Partilhar via


Compreender o esquema de investigação avançado

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.

O esquema de investigação avançado é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar consultas eficazmente que abrangem múltiplas tabelas, tem de compreender as tabelas e as colunas no esquema de investigação avançado.

Obter informações de esquema

Ao construir consultas, utilize a referência de esquema incorporada para obter rapidamente as seguintes informações sobre cada tabela no esquema:

  • Descrição das tabelas — tipo de dados contidos na tabela e a origem desses dados.
  • Colunas — todas as colunas na tabela.
  • Tipos de ação — valores possíveis na coluna que ActionType representam os tipos de evento suportados pela tabela. Estas informações são fornecidas apenas para tabelas que contêm informações de eventos.
  • Consulta de exemplo — consultas de exemplo que apresentam a forma como a tabela pode ser utilizada.

Aceder à referência de esquema

Para aceder rapidamente à referência de esquema, selecione a ação Ver referência junto ao nome da tabela na representação do esquema. Também pode selecionar Referência de esquema para procurar uma tabela.

A página Referência de Esquema na página Investigação Avançada no portal do Microsoft Defender

Conhecer as tabelas de esquema

A referência seguinte lista todas as tabelas no esquema. Cada nome de tabela liga a uma página que descreve os nomes das colunas dessa tabela. Os nomes de tabelas e colunas também estão listados no Microsoft Defender XDR como parte da representação do esquema no ecrã de investigação avançado.

Nome da tabela Descrição
AADSignInEventsBeta Microsoft Entra inícios de sessão interativos e não interativos
AADSpnSignInEventsBeta Microsoft Entra principal de serviço e inícios de sessão de identidade gerida
AlertEvidence Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas
AlertInfo Alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças
BehaviorEntities (Pré-visualização) Tipos de dados de comportamento no Microsoft Defender for Cloud Apps (não disponível para GCC)
BehaviorInfo (Pré-visualização) Alertas de Microsoft Defender for Cloud Apps (não disponíveis para GCC)
CloudAppEvents Eventos que envolvem contas e objetos no Office 365 e noutros serviços e aplicações na cloud
CloudAuditEvents Eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud
DeviceEvents Vários tipos de eventos, incluindo eventos acionados por controlos de segurança, como o Antivírus Microsoft Defender e a proteção contra exploits
DeviceFileCertificateInfo Informações de certificado de ficheiros assinados obtidos a partir de eventos de verificação de certificados em pontos finais
DeviceFileEvents Criação de ficheiros, modificação e outros eventos do sistema de ficheiros
DeviceImageLoadEvents Eventos de carregamento da DLL
DeviceInfo Informações do computador, incluindo informações do SO
DeviceLogonEvents Inícios de sessão e outros eventos de autenticação em dispositivos
DeviceNetworkEvents Ligação de rede e eventos relacionados
DeviceNetworkInfo Propriedades de rede de dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes e domínios ligados
DeviceProcessEvents Criação de processos e eventos relacionados
DeviceRegistryEvents Criação e modificação de entradas de registo
DeviceTvmHardwareFirmware Informações de hardware e firmware dos dispositivos conforme verificado pelo Gestão de vulnerabilidades do Defender
DeviceTvmInfoGathering Gestão de vulnerabilidades do Defender eventos de avaliação, incluindo estados da superfície de configuração e ataque
DeviceTvmInfoGatheringKB Metadados para eventos de avaliação recolhidos na DeviceTvmInfogathering tabela
DeviceTvmSecureConfigurationAssessment Gestão de vulnerabilidades do Microsoft Defender eventos de avaliação, que indicam o estado de várias configurações de segurança nos dispositivos
DeviceTvmSecureConfigurationAssessmentKB Base de dados de conhecimento de várias configurações de segurança utilizadas por Gestão de vulnerabilidades do Microsoft Defender para avaliar dispositivos; inclui mapeamentos para várias normas e referências
DeviceTvmSoftwareEvidenceBeta Informações de provas sobre onde foi detetado um software específico num dispositivo
DeviceTvmSoftwareInventory Inventário de software instalado em dispositivos, incluindo as informações da versão e o estado de fim do suporte
DeviceTvmSoftwareVulnerabilities Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade
DeviceTvmSoftwareVulnerabilitiesKB Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente
EmailAttachmentInfo Informações sobre ficheiros anexados a e-mails
EmailEvents Eventos de e-mail do Microsoft 365, incluindo entrega de e-mail e eventos de bloqueio
EmailPostDeliveryEvents Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário
EmailUrlInfo Informações sobre URLs em e-mails
ExposureGraphEdges Gestão da exposição de segurança da Microsoft informações de limite do gráfico de exposição fornecem visibilidade sobre as relações entre entidades e recursos no gráfico
ExposureGraphNodes Gestão da exposição de segurança da Microsoft informações do nó de gráfico de exposição, sobre entidades organizacionais e as respetivas propriedades
IdentityDirectoryEvents Eventos que envolvem um controlador de domínio no local a executar o Active Directory (AD). Esta tabela abrange uma variedade de eventos relacionados com identidades e eventos de sistema no controlador de domínio.
IdentityInfo Informações de conta de várias origens, incluindo Microsoft Entra ID
IdentityLogonEvents Eventos de autenticação no Active Directory e no Microsoft serviços online
IdentityQueryEvents Consultas para objetos do Active Directory, tais como utilizadores, grupos, dispositivos e domínios
UrlClickEvents Ligações Seguras clica a partir de mensagens de e-mail, Teams e aplicações Office 365

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.