Beschreibung |
|---|---|
| AADSignInEventsBeta | Microsoft Entra interaktiven und nicht interaktiven Anmeldungen |
| AADSpnSignInEventsBeta | Anmeldungen für Microsoft Entra Dienstprinzipal und verwaltete Identitäten |
| AlertEvidence | Dateien, IP-Adressen, URLs, Benutzer oder Geräte, die Warnungen zugeordnet sind |
| AlertInfo | Warnungen von Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps und Microsoft Defender for Identity, einschließlich Schweregradinformationen und Bedrohungskategorisierung |
| BehaviorEntities (Vorschau) | Verhaltensdatentypen in Microsoft Defender for Cloud Apps |
| BehaviorInfo (Vorschau) | Warnungen von Microsoft Defender for Cloud Apps |
| CloudAppEvents | Ereignisse, die Konten und Objekte in Office 365 und anderen Cloud-Apps und -Diensten betreffen |
| DeviceEvents | Mehrere Ereignistypen, einschließlich Ereignissen, die von Sicherheitskontrollen wie Microsoft Defender Antivirus und Exploit-Schutz ausgelöst werden |
| DeviceFileCertificateInfo | Zertifikatinformationen zu signierten Dateien, die von Zertifikatüberprüfungsereignissen auf Endpunkten abgerufen wurden |
| DeviceFileEvents | Dateierstellung und -änderung sowie andere Dateisystemereignisse |
| DeviceImageLoadEvents | DLL-Ladeereignisse |
| DeviceInfo | Computer-Informationen einschließlich Infos zum Betriebssystem |
| DeviceLogonEvents | Anmeldungen und andere Authentifizierungsereignisse auf Geräten |
| DeviceNetworkEvents | Netzwerkverbindung und zugehörige Ereignisse |
| DeviceNetworkInfo | Netzwerkeigenschaften von Geräten, einschließlich physischen Adaptern, IP- und Mac-Adressen sowie verbundenen Netzwerke und Domänen |
| DeviceProcessEvents | Prozesserstellung und zugehörige Ereignisse |
| DeviceRegistryEvents | Erstellen und Ändern von Registrierungseinträgen |
| DeviceTvmHardwareFirmware | Hardware- und Firmwareinformationen von Geräten, wie von Defender Vulnerability Management |
| DeviceTvmInfoGathering | Defender Vulnerability Management Bewertungsereignisse, einschließlich Konfiguration und Zustände der Angriffsfläche |
| DeviceTvmInfoGatheringKB | Metadaten für Bewertungsereignisse, die in der DeviceTvmInfogathering Tabelle erfasst werden |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender Vulnerability Management Bewertungsereignisse, die die status verschiedener Sicherheitskonfigurationen auf Geräten angeben |
| DeviceTvmSecureConfigurationAssessmentKB | Wissensdatenbank zu verschiedenen Sicherheitskonfigurationen, die von Microsoft Defender Vulnerability Management zum Bewerten von Geräten verwendet werden; umfasst Zuordnungen zu verschiedenen Standards und Benchmarks |
| DeviceTvmSoftwareEvidenceBeta | Beweisinformationen dazu, wo eine bestimmte Software auf einem Gerät erkannt wurde |
| DeviceTvmSoftwareInventory | Inventar der auf Geräten installierten Software, einschließlich deren Versionsinformationen und Status des Supportendes |
| DeviceTvmSoftwareVulnerabilities | Auf Geräten gefundene Softwaresicherheitsrisiken und die Liste der verfügbaren Sicherheitsupdates, die die einzelnen Sicherheitsrisiken beheben |
| DeviceTvmSoftwareVulnerabilitiesKB | Wissensdatenbank veröffentlichter Sicherheitsrisiken, einschließlich der Angabe, ob Exploitcode öffentlich verfügbar ist |
| EmailAttachmentInfo | Informationen zu Dateien, die an E-Mails angefügt sind |
| EmailEvents | Microsoft 365-E-Mail-Ereignisse, einschließlich E-Mail-Zustellung und Blockieren von Ereignissen |
| EmailPostDeliveryEvents | Sicherheitsereignisse, die nach der Zustellung auftreten, nachdem Microsoft 365 die E-Mails an das Empfängerpostfach übermittelt hat |
| EmailUrlInfo | Informationen zu URLs in E-Mails |
| ExposureGraphEdges | Microsoft Security Exposure Management Randinformationen des Belichtungsdiagramms bieten Einblick in beziehungen zwischen Entitäten und Ressourcen im Diagramm. |
| ExposureGraphNodes | Microsoft Security Exposure Management Informationen zum Belichtungsdiagrammknoten, zu Organisationsentitäten und deren Eigenschaften |
| IdentityDirectoryEvents | Ereignisse, die einen lokalen Domänencontroller betreffen, auf dem Active Directory (AD) ausgeführt wird. Diese Tabelle befasst sich mit einer Reihe von identitätsbezogenen Ereignissen sowie mit Systemereignissen auf dem Domänencontroller. |
| IdentityInfo | Kontoinformationen aus verschiedenen Quellen, einschließlich Microsoft Entra ID |
| IdentityLogonEvents | Authentifizierungsereignisse in Active Directory- und Microsoft-Onlinediensten |
| IdentityQueryEvents | Abfragen für Active Directory-Objekte, z. B. Benutzer, Gruppen, Geräte und Domänen |
| UrlClickEvents | Sichere Links-Klicks aus E-Mail-Nachrichten, Teams und Office 365-Apps |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Arbeiten mit Abfrageergebnissen
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.