Descripción del esquema de búsqueda avanzada
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
El esquema de búsqueda avanzada se compone de varias tablas que proporcionan información de eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.
Al crear consultas, use la referencia de esquema integrada para obtener rápidamente la siguiente información sobre cada tabla del esquema:
- Descripción de las tablas: tipo de datos contenidos en la tabla y el origen de esos datos.
- Columnas: todas las columnas de la tabla.
-
Tipos de acción: valores posibles en la
ActionTypecolumna que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos. - Consulta de ejemplo: consultas de ejemplo que incluyen cómo se puede usar la tabla.
Para acceder rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de la tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.
A continuación se enumeran todas las tablas del esquema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla. Los nombres de tabla y columna también se enumeran en Microsoft Defender XDR como parte de la representación de esquema en la pantalla de búsqueda avanzada.
| Nombre de tabla | Descripción |
|---|---|
| AADSignInEventsBeta | Microsoft Entra inicios de sesión interactivos y no interactivos |
| AADSpnSignInEventsBeta | Microsoft Entra entidad de servicio e inicios de sesión de identidad administrada |
| AlertEvidence | Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados a alertas |
| AlertInfo | Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de amenazas |
| BehaviorEntities (versión preliminar) | Tipos de datos de comportamiento en Microsoft Defender for Cloud Apps (no disponible para GCC) |
| BehaviorInfo (versión preliminar) | Alertas de Microsoft Defender for Cloud Apps (no disponible para GCC) |
| CloudAppEvents | Eventos relacionados con cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube |
| CloudAuditEvents (versión preliminar) | Eventos de auditoría en la nube para varias plataformas en la nube protegidas por la Microsoft Defender de la organización para la nube |
| CloudProcessEvents (versión preliminar) | Eventos de proceso en la nube para varias plataformas en la nube protegidas por la Microsoft Defender de la organización para contenedores |
| DataSecurityBehaviors (versión preliminar) | Información sobre comportamientos de usuario potencialmente sospechosos que infringen directivas predeterminadas o definidas por el usuario configuradas en el conjunto de soluciones de Microsoft Purview |
| DataSecurityEvents (versión preliminar) | Información sobre las actividades de usuario que infringen las directivas definidas por el usuario o predeterminadas en el conjunto de soluciones de Microsoft Purview |
| DeviceBaselineComplianceAssessment (versión preliminar) | Instantánea de evaluación de cumplimiento de línea base, que indica el estado de varias configuraciones de seguridad relacionadas con los perfiles de línea base en los dispositivos |
| DeviceBaselineComplianceAssessmentKB (versión preliminar) | Información sobre las distintas configuraciones de seguridad usadas por el cumplimiento de línea base para evaluar los dispositivos |
| DeviceBaselineComplianceProfiles (versión preliminar) | Perfiles de línea base usados para supervisar el cumplimiento de la línea base del dispositivo |
| DeviceEvents | Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Microsoft Defender Antivirus y protección contra vulnerabilidades de seguridad |
| DeviceFileCertificateInfo | Información de certificados de archivos firmados obtenidos de los eventos de comprobación de certificados en puntos de conexión |
| DeviceFileEvents | Creación y modificación de archivos y otros eventos del sistema de archivos |
| DeviceImageLoadEvents | Eventos de carga de DLL |
| DeviceInfo | Información del equipo, incluida la información del sistema operativo |
| DeviceLogonEvents | Inicios de sesión y otros eventos de autenticación en dispositivos |
| DeviceNetworkEvents | Conexión de red y eventos relacionados |
| DeviceNetworkInfo | Propiedades de red de dispositivos, incluyendo adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectados |
| DeviceProcessEvents | Creación de procesos y eventos relacionados |
| DeviceRegistryEvents | Creación y modificación de entradas de Registro |
| DeviceTvmBrowserExtensions (versión preliminar) | Instalaciones de extensiones de explorador que se encuentran en dispositivos de Administración de vulnerabilidades de Microsoft Defender |
| DeviceTvmBrowserExtensionsKB (versión preliminar) | Detalles de la extensión del explorador e información de permisos que se usa en la página extensiones de explorador Administración de vulnerabilidades de Microsoft Defender |
| DeviceTvmCertificateInfo (versión preliminar) | Información del certificado de los dispositivos de la organización de Administración de vulnerabilidades de Microsoft Defender |
| DeviceTvmHardwareFirmware | Información de hardware y firmware de los dispositivos según lo comprobado por Administración de vulnerabilidades de Defender |
| DeviceTvmInfoGathering | Administración de vulnerabilidades de Defender eventos de evaluación, incluidos los estados de área expuesta a ataques y configuración |
| DeviceTvmInfoGatheringKB | Metadatos para eventos de evaluación recopilados en la DeviceTvmInfogathering tabla |
| DeviceTvmSecureConfigurationAssessment | Administración de vulnerabilidades de Microsoft Defender eventos de evaluación, que indican el estado de varias configuraciones de seguridad en los dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de conocimiento de varias configuraciones de seguridad usadas por Administración de vulnerabilidades de Microsoft Defender para evaluar dispositivos; incluye asignaciones a diversos estándares y pruebas comparativas |
| DeviceTvmSoftwareEvidenceBeta | Información de evidencia sobre dónde se detectó un software específico en un dispositivo |
| DeviceTvmSoftwareInventory | Inventario del software instalado en dispositivos, incluida la información de la versión y el estado de finalización del soporte técnico |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas en los dispositivos y lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad |
| DeviceTvmSoftwareVulnerabilitiesKB | La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el público |
| EmailAttachmentInfo | Información sobre los archivos adjuntos a los correos electrónicos |
| EmailEvents | Eventos de correo electrónico de Microsoft 365, incluidos los eventos de bloqueo y entrega de correo electrónico |
| EmailPostDeliveryEvents | Eventos de seguridad que se producen después de la entrega, después de que Microsoft 365 entregue los correos electrónicos al buzón de correo del destinatario. |
| EmailUrlInfo | Información sobre las direcciones URL de los correos electrónicos |
| ExposureGraphEdges | Administración de exposición de seguridad Microsoft información perimetral del gráfico de exposición proporciona visibilidad sobre las relaciones entre entidades y recursos en el gráfico |
| ExposureGraphNodes | Administración de exposición de seguridad Microsoft información del nodo del gráfico de exposición, sobre las entidades organizativas y sus propiedades |
| IdentityDirectoryEvents | Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). En esta tabla se describen una serie de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio. |
| IdentityInfo | Información de la cuenta de varios orígenes, incluidos los Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticación en Active Directory y en servicios en línea de Microsoft |
| IdentityQueryEvents | Consultas sobree objetos de Active Directory, como usuarios, grupos, dispositivos y dominios |
| UrlClickEvents | Vínculos seguros hace clic desde mensajes de correo electrónico, Teams y aplicaciones Office 365 |
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Trabajar con resultados de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.