Forstå det avanserte jaktskjemaet
Gjelder for:
- Microsoft Defender XDR
Viktig
Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.
Det avanserte jaktskjemaet består av flere tabeller som gir hendelsesinformasjon eller informasjon om enheter, varsler, identiteter og andre enhetstyper. Hvis du effektivt vil bygge spørringer som strekker seg over flere tabeller, må du forstå tabellene og kolonnene i det avanserte jaktskjemaet.
Få skjemainformasjon
Når du konstruerer spørringer, kan du bruke den innebygde skjemareferansen til raskt å få følgende informasjon om hver tabell i skjemaet:
- Tabellbeskrivelse – datatypen i tabellen og kilden til disse dataene.
- Kolonner – alle kolonnene i tabellen.
-
Handlingstyper – mulige verdier i
ActionTypekolonnen som representerer hendelsestypene som støttes av tabellen. Denne informasjonen gis bare for tabeller som inneholder hendelsesinformasjon. - Eksempelspørring – eksempelspørringer som inneholder hvordan tabellen kan brukes.
Få tilgang til skjemareferansen
Hvis du vil ha rask tilgang til skjemareferansen, velger du Vis referanse-handlingen ved siden av tabellnavnet i skjemapresentasjonen. Du kan også velge Skjemareferanse for å søke etter en tabell.
Lær skjematabellene
Følgende referanse viser alle tabellene i skjemaet. Hvert tabellnavn kobler til en side som beskriver kolonnenavnene for tabellen. Tabell- og kolonnenavn er også oppført i Microsoft Defender XDR som en del av skjemarepresentasjonen på skjermen for avansert jakt.
| Tabellnavn | Beskrivelse |
|---|---|
| AADSignInEventsBeta | Microsoft Entra interaktive og ikke-interaktive pålogginger |
| AADSpnSignInEventsBeta | Microsoft Entra tjenestekontohaver og administrerte identitetspålogginger |
| AlertEvidence | Filer, IP-adresser, nettadresser, brukere eller enheter som er knyttet til varsler |
| AlertInfo | Varsler fra Microsoft Defender for endepunkt, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for identitet, inkludert alvorlighetsgradinformasjon og trusselkategorisering |
| BehaviorEntities (forhåndsvisning) | Datatyper for virkemåte i Microsoft Defender for Cloud Apps (ikke tilgjengelig for GCC) |
| BehaviorInfo (forhåndsvisning) | Varsler fra Microsoft Defender for Cloud Apps (ikke tilgjengelig for GCC) |
| CloudAppEvents | Hendelser som involverer kontoer og objekter i Office 365 og andre skyapper og -tjenester |
| CloudAuditEvents | Skyovervåkingshendelser for ulike skyplattformer som er beskyttet av organisasjonens Microsoft Defender for Cloud |
| DeviceEvents | Flere hendelsestyper, inkludert hendelser utløst av sikkerhetskontroller, for eksempel Microsoft Defender antivirus- og utnyttelsesbeskyttelse |
| DeviceFileCertificateInfo | Sertifikatinformasjon for signerte filer hentet fra sertifikatbekreftelseshendelser på endepunkter |
| DeviceFileEvents | Filoppretting, endring og andre filsystemhendelser |
| DeviceImageLoadEvents | Dll-innlastingshendelser |
| DeviceInfo | Maskininformasjon, inkludert OS-informasjon |
| DeviceLogonEvents | Pålogginger og andre godkjenningshendelser på enheter |
| DeviceNetworkEvents | Nettverkstilkobling og relaterte hendelser |
| DeviceNetworkInfo | Nettverksegenskaper for enheter, inkludert fysiske adaptere, IP- og MAC-adresser, samt tilkoblede nettverk og domener |
| DeviceProcessEvents | Prosessoppretting og relaterte hendelser |
| DeviceRegistryEvents | Oppretting og endring av registeroppføringer |
| DeviceTvmHardwareFirmware | Informasjon om maskinvare og fastvare for enheter som kontrolleres av Defender Vulnerability Management |
| DeviceTvmInfoGathering | Defender Vulnerability Management vurderingshendelser, inkludert konfigurasjon og angrep av overflatearealer |
| DeviceTvmInfoGatheringKB | Metadata for vurderingshendelser som er samlet inn i DeviceTvmInfogathering tabellen |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender Vulnerability Management vurderingshendelser som angir status for ulike sikkerhetskonfigurasjoner på enheter |
| DeviceTvmSecureConfigurationAssessmentKB | Kunnskapsbase for ulike sikkerhetskonfigurasjoner som brukes av Microsoft Defender Vulnerability Management til å vurdere enheter, omfatter tilordninger til ulike standarder og benchmarks |
| DeviceTvmSoftwareEvidenceBeta | Bevisinformasjon om hvor en bestemt programvare ble oppdaget på en enhet |
| DeviceTvmSoftwareInventory | Oversikt over programvare som er installert på enheter, inkludert versjonsinformasjon og status for avvikling av kundestøtte |
| DeviceTvmSoftwareVulnerabilities | Programvaresårbarheter som finnes på enheter og listen over tilgjengelige sikkerhetsoppdateringer som løser hvert sikkerhetsproblem |
| DeviceTvmSoftwareVulnerabilitiesKB | Kunnskapsbase for offentliggjorte sårbarheter, inkludert om utnyttelseskode er offentlig tilgjengelig |
| EmailAttachmentInfo | Informasjon om filer som er vedlagt e-postmeldinger |
| EmailEvents | E-posthendelser for Microsoft 365, inkludert e-postlevering og blokkeringshendelser |
| EmailPostDeliveryEvents | Sikkerhetshendelser som oppstår etter levering, etter at Microsoft 365 leverer e-postmeldingene til mottakerens postboks |
| EmailUrlInfo | Informasjon om nettadresser på e-postmeldinger |
| Eksponeringsgrafikk | Microsoft Security Exposure Management grafkantinformasjon for eksponering gir innsyn i relasjoner mellom enheter og ressurser i grafen |
| ExposureGraphNodes | Microsoft Security Exposure Management informasjon om eksponeringsgrafnode, om organisasjonsenheter og deres egenskaper |
| IdentityDirectoryEvents | Hendelser som involverer en lokal domenekontroller som kjører Active Directory (AD). Denne tabellen dekker en rekke identitetsrelaterte hendelser og systemhendelser på domenekontrolleren. |
| IdentityInfo | Kontoinformasjon fra ulike kilder, inkludert Microsoft Entra ID |
| IdentityLogonEvents | Godkjenningshendelser på Active Directory og Microsoft onlinetjenester |
| IdentityQueryEvents | Spørringer for Active Directory-objekter, for eksempel brukere, grupper, enheter og domener |
| UrlClickEvents | Klarerte koblinger-klikk fra e-postmeldinger, Teams og Office 365-apper |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Arbeide med spørringsresultater
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.