הבנת סכימת הציד המתקדמות
חל על:
- Microsoft Defender XDR
חשוב
חלק מהמידע במאמר זה מתייחס למוצר שהופץ מראש, אשר עשוי להיות שונה באופן משמעותי לפני ההפצה המסחרית שלו. Microsoft אינה מעניקה כל אחריות, מפורשת או משתמעת, ביחס למידע המסופק כאן.
סכימת הציד המתקדם מורכב מטבלאות מרובות המספקות מידע אודות אירועים או מידע אודות מכשירים, התראות, זהויות וסוגי ישות אחרים. כדי לבנות באופן יעיל שאילתות המתפרסות על פני טבלאות מרובות, עליך להבין את הטבלאות ואת העמודות בסכימת הציד המתקדמות.
קבלת פרטי סכימה
בעת בניית שאילתות, השתמש בהפניית הסכימה המוכללת כדי לקבל במהירות את המידע הבא אודות כל טבלה בסכימה:
- תיאור טבלאות - סוג הנתונים הכלולים בטבלה והמקור של נתונים אלה.
- עמודות - כל העמודות בטבלה.
- סוגי פעולות – ערכים אפשריים בעמודה המייצגים את
ActionTypeסוגי האירועים הנתמכים על-ידי הטבלה. מידע זה מסופק רק עבור טבלאות המכילות פרטי אירוע. - שאילתה לדוגמה - שאילתות לדוגמה המציגות את אופן השימוש בטבלה.
גישה להפניית הסכימה
כדי לגשת במהירות להפניית הסכימה, בחר את הפעולה הצג הפניה לצד שם הטבלה בייצוג הסכימה. באפשרותך גם לבחור הפניה סכימה כדי לחפש טבלה.
למד את טבלאות הסכימה
ההפניה הבאה מפרטת את כל הטבלאות בסכימה. כל שם טבלה מקשר לדף המתאר את שמות העמודות עבור טבלה זו. שמות טבלאות ועמודות מפורטים גם Microsoft Defender XDR כחלק מייצוג הסכימה במסך הציד המתקדם.
| שם טבלה | תיאור |
|---|---|
| AADSignInEventsBeta | Microsoft Entra כניסה אינטראקטיבית ולא אינטראקטיבית |
| AADSpnSignInEventsBeta | Microsoft Entra שירות ראשי ותחברויות של זהות מנוהלת |
| AlertEvidence | קבצים, כתובות IP, כתובות URL, משתמשים או מכשירים המשויכים להתראות |
| AlertInfo | התראות מ- Microsoft Defender עבור נקודת קצה, Microsoft Defender עבור Office 365, יישומי ענן של Microsoft Defender ו- Microsoft Defender עבור זהות, כולל מידע חומרה וחלוקה לקטגוריות של איומים |
| BehaviorEntities | סוגי נתונים של אופן פעולה יישומי ענן של Microsoft Defender |
| BehaviorInfo | התראות יישומי ענן של Microsoft Defender |
| CloudAppEvents | אירועים הכוללים חשבונות ואובייקטים ב- Office 365 ואפליקציות ושירותים אחרים בענן |
| DeviceEvents | סוגים מרובים של אירועים, כולל אירועים המופעלים על-ידי פקדי אבטחה כגון Microsoft Defender אנטי-וירוס והגנה מפני ניצול לרעה |
| DeviceFileCertificateInfo | פרטי אישור של קבצים חתומים שהתקבלו מאירועי אימות אישור ב נקודות קצה |
| DeviceFileEvents | יצירה, שינוי ואירועי מערכת קבצים אחרים |
| DeviceImageLoadEvents | DLL טוען אירועים |
| DeviceInfo | פרטי מחשב, כולל מידע על מערכת ההפעלה |
| DeviceLogonEvents | פרטי כניסה ואירועי אימות אחרים במכשירים |
| DeviceNetworkEvents | חיבור רשת ואירועים קשורים |
| DeviceNetworkInfo | מאפייני רשת של מכשירים, כולל מתאמים פיזיים, כתובות IP ו- MAC, וכן רשתות ותחום מחוברים |
| DeviceProcessEvents | יצירת תהליך ואירועים קשורים |
| DeviceRegistryEvents | יצירה ושינוי של ערכי רישום |
| DeviceTvmHardwareFirmware | מידע על חומרה בקושחה של מכשירים כפי שנבדק על-ידי ניהול פגיעויות Defender |
| DeviceTvmInfoGathering | אירועי הערכת ניהול פגיעויות של Defender, כולל מצבים של פני שטח תצורה ותקיפה |
| DeviceTvmInfoGatheringKB | מטה-נתונים עבור אירועי הערכה שנאספו בטבלה DeviceTvmInfogathering |
| DeviceTvmSecureConfigurationAssessment | ניהול פגיעויות של Microsoft Defender הערכה, המציינים את המצב של תצורות אבטחה שונות במכשירים |
| DeviceTvmSecureConfigurationAssessmentKB | מאגר ידע של תצורות אבטחה שונות המשמשות את ניהול פגיעויות של Microsoft Defender כדי להעריך מכשירים; כולל מיפויים לתקנים ולסימני ביצועים שונים |
| DeviceTvmSoftwareEvidenceBeta | מידע על ראיות על המקום שבו זוהתה תוכנה ספציפית במכשיר |
| DeviceTvmSoftwareInventory | רשימת התוכנות המותקנות במכשירים, כולל פרטי הגירסה שלהם ומצב סיום התמיכה |
| DeviceTvmSoftwareVulnerabilities | פגיעויות תוכנה שנמצאו במכשירים וברשימת עדכוני האבטחה הזמינים הפותנים כל פגיעות |
| DeviceTvmSoftwareVulnerabilitiesKB | מאגר ידע של פגיעויות שנחשפו באופן ציבורי, כולל האם קוד ניצול לרעה זמין לציבור |
| EmailAttachmentInfo | מידע אודות קבצים המצורפים להודעות דואר אלקטרוני |
| EmailEvents | אירועי דואר אלקטרוני של Microsoft 365, כולל מסירת דואר אלקטרוני וחסימה של אירועים |
| EmailPostDeliveryEvents | אירועי אבטחה המתרחשים לאחר המסירה, לאחר ש- Microsoft 365 מעביר את הודעות הדואר האלקטרוני לתיבת הדואר של הנמען |
| EmailUrlInfo | מידע אודות כתובות URL בהודעות דואר אלקטרוני |
| ExposureGraphEdges | מידע קצה של חשיפת חשיפה לניהול האבטחה של Microsoft מספק ניראות לגבי קשרי גומלין בין ישויות ונכסים בגרף |
| ExposureGraphNodes | מידע על צומתי חשיפת חשיפה לאבטחה של Microsoft, אודות ישויות ארגוניות והמאפיינים שלהן |
| IdentityDirectoryEvents | אירועים הכוללים בקר תחום מקומי שבו פועל Active Directory (AD). טבלה זו מכסה טווח של אירועים הקשורים לזהות ואירועי מערכת בבקר התחום. |
| IdentityInfo | פרטי חשבון ממקורות שונים, כולל Microsoft Entra מזהה |
| IdentityLogonEvents | אירועי אימות ב- Active Directory וב- Microsoft שירותים מקוונים |
| IdentityQueryEvents | שאילתות עבור אובייקטים של Active Directory, כגון משתמשים, קבוצות, מכשירים ותחום |
| UrlClickEvents | לחיצות על קישורים בטוחים מהודעות דואר אלקטרוני, מ- Teams ומאפליקציות Office 365 שלך |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- עבודה עם תוצאות שאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור