Compreender o esquema de busca avançada
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
O esquema avançado de caça é composto por várias tabelas que fornecem informações de evento ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar efetivamente consultas que abrangem várias tabelas, você precisa entender as tabelas e as colunas no esquema de busca avançado.
Obter informações de esquema
Ao construir consultas, use a referência de esquema interno para obter rapidamente as seguintes informações sobre cada tabela no esquema:
- Descrição das tabelas– tipo de dados contidos na tabela e na origem desses dados.
- Colunas: todas as colunas da tabela.
- Tipos de ação – valores possíveis na
ActionTypecoluna que representa os tipos de evento compatíveis com a tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de evento. - Consulta de exemplo— consultas de exemplo que apresentam como a tabela pode ser utilizada.
Acessar a referência de esquema
Para acessar rapidamente a referência de esquema, selecione a ação Exibir referência ao lado do nome da tabela na representação de esquema. Você também pode selecionar referência de esquema para pesquisar uma tabela.
Conheça as tabelas de esquema
A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela se vincula a uma página que descreve os nomes das colunas da tabela. Nomes de tabela e coluna também são listados em Microsoft Defender XDR como parte da representação de esquema na tela de caça avançada.
| Nome da tabela | Descrição |
|---|---|
| AADSignInEventsBeta | Microsoft Entra entradas interativas e não interativas |
| AADSpnSignInEventsBeta | Microsoft Entra entidade de serviço e entradas de identidade gerenciada |
| AlertEvidence | Arquivos, endereços IP, URLs, usuários ou dispositivos associados a alertas |
| AlertInfo | Alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças |
| BehaviorEntities | Tipos de dados de comportamento em Microsoft Defender para Aplicativos de Nuvem |
| BehaviorInfo | Alertas de Microsoft Defender para Aplicativos de Nuvem |
| CloudAppEvents | Eventos envolvendo contas e objetos no Office 365 e outros aplicativos e serviços de nuvem |
| DeviceEvents | Vários tipos de eventos, incluindo eventos disparados por controles de segurança, como Microsoft Defender Antivírus e proteção de exploração |
| DeviceFileCertificateInfo | Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos de extremidade |
| DeviceFileEvents | Criação de arquivos, modificação e outros eventos do sistema de arquivos |
| DeviceImageLoadEvents | Carregamento de eventos DLL |
| DeviceInfo | Informações do computador, incluindo informações do sistema operacional |
| DeviceLogonEvents | Entradas e outros eventos de autenticação em dispositivos |
| DeviceNetworkEvents | Conexão de rede e eventos relacionados |
| DeviceNetworkInfo | Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes e domínios conectados |
| DeviceProcessEvents | Criação de processos e eventos relacionados |
| DeviceRegistryEvents | Criação e modificação de entradas do registro |
| DeviceTvmHardwareFirmware | Informações de hardware e firmware de dispositivos, conforme verificado pelo Gerenciamento de Vulnerabilidades do Defender |
| DeviceTvmInfoGathering | Eventos de avaliação do Gerenciamento de Vulnerabilidades do Defender, incluindo estados da área de superfície de configuração e ataque |
| DeviceTvmInfoGatheringKB | Metadados para eventos de avaliação coletados na DeviceTvmInfogathering tabela |
| DeviceTvmSecureConfigurationAssessment | Gerenciamento de Vulnerabilidades do Microsoft Defender eventos de avaliação, indicando o status de várias configurações de segurança em dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de dados de conhecimento de várias configurações de segurança usadas por Gerenciamento de Vulnerabilidades do Microsoft Defender para avaliar dispositivos; inclui mapeamentos para vários padrões e benchmarks |
| DeviceTvmSoftwareEvidenceBeta | Informações de evidência sobre onde um software específico foi detectado em um dispositivo |
| DeviceTvmSoftwareInventory | Inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim de suporte |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade |
| DeviceTvmSoftwareVulnerabilitiesKB | Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente |
| EmailAttachmentInfo | Informações sobre arquivos anexados a emails |
| EmailEvents | Eventos de email do Microsoft 365, incluindo a entrega de email e eventos de bloqueio |
| EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, depois que o Microsoft 365 entrega os emails para a caixa de correio do destinatário |
| EmailUrlInfo | Informações sobre URLs nos emails |
| ExposureGraphEdges | As informações de borda do grafo de exposição do Gerenciamento de Exposição de Segurança da Microsoft fornecem visibilidade das relações entre entidades e ativos no grafo |
| ExposureGraphNodes | Informações sobre o nó do grafo de exposição do Gerenciamento de Exposição de Segurança da Microsoft, sobre entidades organizacionais e suas propriedades |
| IdentityDirectoryEvents | Eventos envolvendo um controlador de domínio local executando o AD (Active Directory). Essa tabela abrange um intervalo de eventos relacionados à identidade, bem como eventos do sistema no controlador de domínio. |
| IdentityInfo | Informações da conta de várias fontes, incluindo Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticação no Active Directory e serviços online da Microsoft |
| IdentityQueryEvents | Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios |
| UrlClickEvents | Links Seguros clica em mensagens de email, equipes e aplicativos de Office 365 |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Trabalhar com os resultados da consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de