Schema di ricerca avanzato - Modifiche alla denominazione
Si applica a:
- Microsoft Defender XDR
Importante
Alcune informazioni in questo articolo fanno riferimento alle caratteristiche di un prodotto prima del rilascio, che possono essere modificate sostanzialmente prima della distribuzione al pubblico. Microsoft non fornisce alcuna garanzia, esplicita o implicita, in relazione alle informazioni contenute in questo documento.
Lo schema di ricerca avanzata viene aggiornato regolarmente per aggiungere nuove tabelle e colonne. In alcuni casi, i nomi di colonne esistenti vengono rinominati o sostituiti per migliorare l'esperienza utente. Fare riferimento a questo articolo per esaminare le modifiche di denominazione che potrebbero influire sulle query.
Le modifiche ai nomi vengono applicate automaticamente alle query salvate in Microsoft Defender XDR, incluse le query usate dalle regole di rilevamento personalizzate. Non è necessario aggiornare queste query manualmente. Tuttavia, sarà necessario aggiornare le query seguenti:
- Query eseguite usando l'API
- Query salvate altrove all'esterno Microsoft Defender XDR
| Nome della tabella | Nome colonna originale | Nuovo nome colonna | Motivo della modifica |
|---|---|---|---|
| EmailEvents | FinalEmailAction |
EmailAction |
Feedback |
| EmailEvents | FinalEmailActionPolicy |
EmailActionPolicy |
Feedback |
| EmailEvents | FinalEmailActionPolicyGuid |
EmailActionPolicyGuid |
Feedback |
| Nome colonna | Nome del valore originale | Nome nuovo valore | Motivo della modifica |
|---|---|---|---|
DetectionSource |
Defender per app cloud | Microsoft Defender for Cloud Apps | Rebranding |
DetectionSource |
WindowsDefenderAtp | EDR | Rebranding |
DetectionSource |
WindowsDefenderAv | Antivirus | Rebranding |
DetectionSource |
WindowsDefenderSmartScreen | SmartScreen | Rebranding |
DetectionSource |
CustomerTI | TI personalizzato | Rebranding |
DetectionSource |
OfficeATP | Microsoft Defender per Office 365 | Rebranding |
DetectionSource |
MTP | Microsoft Defender XDR | Rebranding |
DetectionSource |
AzureATP | Microsoft Defender per identità | Rebranding |
DetectionSource |
CustomDetection | Rilevamento personalizzato | Rebranding |
DetectionSource |
AutomatedInvestigation | Indagine automatizzata | Rebranding |
DetectionSource |
ThreatExperts | Microsoft Threat Experts | Rebranding |
DetectionSource |
TI di terze parti | Sensori di terze parti | Rebranding |
ServiceSource |
Microsoft Defender ATP | Microsoft Defender per endpoint | Rebranding |
ServiceSource |
Microsoft Threat Protection | Microsoft Defender XDR | Rebranding |
ServiceSource |
Office 365 ATP | Microsoft Defender per Office 365 | Rebranding |
ServiceSource |
Azure ATP | Microsoft Defender per identità | Rebranding |
DetectionSource è disponibile nella tabella AlertInfo .
ServiceSource è disponibile nelle tabelle AlertEvidence e AlertInfo .
Nelle tabelle EmailAttachmentInfo e EmailEvents le
MalwareFilterVerdictcolonne ePhishFilterVerdictsono state sostituite dallaThreatTypescolonna . Anche leMalwareDetectionMethodcolonne ePhishDetectionMethodsono state sostituite dallaDetectionMethodscolonna . Questa snellimento consente di fornire altre informazioni nelle nuove colonne. Il mapping viene fornito di seguito.Nome della tabella Nome colonna originale Nuovo nome colonna Motivo della modifica EmailAttachmentInfoMalwareDetectionMethod
PhishDetectionMethodDetectionMethodsIncludere altri metodi di rilevamento EmailAttachmentInfoMalwareFilterVerdictPhishFilterVerdictThreatTypesIncludere più tipi di minacce EmailEventsMalwareDetectionMethod
PhishDetectionMethodDetectionMethodsIncludere altri metodi di rilevamento EmailEventsMalwareFilterVerdictPhishFilterVerdictThreatTypesIncludere più tipi di minacce EmailAttachmentInfoNelle tabelle eEmailEventsè stata aggiunta laThreatNamescolonna per fornire altre informazioni sulla minaccia posta elettronica. Questa colonna contiene valori come Posta indesiderata o Phish.Nella tabella DeviceInfo la
DeviceObjectIdcolonna è stata sostituita dalla colonna in base alAadDeviceIdfeedback dei clienti.Nella tabella DeviceEvents sono stati modificati diversi nomi ActionType per riflettere meglio la descrizione dell'azione. I dettagli delle modifiche sono disponibili di seguito.
Nome della tabella Nome actiontype originale Nuovo nome ActionType Motivo della modifica DeviceEventsUsbDriveMountUsbDriveMountedFeedback DeviceEventsUsbDriveUnmountUsbDriveUnmountedFeedback DeviceEventsWriteProcessMemoryApiCallWriteToLsassProcessMemoryFeedback
La DeviceTvmSoftwareInventoryVulnerabilities tabella è stata deprecata. La sostituzione è la DeviceTvmSoftwareInventory tabella e DeviceTvmSoftwareVulnerabilities .
La AppFileEvents tabella è stata deprecata. La CloudAppEvents tabella include informazioni che in passato erano presenti nella AppFileEvents tabella, insieme ad altre attività nei servizi cloud.
Suggerimento
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.