Geavanceerd opsporingsschema - Naamgevingswijzigingen
Van toepassing op:
- Microsoft Defender XDR
Belangrijk
Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.
Het geavanceerde opsporingsschema wordt regelmatig bijgewerkt om nieuwe tabellen en kolommen toe te voegen. In sommige gevallen worden bestaande kolomnamen hernoemd of vervangen om de gebruikerservaring te verbeteren. Raadpleeg dit artikel om naamgevingswijzigingen te bekijken die van invloed kunnen zijn op uw query's.
Naamwijzigingen worden automatisch toegepast op query's die worden opgeslagen in Microsoft Defender XDR, inclusief query's die worden gebruikt door aangepaste detectieregels. U hoeft deze query's niet handmatig bij te werken. U moet echter de volgende query's bijwerken:
- Query's die worden uitgevoerd met behulp van de API
- Query's die elders buiten Microsoft Defender XDR worden opgeslagen
December 2020
Tabelnaam | Oorspronkelijke kolomnaam | Nieuwe kolomnaam | Reden voor wijziging |
---|---|---|---|
EmailEvents | FinalEmailAction |
EmailAction |
Feedback |
EmailEvents | FinalEmailActionPolicy |
EmailActionPolicy |
Feedback |
EmailEvents | FinalEmailActionPolicyGuid |
EmailActionPolicyGuid |
Feedback |
Januari 2021
Kolomnaam | Oorspronkelijke waardenaam | Nieuwe waardenaam | Reden voor wijziging |
---|---|---|---|
DetectionSource |
Defender voor Cloud-apps | Microsoft Defender for Cloud Apps | Rebranding |
DetectionSource |
WindowsDefenderAtp | EDR | Rebranding |
DetectionSource |
WindowsDefenderAv | Antivirus | Rebranding |
DetectionSource |
WindowsDefenderSmartScreen | Smartscreen | Rebranding |
DetectionSource |
CustomerTI | Aangepaste TI | Rebranding |
DetectionSource |
OfficeATP | Microsoft Defender voor Office 365 | Rebranding |
DetectionSource |
MTP | Microsoft Defender XDR | Rebranding |
DetectionSource |
AzureATP | Microsoft Defender for Identity | Rebranding |
DetectionSource |
CustomDetection | Aangepaste detectie | Rebranding |
DetectionSource |
AutomatedInvestigation | Geautomatiseerd onderzoek | Rebranding |
DetectionSource |
ThreatExperts | Microsoft Threat Experts | Rebranding |
DetectionSource |
TI van derden | Sensoren van derden | Rebranding |
ServiceSource |
Microsoft Defender ATP | Microsoft Defender voor Eindpunt | Rebranding |
ServiceSource |
Microsoft Threat Protection | Microsoft Defender XDR | Rebranding |
ServiceSource |
Office 365 ATP | Microsoft Defender voor Office 365 | Rebranding |
ServiceSource |
Azure ATP | Microsoft Defender for Identity | Rebranding |
DetectionSource
is beschikbaar in de tabel AlertInfo . ServiceSource
is beschikbaar in de tabellen AlertEvidence en AlertInfo .
Februari 2021
In de tabellen EmailAttachmentInfo en EmailEvents zijn de
MalwareFilterVerdict
kolommen enPhishFilterVerdict
vervangen door deThreatTypes
kolom. DeMalwareDetectionMethod
kolommen enPhishDetectionMethod
zijn ook vervangen door deDetectionMethods
kolom. Door deze stroomlijning kunnen we meer informatie verstrekken onder de nieuwe kolommen. De toewijzing vindt u hieronder.Tabelnaam Oorspronkelijke kolomnaam Nieuwe kolomnaam Reden voor wijziging EmailAttachmentInfo
MalwareDetectionMethod
PhishDetectionMethod
DetectionMethods
Meer detectiemethoden opnemen EmailAttachmentInfo
MalwareFilterVerdict
PhishFilterVerdict
ThreatTypes
Meer bedreigingstypen opnemen EmailEvents
MalwareDetectionMethod
PhishDetectionMethod
DetectionMethods
Meer detectiemethoden opnemen EmailEvents
MalwareFilterVerdict
PhishFilterVerdict
ThreatTypes
Meer bedreigingstypen opnemen In de
EmailAttachmentInfo
tabellen enEmailEvents
is deThreatNames
kolom toegevoegd om meer informatie te geven over de e-maildreiging. Deze kolom bevat waarden zoals Spam of Phish.In de tabel DeviceInfo is de
DeviceObjectId
kolom vervangen door deAadDeviceId
kolom op basis van feedback van klanten.In de tabel DeviceEvents zijn verschillende ActionType-namen gewijzigd om de beschrijving van de actie beter weer te geven. Details van de wijzigingen vindt u hieronder.
Tabelnaam Oorspronkelijke ActionType-naam Nieuwe ActionType-naam Reden voor wijziging DeviceEvents
UsbDriveMount
UsbDriveMounted
Feedback DeviceEvents
UsbDriveUnmount
UsbDriveUnmounted
Feedback DeviceEvents
WriteProcessMemoryApiCall
WriteToLsassProcessMemory
Feedback
Maart 2021
De DeviceTvmSoftwareInventoryVulnerabilities
tabel is afgeschaft. De tabellen en DeviceTvmSoftwareVulnerabilities
worden DeviceTvmSoftwareInventory
vervangen.
Mei 2021
De AppFileEvents
tabel is afgeschaft. De CloudAppEvents
tabel bevat informatie die zich in de AppFileEvents
tabel bevindt, samen met andere activiteiten in cloudservices.
Verwante onderwerpen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.