Tutustu kehittyneeseen metsästysrakenteeseen
Huomautus
Haluatko kokea Microsoft 365 Defender? Lue lisätietoja siitä, miten voit arvioida ja kokeilla Microsoft 365 Defender.
Koskee seuraavia:
- Microsoft 365 Defender
Tärkeää
Jotkin tiedot liittyvät tuotteen ennakkoon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään nimenomaista tai epäsuoraa takuuta tässä annettujen tietojen suhteen.
Kehittynyt metsästysrakenne koostuu useista taulukoista, jotka tarjoavat joko tapahtumatietoja tai tietoja laitteista, hälytyksistä, käyttäjätiedoista ja muista entiteettityypeistä. Jotta voit luoda tehokkaasti useita taulukoita kattavia kyselyitä, sinun on ymmärrettävä kehittyneen metsästysrakenteen taulukot ja sarakkeet.
Hanki rakennetietoja
Kun muodostat kyselyitä, käytä sisäistä rakenneviittausta saadaksesi nopeasti seuraavat tiedot kustakin rakenteen taulukosta:
- Taulukoiden kuvaus – taulukossa olevien tietojen tyyppi ja tietojen lähde.
- Sarakkeet – kaikki taulukon sarakkeet.
- Toimintotyypit – mahdolliset arvot sarakkeessa
ActionType, jotka edustavat taulukon tukemia tapahtumatyyppejä. Nämä tiedot annetaan vain taulukoille, jotka sisältävät tapahtumatietoja. - Esimerkkikysely – esimerkkikyselyt, joissa esitetään, miten taulukkoa voidaan käyttää.
Rakenneviittauksen käyttäminen
Jos haluat käyttää rakenneviittausta nopeasti, valitse Rakenne-esityksessä taulukon nimen vieressä oleva Näytä viittaus -toiminto. Voit myös valita rakenneviittauksen taulukon hakemiseksi.
Tutustu rakennetaulukoihin
Seuraavassa viittauksessa luetellaan kaikki rakenteen taulukot. Kunkin taulukon nimi sisältää linkin sivulle, jossa kuvataan kyseisen taulukon sarakkeiden nimet. Taulukon ja sarakkeen nimet luetellaan myös Microsoft 365 Defender osana rakenneesitystä kehittyneellä metsästysnäytöllä.
| Taulukon nimi | Kuvaus |
|---|---|
| AADSignInEventsBeta | Vuorovaikutteiset ja ei-vuorovaikutteiset Azure Active Directory -kirjautumiset |
| AADSpnSignInEventsBeta | Azure Active Directory -palvelun päänimi ja hallittujen käyttäjätietojen kirjautumiset |
| AlertEvidence | Hälytyksiin liittyvät tiedostot, IP-osoitteet, URL-osoitteet, käyttäjät tai laitteet |
| AlertInfo | ilmoitukset Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity, mukaan lukien vakavuustiedot ja uhkien luokittelu |
| Toimintaentiteetit | Toimintatietotyypit Microsoft Defender for Cloud Apps |
| BehaviorInfo | ilmoitukset Microsoft Defender for Cloud Apps |
| CloudAppEvents | tapahtumat, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa |
| DeviceEvents | Useita tapahtumatyyppejä, mukaan lukien suojaustoimintojen käynnistämät tapahtumat, kuten Microsoft Defender virustentorjunta ja hyödynnön suojaus |
| DeviceFileCertificateInfo | Varmennetiedot päätepisteiden varmenteen tarkistustapahtumista saaduista allekirjoitetuista tiedostoista |
| DeviceFileEvents | Tiedostojen luominen, muokkaaminen ja muut tiedostojärjestelmän tapahtumat |
| DeviceImageLoadEvents | DLL-lataustapahtumat |
| DeviceInfo | Konetiedot, mukaan lukien käyttöjärjestelmän tiedot |
| DeviceLogonEvents | Kirjautumiset ja muut todennustapahtumat laitteissa |
| DeviceNetworkEvents | Verkkoyhteys ja siihen liittyvät tapahtumat |
| DeviceNetworkInfo | Laitteiden verkko-ominaisuudet, mukaan lukien fyysiset sovittimet, IP- ja MAC-osoitteet sekä yhdistetyt verkot ja toimialueet |
| DeviceProcessEvents | Prosessin luominen ja siihen liittyvät tapahtumat |
| DeviceRegistryEvents | Rekisterimerkintöjen luominen ja muokkaaminen |
| DeviceTvmHardwareFirmware | Defenderin haavoittuvuuden hallinnan tarkistamien laitteiden laitteisto- ja laiteohjelmistotiedot |
| DeviceTvmInfoGathering | Defender Vulnerability Managementin arviointitapahtumat, mukaan lukien määritys- ja hyökkäysalueen tilat |
| DeviceTvmInfoGatheringKB | Taulukossa kerättyjen arviointitapahtumien DeviceTvmInfogathering metatiedot |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defenderin haavoittuvuuksien hallinta arviointitapahtumat, jotka ilmaisevat eri suojausmääritysten tilan laitteissa |
| DeviceTvmSecureConfigurationAssessmentKB | Tietokanta erilaisista suojauskokoonpanoista, joita Microsoft Defenderin haavoittuvuuksien hallinta laitteiden arvioimiseen. Sisältää yhdistämismääritykset eri standardeihin ja vertailuarvoihin |
| DeviceTvmSoftwareEvidenceBeta | Näyttötiedot siitä, missä tietty ohjelmisto havaittiin laitteessa |
| DeviceTvmSoftwareInventory | Laitteisiin asennettujen ohjelmistojen luettelo, mukaan lukien niiden versiotiedot ja tuen päättymistila |
| DeviceTvmSoftwareVulnerabilities | Laitteista löytyneet ohjelmiston haavoittuvuudet ja luettelo saatavilla olevista tietoturvapäivityksistä, jotka korjaavat kunkin haavoittuvuuden |
| DeviceTvmSoftwareVulnerabilitiesKB | Tietokanta julkisista haavoittuvuuksista, mukaan lukien se, onko hyödyntämiskoodi julkisesti saatavilla |
| EmailAttachmentInfo | Tietoja sähköposteihin liitetyistä tiedostoista |
| EmailEvents | Microsoft 365 -sähköpostitapahtumat, mukaan lukien sähköpostin toimitus ja tapahtumien esto |
| EmailPostDeliveryEvents | Toimituksen jälkeiset suojaustapahtumat sen jälkeen, kun Microsoft 365 on toimittanut sähköpostiviestit vastaanottajan postilaatikkoon |
| EmailUrlInfo | Tietoja sähköpostiviestien URL-osoitteista |
| IdentityDirectoryEvents | Tapahtumat, joissa on mukana paikallinen toimialueen ohjauskone, jossa on käytössä Active Directory (AD). Tämä taulukko kattaa useita käyttäjätietoihin liittyviä tapahtumia ja järjestelmätapahtumia toimialueen ohjauskoneessa. |
| IdentityInfo | Tilitiedot eri lähteistä, kuten Azure Active Directorysta |
| IdentityLogonEvents | Active Directoryn ja Microsoft online-palvelut todentamistapahtumat |
| IdentityQueryEvents | Kyselyt Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille |
| UrlClickEvents | Turvalliset linkit -napsautukset sähköpostiviesteistä, Teamsista ja Office 365-sovelluksista |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Kyselytulosten käsitteleminen
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko lisätietoja? Ota yhteyttä Microsoft security -yhteisöön teknisessä yhteisössämme: Microsoft 365 Defender Tech Community.