Поделиться через


Общие сведения о схеме расширенной охоты на угрозы

Область применения:

  • Microsoft Defender XDR

Важно!

Некоторые сведения относятся к предварительно выпущенному продукту, который может быть существенно изменен перед выпуском. Корпорация Майкрософт не дает явных или подразумеваемых гарантий относительно предоставленных здесь сведений.

Расширенная схема охоты состоит из нескольких таблиц, которые предоставляют сведения о событиях или сведения об устройствах, оповещениях, удостоверениях и других типах сущностей. Для эффективного построения запросов, охватывающих несколько таблиц, необходимо понимать, что такое таблицы и столбцы в схеме расширенной охоты на угрозы

Получение сведений о схеме

При создании запросов используйте встроенную ссылку на схему, чтобы быстро получить следующие сведения о каждой таблице в схеме:

  • Описание таблиц — тип данных, содержащихся в таблице, и источник этих данных.
  • Столбцы — все столбцы в таблице.
  • Типы действий — возможные значения в столбце ActionType , представляющего типы событий, поддерживаемые таблицей. Эти сведения предоставляются только для таблиц, содержащих сведения о событиях.
  • Пример запроса — примеры запросов, в которые показано, как можно использовать таблицу.

Доступ к справочнику по схеме

Чтобы быстро получить доступ к ссылке на схему, выберите действие Просмотреть ссылку рядом с именем таблицы в представлении схемы. Вы также можете выбрать ссылку на схему , чтобы найти таблицу.

Страница

Сведения о таблицах схем

В приведенной ниже ссылке перечислены все таблицы в схеме. Каждое название таблицы содержит ссылку на страницу, описывающую имена столбцов для этой таблицы. Имена таблиц и столбцов также перечислены в Microsoft Defender XDR как часть представления схемы на экране расширенной охоты.

Имя таблицы Описание
AADSignInEventsBeta Microsoft Entra интерактивных и неинтерактивных входов
AADSpnSignInEventsBeta Microsoft Entra субъекта-службы и входа с управляемым удостоверением
AlertEvidence Файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениями
AlertInfo Оповещения от Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Defender for Cloud Apps и Microsoft Defender для удостоверений, включая сведения о серьезности и классификацию угроз
BehaviorEntities (предварительная версия) Типы данных поведения в Microsoft Defender for Cloud Apps (недоступны для GCC)
BehaviorInfo (предварительная версия) Оповещения от Microsoft Defender for Cloud Apps (недоступны для GCC)
CloudAppEvents События, связанные с учетными записями и объектами в Office 365 и других облачных приложениях и службах
CloudAuditEvents (предварительная версия) События аудита облака для различных облачных платформ, защищенных Microsoft Defender организации для облака
CloudProcessEvents (предварительная версия) События облачных процессов для различных облачных платформ, защищенных Microsoft Defender организации для контейнеров
DeviceEvents Несколько типов событий, включая события, активируемые элементами управления безопасностью, такими как Microsoft Defender антивирусная программа и защита от эксплойтов
DeviceFileCertificateInfo Сведения о сертификатах подписанных файлов, полученные из событий проверки сертификатов на конечных точках
DeviceFileEvents Создание файла, изменение и другие события файловой системы
DeviceImageLoadEvents События загрузки библиотек DLL
DeviceInfo Сведения о компьютере, в том числе данные об ОС
DeviceLogonEvents Входы и другие события проверки подлинности на устройствах
DeviceNetworkEvents Сетевое подключение и связанные события
DeviceNetworkInfo Свойства сети устройств, включая физические адаптеры, IP-и MAC-адреса, а также подключенные сети и домены.
DeviceProcessEvents Создание процессов и связанных с ними событий
DeviceRegistryEvents Создание и изменение записей реестра
DeviceTvmHardwareFirmware Сведения об оборудовании и встроенном ПО устройств, проверенные Управление уязвимостями Defender
DeviceTvmInfoGathering события оценки Управление уязвимостями Defender, включая состояния конфигурации и области атаки
DeviceTvmInfoGatheringKB Метаданные для событий оценки, собранные DeviceTvmInfogathering в таблице
DeviceTvmSecureConfigurationAssessment Управление уязвимостями Microsoft Defender событий оценки, указывающих состояние различных конфигураций безопасности на устройствах
DeviceTvmSecureConfigurationAssessmentKB База знаний о различных конфигурациях безопасности, используемых Управление уязвимостями Microsoft Defender для оценки устройств; включает сопоставления с различными стандартами и тестами производительности
DeviceTvmSoftwareEvidenceBeta Сведения о том, где было обнаружено определенное программное обеспечение на устройстве
DeviceTvmSoftwareInventory Инвентаризация программного обеспечения, установленного на устройствах, включая сведения об их версии и состоянии окончания поддержки
DeviceTvmSoftwareVulnerabilities Уязвимости программного обеспечения, найденные на устройствах, и список доступных обновлений для системы безопасности, которые закрывают каждую уязвимость
DeviceTvmSoftwareVulnerabilitiesKB База знаний уязвимостей, о которых сообщалось в открытых источниках, включая информацию о том, является ли эксплойт общедоступным.
EmailAttachmentInfo Сведения о файлах, вложенных в сообщения электронной почты
EmailEvents События электронной почты Microsoft 365, в том числе события доставки и блокирования электронной почты
EmailPostDeliveryEvents События безопасности, которые происходят после доставки, после того, как Microsoft 365 доставляет сообщения электронной почты в почтовый ящик получателя
EmailUrlInfo Сведения об URL-адресах в сообщениях электронной почты
ExposureGraphEdges Управление рисками Microsoft Security сведения о границах графа экспозиции обеспечивают видимость связей между сущностями и ресурсами в графе
ExposureGraphNodes Управление рисками Microsoft Security сведений об узле графа, о сущностях организации и их свойствах
IdentityDirectoryEvents События, связанные с использованием локального контроллера домена с Active Directory (AD). Эта таблица охватывает диапазон событий, связанных с удостоверениями, и системные события на контроллере домена.
IdentityInfo Сведения об учетной записи из различных источников, включая Microsoft Entra ID
IdentityLogonEvents События проверки подлинности в Active Directory и веб-службах Майкрософт
IdentityQueryEvents Запросы объектов Active Directory, таких как пользователи, группы, устройства и домены
UrlClickEvents Безопасные ссылки щелкают сообщения электронной почты, Teams и приложения Office 365

Совет

Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.