A speciális veszélyforrás-keresési séma ismertetése

Megjegyzés:

Szeretne Microsoft Defender XDR-t használni? További információ arról, hogy hogyan értékelheti ki és próbálhatja ki a Microsoft Defender XDR-t.

Érintett szolgáltatás:

  • Microsoft Defender XDR

Fontos

Bizonyos információk az előzetesen forgalomba hozott termékre vonatkoznak, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal semmilyen, kifejezett vagy vélelmezett jótállást az itt megadott információkra vonatkozóan.

A speciális veszélyforrás-keresési séma több táblából áll, amelyek eseményinformációkat vagy információkat biztosítanak az eszközökről, riasztásokról, identitásokról és más entitástípusokról. A több táblára kiterjedő lekérdezések hatékony létrehozásához ismernie kell a speciális veszélyforrás-keresési sémában lévő táblákat és oszlopokat.

Sémaadatok lekérése

Lekérdezések létrehozásakor a beépített sémahivatkozással gyorsan lekérheti a következő információkat a séma egyes tábláiról:

  • Táblák leírása – a táblában található adatok típusa és az adatok forrása.
  • Oszlopok – a táblázat összes oszlopa.
  • Művelettípusok – a ActionType tábla által támogatott eseménytípusokat képviselő lehetséges értékek az oszlopban. Ez az információ csak az eseményadatokat tartalmazó táblákhoz érhető el.
  • Mintalekérdezés – példalekérdezések, amelyek a tábla használatát ismertetik.

A sémahivatkozás elérése

A sémahivatkozás gyors eléréséhez válassza a Hivatkozás megtekintése műveletet a tábla neve mellett a sémaábrázolásban. A tábla kereséséhez a Sémahivatkozás lehetőséget is választhatja.

A Speciális veszélyforrás-keresés lap Sémahivatkozás lapja a Microsoft Defender portálon

A sématáblák megismerése

Az alábbi referencia a séma összes tábláját felsorolja. Minden táblanév egy lapra hivatkozik, amely az adott tábla oszlopneveit írja le. A táblázat- és oszlopnevek a speciális veszélyforrás-keresési képernyőn lévő sémaábrázolás részeként Microsoft Defender XDR is szerepelnek.

Táblanév Leírás
AADSignInEventsBeta interaktív és nem interaktív bejelentkezések Microsoft Entra
AADSpnSignInEventsBeta szolgáltatásnév és felügyelt identitás bejelentkezéseinek Microsoft Entra
AlertEvidence A riasztásokhoz társított fájlok, IP-címek, URL-címek, felhasználók vagy eszközök
AlertInfo Riasztások Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Defender for Cloud Apps és Microsoft Defender for Identity, beleértve a súlyossági információkat és a fenyegetések kategorizálását
BehaviorEntities Viselkedési adattípusok a Microsoft Defender for Cloud Apps
BehaviorInfo Riasztások Microsoft Defender for Cloud Apps
CloudAppEvents Az Office 365 és más felhőalkalmazásokban és -szolgáltatásokban lévő fiókokat és objektumokat érintő események
DeviceEvents Több eseménytípus, beleértve a biztonsági vezérlők által aktivált eseményeket, például a Microsoft Defender víruskeresőt és a biztonsági rés kiaknázása elleni védelmet
DeviceFileCertificateInfo A végpontokon a tanúsítvány-ellenőrzési eseményekből beszerzett aláírt fájlok tanúsítványadatai
DeviceFileEvents Fájllétrehozás, -módosítás és egyéb fájlrendszeresemények
DeviceImageLoadEvents DLL-betöltési események
DeviceInfo Gépadatok, beleértve az operációs rendszer adatait
DeviceLogonEvents Bejelentkezések és egyéb hitelesítési események az eszközökön
DeviceNetworkEvents Hálózati kapcsolat és kapcsolódó események
DeviceNetworkInfo Az eszközök hálózati tulajdonságai, beleértve a fizikai adaptereket, IP- és MAC-címeket, valamint a csatlakoztatott hálózatokat és tartományokat
DeviceProcessEvents Folyamat létrehozása és kapcsolódó események
DeviceRegistryEvents Beállításjegyzék-bejegyzések létrehozása és módosítása
DeviceTvmHardwareFirmware Az eszközök hardver- és belsővezérlőprogram-információi a Defender biztonságirés-kezelés által ellenőrzött módon
DeviceTvmInfoGathering A Defender biztonságirés-kezelési felmérési eseményei, beleértve a konfigurációt és a támadási felület állapotát
DeviceTvmInfoGatheringKB A táblázatban összegyűjtött DeviceTvmInfogathering értékelési események metaadatai
DeviceTvmSecureConfigurationAssessment Microsoft Defender biztonságirés-kezelés értékelési események, amelyek az eszközök különböző biztonsági konfigurációinak állapotát jelzik
DeviceTvmSecureConfigurationAssessmentKB A Microsoft Defender biztonságirés-kezelés által az eszközök értékelésére használt különböző biztonsági konfigurációk tudásbázisa; különböző szabványokhoz és teljesítménytesztekhez való leképezéseket tartalmaz
DeviceTvmSoftwareEvidenceBeta Bizonyíték arra vonatkozóan, hogy hol észleltek egy adott szoftvert az eszközön
DeviceTvmSoftwareInventory Az eszközökre telepített szoftverek leltára, beleértve a verzióinformációkat és a támogatás megszűnésének állapotát
DeviceTvmSoftwareVulnerabilities Az eszközökön talált szoftveres biztonsági rések és az egyes biztonsági réseket kezelő elérhető biztonsági frissítések listája
DeviceTvmSoftwareVulnerabilitiesKB A nyilvánosan közzétett biztonsági rések tudásbázisa, beleértve azt is, hogy a biztonsági rés kiaknázása elleni kód nyilvánosan elérhető-e
EmailAttachmentInfo Információk az e-mailekhez csatolt fájlokról
EmailEvents Microsoft 365-ös e-mail-események, beleértve az e-mailek kézbesítését és blokkolását
EmailPostDeliveryEvents Kézbesítés utáni biztonsági események, miután a Microsoft 365 kézbesíti az e-maileket a címzett postaládájába
EmailUrlInfo Információk az e-mailek URL-címeiről
ExposureGraphEdges A Microsoft Security Exposure Management expozíciós gráfjának peremadatai betekintést nyújtanak a gráf entitásai és eszközei közötti kapcsolatokba
ExposureGraphNodes A Microsoft Security Exposure Management expozíciós gráfcsomópontjának információi a szervezeti entitásokról és tulajdonságaikról
IdentityDirectoryEvents Az Active Directoryt (AD) futtató helyszíni tartományvezérlőt érintő események. Ez a táblázat a tartományvezérlő identitással kapcsolatos eseményeit és rendszereseményeit ismerteti.
IdentityInfo Különböző forrásokból származó fiókadatok, beleértve a Microsoft Entra ID
IdentityLogonEvents Hitelesítési események az Active Directoryban és a Microsoft online szolgáltatások
IdentityQueryEvents Active Directory-objektumok, például felhasználók, csoportok, eszközök és tartományok lekérdezései
UrlClickEvents A Biztonságos hivatkozások e-mailekből, a Teamsből és Office 365-alkalmazásokból származó kattintások

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.