שתף באמצעות


הבנת סכימת הציד המתקדמות

חל על:

  • Microsoft Defender XDR

חשוב

חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.

סכימת הציד המתקדם מורכב מטבלאות מרובות המספקות מידע אודות אירועים או מידע אודות מכשירים, התראות, זהויות וסוגי ישות אחרים. כדי לבנות באופן יעיל שאילתות המתפרסות על פני טבלאות מרובות, עליך להבין את הטבלאות ואת העמודות בסכימת הציד המתקדמות.

קבלת פרטי סכימה

בעת בניית שאילתות, השתמש בהפניית הסכימה המוכללת כדי לקבל במהירות את המידע הבא אודות כל טבלה בסכימה:

  • תיאור טבלאות - סוג הנתונים הכלולים בטבלה והמקור של נתונים אלה.
  • עמודות - כל העמודות בטבלה.
  • סוגי פעולות – ערכים אפשריים בעמודה המייצגים את ActionType סוגי האירועים הנתמכים על-ידי הטבלה. מידע זה מסופק רק עבור טבלאות המכילות פרטי אירוע.
  • שאילתה לדוגמה - שאילתות לדוגמה המציגות את אופן השימוש בטבלה.

גישה להפניית הסכימה

כדי לגשת במהירות להפניית הסכימה, בחר את הפעולה הצג הפניה לצד שם הטבלה בייצוג הסכימה. באפשרותך גם לבחור הפניה סכימה כדי לחפש טבלה.

הדף Schema Reference בדף Advanced Hunting בפורטל Microsoft Defender שלך

למד את טבלאות הסכימה

ההפניה הבאה מפרטת את כל הטבלאות בסכימה. כל שם טבלה מקשר לדף המתאר את שמות העמודות עבור טבלה זו. שמות טבלאות ועמודות מפורטים גם Microsoft Defender XDR כחלק מייצוג הסכימה במסך הציד המתקדם.

שם טבלה תיאור
AADSignInEventsBeta Microsoft Entra כניסה אינטראקטיבית ולא אינטראקטיבית
AADSpnSignInEventsBeta Microsoft Entra שירות ראשי ותחברויות של זהות מנוהלת
AlertEvidence קבצים, כתובות IP, כתובות URL, משתמשים או מכשירים המשויכים להתראות
AlertInfo התראות מ- Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365, יישומי ענן של Microsoft Defender ו- Microsoft Defender עבור זהות, כולל מידע חומרה וחלוקה לקטגוריות של איומים
BehaviorEntities סוגי נתונים של אופן פעולה יישומי ענן של Microsoft Defender
BehaviorInfo התראות יישומי ענן של Microsoft Defender
CloudAppEvents אירועים הכוללים חשבונות ואובייקטים ב- Office 365 ואפליקציות ושירותים אחרים בענן
DeviceEvents סוגים מרובים של אירועים, כולל אירועים המופעלים על-ידי פקדי אבטחה כגון Microsoft Defender אנטי-וירוס והגנה מפני ניצול לרעה
DeviceFileCertificateInfo פרטי אישור של קבצים חתומים שהתקבלו מאירועי אימות אישור ב נקודות קצה
DeviceFileEvents יצירה, שינוי ואירועי מערכת קבצים אחרים
DeviceImageLoadEvents DLL טוען אירועים
DeviceInfo פרטי מחשב, כולל מידע על מערכת ההפעלה
DeviceLogonEvents פרטי כניסה ואירועי אימות אחרים במכשירים
DeviceNetworkEvents חיבור רשת ואירועים קשורים
DeviceNetworkInfo מאפייני רשת של מכשירים, כולל מתאמים פיזיים, כתובות IP ו- MAC, וכן רשתות ותחום מחוברים
DeviceProcessEvents יצירת תהליך ואירועים קשורים
DeviceRegistryEvents יצירה ושינוי של ערכי רישום
DeviceTvmHardwareFirmware מידע על חומרה בקושחה של מכשירים כפי שנבדק על-ידי ניהול פגיעויות Defender
DeviceTvmInfoGathering אירועי הערכת ניהול פגיעויות של Defender, כולל מצבים של פני שטח תצורה ותקיפה
DeviceTvmInfoGatheringKB מטה-נתונים עבור אירועי הערכה שנאספו בטבלה DeviceTvmInfogathering
DeviceTvmSecureConfigurationAssessment ניהול פגיעויות של Microsoft Defender הערכה, המציינים את המצב של תצורות אבטחה שונות במכשירים
DeviceTvmSecureConfigurationAssessmentKB מאגר ידע של תצורות אבטחה שונות המשמשות את ניהול פגיעויות של Microsoft Defender כדי להעריך מכשירים; כולל מיפויים לתקנים ולסימני ביצועים שונים
DeviceTvmSoftwareEvidenceBeta מידע על ראיות על המקום שבו זוהתה תוכנה ספציפית במכשיר
DeviceTvmSoftwareInventory רשימת התוכנות המותקנות במכשירים, כולל פרטי הגירסה שלהם ומצב סיום התמיכה
DeviceTvmSoftwareVulnerabilities פגיעויות תוכנה שנמצאו במכשירים וברשימת עדכוני האבטחה הזמינים הפותנים כל פגיעות
DeviceTvmSoftwareVulnerabilitiesKB מאגר ידע של פגיעויות שנחשפו באופן ציבורי, כולל האם קוד ניצול לרעה זמין לציבור
EmailAttachmentInfo מידע אודות קבצים המצורפים להודעות דואר אלקטרוני
EmailEvents אירועי דואר אלקטרוני של Microsoft 365, כולל מסירת דואר אלקטרוני וחסימה של אירועים
EmailPostDeliveryEvents אירועי אבטחה המתרחשים לאחר המסירה, לאחר ש- Microsoft 365 מעביר את הודעות הדואר האלקטרוני לתיבת הדואר של הנמען
EmailUrlInfo מידע אודות כתובות URL בהודעות דואר אלקטרוני
ExposureGraphEdges מידע קצה של חשיפת חשיפה לניהול האבטחה של Microsoft מספק ניראות לגבי קשרי גומלין בין ישויות ונכסים בגרף
ExposureGraphNodes מידע על צומתי חשיפת חשיפה לאבטחה של Microsoft, אודות ישויות ארגוניות והמאפיינים שלהן
IdentityDirectoryEvents אירועים הכוללים בקר תחום מקומי שבו פועל Active Directory (AD). טבלה זו מכסה טווח של אירועים הקשורים לזהות ואירועי מערכת בבקר התחום.
IdentityInfo פרטי חשבון ממקורות שונים, כולל Microsoft Entra מזהה
IdentityLogonEvents אירועי אימות ב- Active Directory וב- Microsoft שירותים מקוונים
IdentityQueryEvents שאילתות עבור אובייקטים של Active Directory, כגון משתמשים, קבוצות, מכשירים ותחום
UrlClickEvents לחיצות על קישורים בטוחים מהודעות דואר אלקטרוני, מ- Teams ומאפליקציות Office 365 שלך

עצה

האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.