Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési séma több táblából áll, amelyek eseményinformációkat vagy információkat biztosítanak az eszközökről, riasztásokról, identitásokról és más entitástípusokról. A több táblára kiterjedő lekérdezések hatékony létrehozásához ismernie kell a speciális veszélyforrás-keresési sémában lévő táblákat és oszlopokat.
Microsoft Sentinel ezen táblák egy részét adatösszekötőkkel is betölti. További információ: adatok Stream Microsoft Defender XDR és Microsoft Sentinel között a Azure Portal.
Sémaadatok lekérése
Lekérdezések létrehozásakor a beépített sémahivatkozással gyorsan lekérheti a következő információkat a séma egyes tábláiról:
- Táblák leírása – a táblában található adatok típusa és az adatok forrása.
- Oszlopok – a táblázat összes oszlopa.
-
Művelettípusok – a
ActionTypetábla által támogatott eseménytípusokat képviselő lehetséges értékek az oszlopban. Ez az információ csak az eseményadatokat tartalmazó táblákhoz érhető el. - Mintalekérdezés – példalekérdezések, amelyek a tábla használatát ismertetik.
A sémahivatkozás elérése
A sémahivatkozás gyors eléréséhez válassza a Hivatkozás megtekintése műveletet a tábla neve mellett a sémaábrázolásban. A tábla kereséséhez a Sémahivatkozás lehetőséget is választhatja.
A sématáblák megismerése
Az alábbi referencia a séma összes tábláját felsorolja. Minden táblanév egy lapra hivatkozik, amely az adott tábla oszlopneveit írja le. A táblázat- és oszlopnevek a speciális veszélyforrás-keresési képernyőn lévő sémaábrázolás részeként Microsoft Defender XDR is szerepelnek.
| Táblanév | Leírás |
|---|---|
| AADSignInEventsBeta | interaktív és nem interaktív bejelentkezések Microsoft Entra |
| AADSpnSignInEventsBeta | szolgáltatásnév és felügyelt identitás bejelentkezéseinek Microsoft Entra |
| AIAgentsInfo (előzetes verzió) | Információk a Microsoft Copilot Studio létrehozott AI-ügynökökről, beleértve az ügynökkonfigurációt és a tulajdonjog részleteit |
| AlertEvidence | Files, IP-címek, URL-címek, felhasználók vagy a riasztásokhoz társított eszközök |
| AlertInfo | Riasztások Végponthoz készült Microsoft Defender, Microsoft Defender Office 365, Microsoft Defender for Cloud Apps és Microsoft Defender for Identity, beleértve a súlyossági információkat és a fenyegetések kategorizálását |
| BehaviorEntities (előzetes verzió) | Entitások (fájl, folyamat, eszköz, felhasználó és mások), amelyek részt vesznek a Microsoft Defender for Cloud Apps (nem érhető el a GCC-ben) és a Felhasználó- és entitásviselkedés-elemzésben (UEBA) |
| BehaviorInfo (előzetes verzió) | A Microsoft Defender for Cloud Apps viselkedése (a GCC-hez nem érhető el) és a felhasználó- és entitásviselkedés-elemzés (UEBA) |
| CampaignInfo (előzetes verzió) | Email Microsoft Defender által a Office 365-hez azonosított kampányok |
| CloudAppEvents | Az Office 365 és más felhőalkalmazásokban és -szolgáltatásokban lévő fiókokat és objektumokat érintő események |
| CloudAuditEvents (előzetes verzió) | Felhőnaplózási események a szervezet felhőhöz készült Microsoft Defender által védett különböző felhőplatformokhoz |
| CloudDnsEvents (előzetes verzió) | DNS-tevékenységesemények felhőinfrastruktúra-környezetekből |
| CloudPolicyEnforcementEvents (előzetes verzió) | Szabályzatkényszerítési kiértékelési döntések és a szervezet felhőhöz készült Microsoft Defender által védett különböző felhőplatformok biztonsági szabályozási eseményeinek metaadatai |
| CloudProcessEvents (előzetes verzió) | A szervezet tárolókhoz készült Microsoft Defender által védett különböző felhőplatformok felhőfolyamat-eseményei |
| CloudStorageAggregatedEvents (előzetes verzió) | Felhőbeli tárolási tevékenység és kapcsolódó események |
| DataSecurityBehaviors (előzetes verzió) | A Microsoft Purview megoldáscsomagban konfigurált, felhasználó által definiált vagy alapértelmezett szabályzatokat megsértő potenciálisan gyanús felhasználói viselkedésekkel kapcsolatos megállapítások |
| DataSecurityEvents (előzetes verzió) | Információk a Microsoft Purview megoldáscsomag felhasználó által meghatározott vagy alapértelmezett szabályzatait megsértő felhasználói tevékenységekről |
| DeviceBaselineComplianceAssessment (előzetes verzió) | Alapkonfiguráció-megfelelőségi értékelés pillanatképe, amely az eszközök alapkonfigurációs profiljaihoz kapcsolódó különböző biztonsági konfigurációk állapotát jelzi |
| DeviceBaselineComplianceAssessmentKB (előzetes verzió) | Információk az alapkonfiguráció-megfelelőség által az eszközök értékeléséhez használt különböző biztonsági konfigurációkról |
| DeviceBaselineComplianceProfiles (előzetes verzió) | Az eszköz alapkonfigurációjának megfelelőségének monitorozásához használt alapkonfiguráció-profilok |
| DeviceEvents | Több eseménytípus, beleértve a biztonsági vezérlők által aktivált eseményeket, például a Microsoft Defender víruskeresőt és a biztonsági rés kiaknázása elleni védelmet |
| DeviceFileCertificateInfo | A végpontokon a tanúsítvány-ellenőrzési eseményekből beszerzett aláírt fájlok tanúsítványadatai |
| DeviceFileEvents | Fájllétrehozás, -módosítás és egyéb fájlrendszeresemények |
| DeviceImageLoadEvents | DLL-betöltési események |
| DeviceInfo | Gépadatok, beleértve az operációs rendszer adatait |
| DeviceLogonEvents | Bejelentkezések és egyéb hitelesítési események az eszközökön |
| DeviceNetworkEvents | Hálózati kapcsolat és kapcsolódó események |
| DeviceNetworkInfo | Az eszközök hálózati tulajdonságai, beleértve a fizikai adaptereket, IP- és MAC-címeket, valamint a csatlakoztatott hálózatokat és tartományokat |
| DeviceProcessEvents | Folyamat létrehozása és kapcsolódó események |
| DeviceRegistryEvents | Beállításjegyzék-bejegyzések létrehozása és módosítása |
| DeviceTvmBrowserExtensions (előzetes verzió) | Böngészőbővítmény-telepítések találhatók az eszközökön a Microsoft Defender biztonságirés-kezelés |
| DeviceTvmBrowserExtensionsKB (előzetes verzió) | A böngészőbővítmények részletei és az Microsoft Defender biztonságirés-kezelés böngészőbővítmények lapján használt engedélyadatok |
| DeviceTvmCertificateInfo (előzetes verzió) | A szervezet eszközeinek tanúsítványadatai a Microsoft Defender biztonságirés-kezelés |
| DeviceTvmHardwareFirmware | Az eszközök hardver- és belsővezérlőprogram-információi a Defender biztonságirés-kezelés által ellenőrzött módon |
| DeviceTvmInfoGathering | felmérési események Defender biztonságirés-kezelés, beleértve a konfigurációt és a támadási felület állapotát |
| DeviceTvmInfoGatheringKB | A táblázatban összegyűjtött DeviceTvmInfogathering értékelési események metaadatai |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender biztonságirés-kezelés értékelési események, amelyek az eszközök különböző biztonsági konfigurációinak állapotát jelzik |
| DeviceTvmSecureConfigurationAssessmentKB | A Microsoft Defender biztonságirés-kezelés által az eszközök értékelésére használt különböző biztonsági konfigurációk tudásbázisa; különböző szabványokhoz és teljesítménytesztekhez való leképezéseket tartalmaz |
| DeviceTvmSoftwareEvidenceBeta | Bizonyíték arra vonatkozóan, hogy hol észleltek egy adott szoftvert az eszközön |
| DeviceTvmSoftwareInventory | Az eszközökre telepített szoftverek leltára, beleértve a verzióinformációkat és a támogatás megszűnésének állapotát |
| DeviceTvmSoftwareVulnerabilities | Az eszközökön talált szoftveres biztonsági rések és az egyes biztonsági réseket kezelő elérhető biztonsági frissítések listája |
| DeviceTvmSoftwareVulnerabilitiesKB | A nyilvánosan közzétett biztonsági rések tudásbázisa, beleértve azt is, hogy a biztonsági rés kiaknázása elleni kód nyilvánosan elérhető-e |
| DisruptionAndResponseEvents (előzetes verzió) | Automatikus támadáskimaradási események Microsoft Defender XDR |
| EmailAttachmentInfo | Információk az e-mailekhez csatolt fájlokról |
| EmailEvents | Microsoft 365-ös e-mail-események, beleértve az e-mailek kézbesítését és blokkolását |
| EmailPostDeliveryEvents | Kézbesítés utáni biztonsági események, miután a Microsoft 365 kézbesíti az e-maileket a címzett postaládájába |
| EmailUrlInfo | Információk az e-mailek URL-címeiről |
| EntraIdSignInEvents | interaktív és nem interaktív bejelentkezések Microsoft Entra |
| EntraIdSpnSignInEvents | szolgáltatásnév és felügyelt identitás bejelentkezéseinek Microsoft Entra |
| ExposureGraphEdges | Microsoft Biztonságikitettség-kezelés expozíciós gráf peremhálózati információi betekintést nyújtanak a gráf entitásai és eszközei közötti kapcsolatokba |
| ExposureGraphNodes | Microsoft Biztonságikitettség-kezelés expozíciós gráfcsomópont információi a szervezeti entitásokról és tulajdonságaikról |
| FileMaliciousContentInfo (előzetes verzió) | Files, amelyeket a Microsoft Defender Office 365 a SharePoint Online-ban, a OneDrive-on és a Microsoft Teamsben dolgoztak fel. |
| GraphApiAuditEvents | A Microsoft Graph API-nek küldött API-kérések Microsoft Entra ID a bérlőben lévő erőforrásokra vonatkozóan |
| IdentityAccountInfo | Különböző forrásokból származó fiókadatok, beleértve a Microsoft Entra ID. Ez a táblázat információkat is tartalmaz, és a fiók tulajdonosa identitásra mutató hivatkozást is tartalmaz. |
| IdentityDirectoryEvents | Az Active Directoryt (AD) futtató helyszíni tartományvezérlőt érintő események. Ez a táblázat a tartományvezérlő identitással kapcsolatos eseményeit és rendszereseményeit ismerteti. |
| IdentityEvents (előzetes verzió) | Információk más felhőbeli identitásszolgáltatóktól beszerzett identitáseseményekről |
| IdentityInfo | Különböző forrásokból származó fiókadatok, beleértve a Microsoft Entra ID |
| IdentityLogonEvents | Hitelesítési események az Active Directoryban és a Microsoft online szolgáltatások |
| IdentityQueryEvents | Active Directory-objektumok, például felhasználók, csoportok, eszközök és tartományok lekérdezései |
| MessageEvents | A szervezeten belül a kézbesítéskor küldött és fogadott üzenetek |
| MessagePostDeliveryEvents | Biztonsági események, amelyek egy Microsoft Teams-üzenet kézbesítése után történtek a szervezetben |
| MessageUrlInfo | Microsoft Teams-üzeneteken keresztül küldött URL-címek a szervezetben |
| OAuthAppInfo (előzetes verzió) | Microsoft 365-höz csatlakoztatott, Microsoft Entra ID regisztrált OAuth-alkalmazások, amelyek az Defender for Cloud Apps alkalmazásirányítási funkcióban érhetők el |
| UrlClickEvents | A Biztonságos hivatkozások e-mailekből, a Teamsből és Office 365-alkalmazásokból származó kattintások |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A lekérdezés eredményeinek használata
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.