Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Det avanserte jaktskjemaet består av flere tabeller som gir hendelsesinformasjon eller informasjon om enheter, varsler, identiteter og andre enhetstyper. Hvis du effektivt vil bygge spørringer som strekker seg over flere tabeller, må du forstå tabellene og kolonnene i det avanserte jaktskjemaet.
Få skjemainformasjon
Når du konstruerer spørringer, kan du bruke den innebygde skjemareferansen til raskt å få følgende informasjon om hver tabell i skjemaet:
- Tabellbeskrivelse – datatypen i tabellen og kilden til disse dataene.
- Kolonner – alle kolonnene i tabellen.
-
Handlingstyper – mulige verdier i
ActionTypekolonnen som representerer hendelsestypene som støttes av tabellen. Denne informasjonen gis bare for tabeller som inneholder hendelsesinformasjon. - Eksempelspørring – eksempelspørringer som inneholder hvordan tabellen kan brukes.
Få tilgang til skjemareferansen
Hvis du vil ha rask tilgang til skjemareferansen, velger du Vis referanse-handlingen ved siden av tabellnavnet i skjemapresentasjonen. Du kan også velge Skjemareferanse for å søke etter en tabell.
Lær skjematabellene
Følgende referanse viser alle tabellene i skjemaet. Hvert tabellnavn kobler til en side som beskriver kolonnenavnene for tabellen. Tabell- og kolonnenavn er også oppført i Microsoft Defender XDR som en del av skjemarepresentasjonen på skjermen for avansert jakt.
| Tabellnavn | Beskrivelse | DCR-støtte | Lake-only-inntak støttes |
|---|---|---|---|
| AADSignInEventsBeta | Microsoft Entra interaktive og ikke-interaktive pålogginger | Nei | Nei |
| AADSpnSignInEventsBeta | Microsoft Entra tjenestekontohaver og administrerte identitetspålogginger | Nei | Nei |
| AIAgentsInfo (forhåndsversjon) | Informasjon om AI-agenter som er opprettet med Microsoft Copilot Studio, inkludert agentkonfigurasjon og eierskapsdetaljer | Nei | Nei |
| AlertEvidence | Filer, IP-adresser, nettadresser, brukere eller enheter som er knyttet til varsler | Ja | Ja |
| AlertInfo | Varsler fra Microsoft Defender for endepunkt, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for identitet, inkludert alvorlighetsgradinformasjon og trusselkategorisering | Ja | Ja |
| BehaviorEntities (forhåndsvisning) | Enheter (fil, prosess, enhet, bruker og andre) som er involvert i en virkemåte i Microsoft Defender for Cloud Apps (ikke tilgjengelig for GCC) og UEBA (User and Entity Behavior Analytics) | Ja | Ja |
| BehaviorInfo (forhåndsvisning) | Virkemåter fra Microsoft Defender for Cloud Apps (ikke tilgjengelig for GCC) og UEBA (User and Entity Behavior Analytics) | Ja | Ja |
| CampaignInfo (forhåndsvisning) | E-postkampanjer identifisert av Microsoft Defender for Office 365 | Ja | Ja |
| CloudAppEvents | Hendelser som involverer kontoer og objekter i Office 365 og andre skyapper og -tjenester | Ja | Ja |
| CloudAuditEvents (forhåndsvisning) | Skyovervåkingshendelser for ulike skyplattformer som er beskyttet av organisasjonens Microsoft Defender for Cloud | Nei | Nei |
| CloudProcessEvents (forhåndsvisning) | Skyprosesshendelser for ulike skyplattformer som er beskyttet av organisasjonens Microsoft Defender for beholdere | Nei | Nei |
| CloudStorageAggregatedEvents (forhåndsvisning) | Skylagringsaktivitet og relaterte hendelser | Nei | Nei |
| DataSecurityBehaviors (forhåndsvisning) | Innsikt om potensielt mistenkelige brukervirkemåter som bryter med brukerdefinerte eller standardpolicyer som er konfigurert i Microsoft Purview-serien med løsninger | Nei | Nei |
| DataSecurityEvents (forhåndsvisning) | Informasjon om brukeraktiviteter som bryter med brukerdefinerte policyer eller standardpolicyer i Microsoft Purview-serien med løsninger | Nei | Nei |
| DeviceBaselineComplianceAssessment (forhåndsversjon) | Øyeblikksbilde av vurdering av opprinnelig samsvar, som angir statusen for ulike sikkerhetskonfigurasjoner knyttet til baseline-profiler på enheter | Nei | Nei |
| DeviceBaselineComplianceAssessmentKB (forhåndsversjon) | Informasjon om ulike sikkerhetskonfigurasjoner som brukes av samsvar i grunnlinjen for å vurdere enheter | Nei | Nei |
| DeviceBaselineComplianceProfiles (forhåndsvisning) | Grunnlinjeprofiler som brukes til å overvåke samsvar for enhetens grunnlinje | Nei | Nei |
| DeviceEvents | Flere hendelsestyper, inkludert hendelser utløst av sikkerhetskontroller, for eksempel Microsoft Defender antivirus- og utnyttelsesbeskyttelse | Ja | Ja |
| DeviceFileCertificateInfo | Sertifikatinformasjon for signerte filer hentet fra sertifikatbekreftelseshendelser på endepunkter | Ja | Ja |
| DeviceFileEvents | Filoppretting, endring og andre filsystemhendelser | Ja | Ja |
| DeviceImageLoadEvents | Dll-innlastingshendelser | Ja | Ja |
| DeviceInfo | Maskininformasjon, inkludert OS-informasjon | Ja | Ja |
| DeviceLogonEvents | Pålogginger og andre godkjenningshendelser på enheter | Ja | Ja |
| DeviceNetworkEvents | Nettverkstilkobling og relaterte hendelser | Ja | Ja |
| DeviceNetworkInfo | Nettverksegenskaper for enheter, inkludert fysiske adaptere, IP- og MAC-adresser, samt tilkoblede nettverk og domener | Ja | Ja |
| DeviceProcessEvents | Prosessoppretting og relaterte hendelser | Ja | Ja |
| DeviceRegistryEvents | Oppretting og endring av registeroppføringer | Ja | Ja |
| DeviceTvmBrowserExtensions (forhåndsvisning) | Installasjoner av nettleserutvidelse funnet på enheter fra Microsoft Defender Vulnerability Management | Nei | Nei |
| DeviceTvmBrowserExtensionsKB (forhåndsversjon) | Nettleserutvidelsesdetaljer og tillatelsesinformasjon som brukes på siden for Microsoft Defender Vulnerability Management nettleserutvidelser | Nei | Nei |
| DeviceTvmCertificateInfo (forhåndsvisning) | Sertifikatinformasjon for enheter i organisasjonen fra Microsoft Defender Vulnerability Management | Nei | Nei |
| DeviceTvmHardwareFirmware | Informasjon om maskinvare og fastvare for enheter som kontrolleres av Defender Vulnerability Management | Nei | Nei |
| DeviceTvmInfoGathering | Defender Vulnerability Management vurderingshendelser, inkludert konfigurasjon og angrep av overflatearealer | Nei | Nei |
| DeviceTvmInfoGatheringKB | Metadata for vurderingshendelser som er samlet inn i DeviceTvmInfogathering tabellen |
Nei | Nei |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender Vulnerability Management vurderingshendelser som angir status for ulike sikkerhetskonfigurasjoner på enheter | Ja | Ja |
| DeviceTvmSecureConfigurationAssessmentKB | Kunnskapsbase for ulike sikkerhetskonfigurasjoner som brukes av Microsoft Defender Vulnerability Management til å vurdere enheter, omfatter tilordninger til ulike standarder og benchmarks | Ja | Ja |
| DeviceTvmSoftwareEvidenceBeta | Bevisinformasjon om hvor en bestemt programvare ble oppdaget på en enhet | Nei | Nei |
| DeviceTvmSoftwareInventory | Oversikt over programvare som er installert på enheter, inkludert versjonsinformasjon og status for avvikling av kundestøtte | Ja | Ja |
| DeviceTvmSoftwareVulnerabilities | Programvaresårbarheter som finnes på enheter og listen over tilgjengelige sikkerhetsoppdateringer som løser hvert sikkerhetsproblem | Ja | Ja |
| DeviceTvmSoftwareVulnerabilitiesKB | Kunnskapsbase for offentliggjorte sårbarheter, inkludert om utnyttelseskode er offentlig tilgjengelig | Ja | Ja |
| DisruptionAndResponseEvents (forhåndsvisning) | Automatiske angrepsavbruddshendelser i Microsoft Defender XDR | Nei | Nei |
| EmailAttachmentInfo | Informasjon om filer som er vedlagt e-postmeldinger | Ja | Ja |
| EmailEvents | E-posthendelser for Microsoft 365, inkludert e-postlevering og blokkeringshendelser | Ja | Ja |
| EmailPostDeliveryEvents | Sikkerhetshendelser som oppstår etter levering, etter at Microsoft 365 leverer e-postmeldingene til mottakerens postboks | Ja | Ja |
| EmailUrlInfo | Informasjon om nettadresser på e-postmeldinger | Ja | Ja |
| EntraIdSignInEvents | Microsoft Entra interaktive og ikke-interaktive pålogginger | Nei | Nei |
| EntraIdSpnSignInEvents | Microsoft Entra tjenestekontohaver og administrerte identitetspålogginger | Nei | Nei |
| Eksponeringsgrafikk | Microsoft Security Exposure Management grafkantinformasjon for eksponering gir innsyn i relasjoner mellom enheter og ressurser i grafen | Nei | Nei |
| ExposureGraphNodes | Microsoft Security Exposure Management informasjon om eksponeringsgrafnode, om organisasjonsenheter og deres egenskaper | Nei | Nei |
| FileMaliciousContentInfo (forhåndsvisning) | Filer som ble behandlet av Microsoft Defender for Office 365 i SharePoint Online, OneDrive og Microsoft Teams. | Ja | Ja |
| GraphApiAuditEvents | Microsoft Entra ID API-forespørsler til Microsoft Graph API for ressurser i leieren | Nei | Nei |
| IdentityAccountInfo | Kontoinformasjon fra ulike kilder, inkludert Microsoft Entra ID. Denne tabellen inneholder også informasjon og kobling til identiteten som eier kontoen. | Nei | Nei |
| IdentityDirectoryEvents | Hendelser som involverer en lokal domenekontroller som kjører Active Directory (AD). Denne tabellen dekker en rekke identitetsrelaterte hendelser og systemhendelser på domenekontrolleren. | Ja | Ja |
| IdentityEvents (forhåndsvisning) | Informasjon om identitetshendelser hentet fra andre leverandører av skyidentitetstjenester | Nei | Nei |
| IdentityInfo | Kontoinformasjon fra ulike kilder, inkludert Microsoft Entra ID | Ja | Nei |
| IdentityLogonEvents | Godkjenningshendelser på Active Directory og Microsoft onlinetjenester | Ja | Ja |
| IdentityQueryEvents | Spørringer for Active Directory-objekter, for eksempel brukere, grupper, enheter og domener | Ja | Ja |
| MessageEvents | Meldinger som sendes og mottas i organisasjonen på leveringstidspunktet | Nei | Nei |
| MessagePostDeliveryEvents | Sikkerhetshendelser som oppstod etter levering av en Microsoft Teams-melding i organisasjonen | Nei | Nei |
| MessageUrlInfo | NETTADRESSEr som sendes via Microsoft Teams-meldinger i organisasjonen | Nei | Nei |
| OAuthAppInfo (forhåndsvisning) | Microsoft 365-tilkoblede OAuth-programmer registrert med Microsoft Entra ID og tilgjengelig i Defender for Cloud Apps appstyringsfunksjonalitet | Nei | Nei |
| UrlClickEvents | Klarerte koblinger-klikk fra e-postmeldinger, Teams og Office 365-apper | Ja | Ja |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Arbeide med spørringsresultater
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.