Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ważna
Niektóre informacje zawarte w tym artykule odnoszą się do wersji wstępnej produktu, który może zostać znacznie zmodyfikowany do czasu wydania wersji komercyjnej. Firma Microsoft nie udziela żadnych gwarancji, wyrażonych ani dorozumianych, w odniesieniu do informacji podanych tutaj.
Zaawansowany schemat wyszukiwania zagrożeń składa się z wielu tabel, które zawierają informacje o zdarzeniach lub informacje o urządzeniach, alertach, tożsamościach i innych typach jednostek. Aby efektywnie tworzyć zapytania obejmujące wiele tabel, należy zrozumieć tabele i kolumny w zaawansowanym schemacie wyszukiwania zagrożeń.
Pobieranie informacji o schemacie
Podczas konstruowania zapytań użyj wbudowanego odwołania do schematu, aby szybko uzyskać następujące informacje o każdej tabeli w schemacie:
- Opis tabel — typ danych zawartych w tabeli i źródło tych danych.
- Kolumny — wszystkie kolumny w tabeli.
-
Typy akcji — możliwe wartości w kolumnie
ActionTypereprezentujące typy zdarzeń obsługiwane przez tabelę. Te informacje są udostępniane tylko w przypadku tabel zawierających informacje o zdarzeniu. - Przykładowe zapytanie — przykładowe zapytania, które zawierają sposób wykorzystania tabeli.
Uzyskiwanie dostępu do dokumentacji schematu
Aby szybko uzyskać dostęp do odwołania do schematu, wybierz akcję Wyświetl odwołanie obok nazwy tabeli w reprezentacji schematu. Możesz również wybrać pozycję Odwołanie do schematu , aby wyszukać tabelę.
Poznaj tabele schematów
Poniższe odwołanie zawiera listę wszystkich tabel w schemacie. Każda nazwa tabeli łączy się ze stroną opisującą nazwy kolumn dla tej tabeli. Nazwy tabel i kolumn są również wymienione w Microsoft Defender XDR jako część reprezentacji schematu na zaawansowanym ekranie wyszukiwania zagrożeń.
| Nazwa tabeli | Opis | Obsługa dcr | Obsługiwane pozyskiwanie tylko w usłudze Lake |
|---|---|---|---|
| AADSignInEventsBeta | Microsoft Entra logowania interakcyjne i nieinterakcyjne | Nie | Nie |
| AADSpnSignInEventsBeta | Microsoft Entra jednostki usługi i logowania tożsamości zarządzanej | Nie | Nie |
| AIAgentsInfo (wersja zapoznawcza) | Informacje o agentach sztucznej inteligencji utworzonych za pomocą Microsoft Copilot Studio, w tym szczegóły konfiguracji agenta i własności | Nie | Nie |
| AlertEvidence | Pliki, adresy IP, adresy URL, użytkownicy lub urządzenia skojarzone z alertami | Tak | Tak |
| AlertInfo | Alerty z Ochrona punktu końcowego w usłudze Microsoft Defender, Microsoft Defender dla Office 365, Microsoft Defender for Cloud Apps i Microsoft Defender for Identity, w tym informacje o ważności i kategoryzacji zagrożeń | Tak | Tak |
| BehaviorEntities (wersja zapoznawcza) | Jednostki (plik, proces, urządzenie, użytkownik i inne), które są zaangażowane w zachowanie w Microsoft Defender for Cloud Apps (niedostępne dla GCC) oraz Analiza zachowania użytkowników i jednostek (UEBA) | Tak | Tak |
| BehaviorInfo (wersja zapoznawcza) | Zachowania Microsoft Defender for Cloud Apps (niedostępne dla GCC) oraz analiza zachowań użytkowników i jednostek (UEBA) | Tak | Tak |
| CampaignInfo (wersja zapoznawcza) | Email kampanii zidentyfikowanych przez Microsoft Defender dla Office 365 | Tak | Tak |
| CloudAppEvents | Zdarzenia obejmujące konta i obiekty w Office 365 i innych aplikacjach i usługach w chmurze | Tak | Tak |
| CloudAuditEvents (wersja zapoznawcza) | Zdarzenia inspekcji chmury dla różnych platform w chmurze chronionych przez organizację Microsoft Defender for Cloud | Nie | Nie |
| CloudProcessEvents (wersja zapoznawcza) | Zdarzenia przetwarzania w chmurze dla różnych platform w chmurze chronionych przez organizację Microsoft Defender for Containers | Nie | Nie |
| CloudStorageAggregatedEvents (wersja zapoznawcza) | Aktywność magazynu w chmurze i powiązane zdarzenia | Nie | Nie |
| DataSecurityBehaviors (wersja zapoznawcza) | Szczegółowe informacje o potencjalnie podejrzanych zachowaniach użytkowników, które naruszają zasady zdefiniowane przez użytkownika lub zasady domyślne skonfigurowane w pakiecie rozwiązań usługi Microsoft Purview | Nie | Nie |
| DataSecurityEvents (wersja zapoznawcza) | Informacje o działaniach użytkownika naruszających zasady zdefiniowane przez użytkownika lub zasady domyślne w pakiecie rozwiązań usługi Microsoft Purview | Nie | Nie |
| DeviceBaselineComplianceAssessment (wersja zapoznawcza) | Migawka oceny zgodności punktu odniesienia, która wskazuje stan różnych konfiguracji zabezpieczeń związanych z profilami punktu odniesienia na urządzeniach | Nie | Nie |
| DeviceBaselineComplianceAssessmentKB (wersja zapoznawcza) | Informacje o różnych konfiguracjach zabezpieczeń używanych przez zgodność punktu odniesienia do oceny urządzeń | Nie | Nie |
| DeviceBaselineComplianceProfiles (wersja zapoznawcza) | Profile punktu odniesienia używane do monitorowania zgodności punktu odniesienia urządzenia | Nie | Nie |
| DeviceEvents | Wiele typów zdarzeń, w tym zdarzenia wyzwalane przez mechanizmy kontroli zabezpieczeń, takie jak program antywirusowy Microsoft Defender i ochrona przed lukami w zabezpieczeniach | Tak | Tak |
| DeviceFileCertificateInfo | Informacje o certyfikacie podpisanych plików uzyskanych ze zdarzeń weryfikacji certyfikatu w punktach końcowych | Tak | Tak |
| DeviceFileEvents | Tworzenie, modyfikowanie i inne zdarzenia systemu plików | Tak | Tak |
| DeviceImageLoadEvents | Zdarzenia ładowania biblioteki DLL | Tak | Tak |
| DeviceInfo | Informacje o maszynie, w tym informacje o systemie operacyjnym | Tak | Tak |
| DeviceLogonEvents | Logowania i inne zdarzenia uwierzytelniania na urządzeniach | Tak | Tak |
| DeviceNetworkEvents | Połączenie sieciowe i powiązane zdarzenia | Tak | Tak |
| DeviceNetworkInfo | Właściwości sieciowe urządzeń, w tym karty fizyczne, adresy IP i MAC, a także połączone sieci i domeny | Tak | Tak |
| DeviceProcessEvents | Tworzenie procesów i powiązane zdarzenia | Tak | Tak |
| DeviceRegistryEvents | Tworzenie i modyfikowanie wpisów rejestru | Tak | Tak |
| DeviceTvmBrowserExtensions (wersja zapoznawcza) | Instalacje rozszerzeń przeglądarki znalezione na urządzeniach z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Nie | Nie |
| DeviceTvmBrowserExtensionsKB (wersja zapoznawcza) | Szczegóły rozszerzenia przeglądarki i informacje o uprawnieniach używane na stronie rozszerzeń przeglądarki Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Nie | Nie |
| DeviceTvmCertificateInfo (wersja zapoznawcza) | Informacje o certyfikatach dla urządzeń w organizacji z Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender | Nie | Nie |
| DeviceTvmHardwareFirmware | Informacje o sprzęcie i oprogramowaniu układowym urządzeń sprawdzone przez Zarządzanie lukami w zabezpieczeniach w usłudze Defender | Nie | Nie |
| DeviceTvmInfoGathering | Zarządzanie lukami w zabezpieczeniach w usłudze Defender zdarzenia oceny, w tym stany konfiguracji i obszaru podatnego na ataki | Nie | Nie |
| DeviceTvmInfoGatheringKB | Metadane zdarzeń oceny zebranych DeviceTvmInfogathering w tabeli |
Nie | Nie |
| DeviceTvmSecureConfigurationAssessment | Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zdarzenia oceny wskazujące stan różnych konfiguracji zabezpieczeń na urządzeniach | Tak | Tak |
| DeviceTvmSecureConfigurationAssessmentKB | Baza wiedzy na temat różnych konfiguracji zabezpieczeń używanych przez Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender do oceny urządzeń; obejmuje mapowania na różne standardy i testy porównawcze | Tak | Tak |
| DeviceTvmSoftwareEvidenceBeta | Informacje dowodowe dotyczące miejsca wykrycia określonego oprogramowania na urządzeniu | Nie | Nie |
| DeviceTvmSoftwareInventory | Spis oprogramowania zainstalowanego na urządzeniach, w tym informacje o ich wersji i stan zakończenia pomocy technicznej | Tak | Tak |
| DeviceTvmSoftwareVulnerabilities | Luki w zabezpieczeniach oprogramowania znalezione na urządzeniach i lista dostępnych aktualizacji zabezpieczeń, które rozwiązują każdą lukę w zabezpieczeniach | Tak | Tak |
| DeviceTvmSoftwareVulnerabilitiesKB | Baza wiedzy dotycząca publicznie ujawnionych luk w zabezpieczeniach, w tym tego, czy kod wykorzystujący luki w zabezpieczeniach jest publicznie dostępny | Tak | Tak |
| DisruptionAndResponseEvents (wersja zapoznawcza) | Zdarzenia automatycznego zakłócenia ataków w Microsoft Defender XDR | Nie | Nie |
| EmailAttachmentInfo | Informacje o plikach dołączonych do wiadomości e-mail | Tak | Tak |
| EmailEvents | Zdarzenia poczty e-mail platformy Microsoft 365, w tym dostarczanie wiadomości e-mail i blokowanie zdarzeń | Tak | Tak |
| EmailPostDeliveryEvents | Zdarzenia zabezpieczeń występujące po dostarczeniu, gdy platforma Microsoft 365 dostarczy wiadomości e-mail do skrzynki pocztowej adresata | Tak | Tak |
| EmailUrlInfo | Informacje o adresach URL wiadomości e-mail | Tak | Tak |
| EntraIdSignInEvents | Microsoft Entra logowania interakcyjne i nieinterakcyjne | Nie | Nie |
| EntraIdSpnSignInEvents | Microsoft Entra jednostki usługi i logowania tożsamości zarządzanej | Nie | Nie |
| ExposureGraphEdges | Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft informacje o krawędzi wykresu ekspozycji zapewniają wgląd w relacje między jednostkami i zasobami na wykresie | Nie | Nie |
| ExposureGraphNodes | Zarządzanie stopniem zagrożenia bezpieczeństwa przez firmę Microsoft informacje o węźle wykresu ekspozycji, o jednostkach organizacyjnych i ich właściwościach | Nie | Nie |
| FileMaliciousContentInfo (wersja zapoznawcza) | Pliki przetworzone przez Microsoft Defender dla Office 365 w usługach SharePoint Online, OneDrive i Microsoft Teams. | Tak | Tak |
| GraphApiAuditEvents | Microsoft Entra ID żądania interfejsu API wysyłane do interfejs Graph API firmy Microsoft dotyczące zasobów w dzierżawie | Nie | Nie |
| IdentityAccountInfo | Informacje o kontach z różnych źródeł, w tym Microsoft Entra ID. Ta tabela zawiera również informacje i link do tożsamości, która jest właścicielem konta. | Nie | Nie |
| IdentityDirectoryEvents | Zdarzenia z udziałem lokalnego kontrolera domeny z uruchomioną usługą Active Directory (AD). Ta tabela obejmuje szereg zdarzeń związanych z tożsamością i zdarzeń systemowych na kontrolerze domeny. | Tak | Tak |
| IdentityEvents (wersja zapoznawcza) | Informacje o zdarzeniach tożsamości uzyskanych od innych dostawców usług tożsamości w chmurze | Nie | Nie |
| IdentityInfo | Informacje o kontach z różnych źródeł, w tym Microsoft Entra ID | Tak | Nie |
| IdentityLogonEvents | Zdarzenia uwierzytelniania w usługach Active Directory i Microsoft Usługi online | Tak | Tak |
| IdentityQueryEvents | Zapytania dotyczące obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny | Tak | Tak |
| Zdarzenia MessageEvents | Komunikaty wysyłane i odbierane w organizacji w momencie dostarczenia | Nie | Nie |
| MessagePostDeliveryEvents | Zdarzenia zabezpieczeń, które wystąpiły po dostarczeniu komunikatu usługi Microsoft Teams w organizacji | Nie | Nie |
| MessageUrlInfo | Adresy URL wysyłane za pośrednictwem wiadomości usługi Microsoft Teams w organizacji | Nie | Nie |
| OAuthAppInfo (wersja zapoznawcza) | Aplikacje OAuth połączone z platformą Microsoft 365 zarejestrowane w Microsoft Entra ID i dostępne w funkcji zarządzania aplikacjami Defender for Cloud Apps | Nie | Nie |
| UrlClickEvents | Kliknięcia bezpiecznych linków z wiadomości e-mail, aplikacji Teams i aplikacji Office 365 | Tak | Tak |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Praca z wynikami zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.