Läs på engelska

Dela via


Förstå det avancerade jaktschemat

Gäller för:

  • Microsoft Defender XDR

Viktigt

Viss information i den här artikeln gäller en förhyrd produkt som kan ändras avsevärt innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckta eller underförstådda, med avseende på den information som tillhandahålls här.

Det avancerade jaktschemat består av flera tabeller som innehåller antingen händelseinformation eller information om enheter, aviseringar, identiteter och andra entitetstyper. För att effektivt skapa frågor som sträcker sig över flera tabeller måste du förstå tabellerna och kolumnerna i det avancerade jaktschemat.

Hämta schemainformation

När du skapar frågor använder du den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:

  • Tabellbeskrivning – typ av data som finns i tabellen och källan till dessa data.
  • Kolumner – alla kolumner i tabellen.
  • Åtgärdstyper – möjliga värden i ActionType kolumnen som representerar de händelsetyper som stöds av tabellen. Den här informationen tillhandahålls endast för tabeller som innehåller händelseinformation.
  • Exempelfråga – exempelfrågor som innehåller hur tabellen kan användas.

Komma åt schemareferensen

Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens för att söka efter en tabell.

Sidan Schemareferens på sidan Avancerad jakt i Microsoft Defender-portalen

Lär dig schematabellerna

Följande referens visar alla tabeller i schemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen. Tabell- och kolumnnamn visas också i Microsoft Defender XDR som en del av schemarepresentationen på skärmen för avancerad jakt.

Tabellnamn Beskrivning
AADSignInEventsBeta Microsoft Entra interaktiva och icke-interaktiva inloggningar
AADSpnSignInEventsBeta Microsoft Entra tjänstens huvudnamn och inloggningar för hanterad identitet
AlertEvidence Filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar
AlertInfo Aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity, inklusive allvarlighetsgradsinformation och hotkategorisering
BehaviorEntities (förhandsversion) Beteendedatatyper i Microsoft Defender for Cloud Apps (inte tillgängligt för GCC)
BehaviorInfo (förhandsversion) Aviseringar från Microsoft Defender for Cloud Apps (inte tillgängligt för GCC)
CloudAppEvents Händelser som involverar konton och objekt i Office 365 och andra molnappar och tjänster
CloudAuditEvents (förhandsversion) Granskningshändelser i molnet för olika molnplattformar som skyddas av organisationens Microsoft Defender för molnet
CloudProcessEvents (förhandsversion) Molnprocesshändelser för olika molnplattformar som skyddas av organisationens Microsoft Defender för containrar
DeviceBaselineComplianceAssessment (förhandsversion) Ögonblicksbild av utvärdering av baslinjeefterlevnad, som anger status för olika säkerhetskonfigurationer relaterade till baslinjeprofiler på enheter
DeviceBaselineComplianceAssessmentKB (förhandsversion) Information om olika säkerhetskonfigurationer som används av baslinjeefterlevnad för att utvärdera enheter
DeviceBaselineComplianceProfiles (förhandsversion) Baslinjeprofiler som används för övervakning av enhetsbaslinjeefterlevnad
DeviceEvents Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller, till exempel Microsoft Defender Antivirus och sårbarhetsskydd
DeviceFileCertificateInfo Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter
DeviceFileEvents Skapa, ändra och andra filsystemhändelser
DeviceImageLoadEvents DLL-inläsningshändelser
DeviceInfo Datorinformation, inklusive os-information
DeviceLogonEvents Inloggningar och andra autentiseringshändelser på enheter
DeviceNetworkEvents Nätverksanslutning och relaterade händelser
DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner
DeviceProcessEvents Skapa processer och relaterade händelser
DeviceRegistryEvents Skapa och ändra registerposter
DeviceTvmBrowserExtensions (förhandsversion) Installationer av webbläsartillägg på enheter från Microsoft Defender – hantering av säkerhetsrisker
DeviceTvmBrowserExtensionsKB (förhandsversion) Information om webbläsartillägg och behörighetsinformation som används på sidan Microsoft Defender – hantering av säkerhetsrisker webbläsartillägg
DeviceTvmCertificateInfo (förhandsversion) Certifikatinformation för enheter i organisationen från Microsoft Defender – hantering av säkerhetsrisker
DeviceTvmHardwareFirmware Information om maskinvara och inbyggd programvara för enheter som kontrolleras av Defender – hantering av säkerhetsrisker
DeviceTvmInfoGathering Defender – hantering av säkerhetsrisker utvärderingshändelser inklusive konfigurations- och attackytans tillstånd
DeviceTvmInfoGatheringKB Metadata för utvärderingshändelser som samlas in i DeviceTvmInfogathering tabellen
DeviceTvmSecureConfigurationAssessment Microsoft Defender – hantering av säkerhetsrisker utvärderingshändelser som anger status för olika säkerhetskonfigurationer på enheter
DeviceTvmSecureConfigurationAssessmentKB Kunskapsbas för olika säkerhetskonfigurationer som används av Microsoft Defender – hantering av säkerhetsrisker för att utvärdera enheter, innehåller mappningar till olika standarder och riktmärken
DeviceTvmSoftwareEvidenceBeta Bevisinformation om var en specifik programvara upptäcktes på en enhet
DeviceTvmSoftwareInventory Inventering av programvara som är installerad på enheter, inklusive deras versionsinformation och status för supportens slut
DeviceTvmSoftwareVulnerabilities Programvarusårbarheter på enheter och listan över tillgängliga säkerhetsuppdateringar som åtgärdar varje säkerhetsrisk
DeviceTvmSoftwareVulnerabilitiesKB Kunskapsbas för offentligt avslöjade sårbarheter, inklusive om exploateringskod är offentligt tillgänglig
EmailAttachmentInfo Information om filer som är kopplade till e-postmeddelanden
EmailEvents E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser
EmailPostDeliveryEvents Säkerhetshändelser som inträffar efter leverans efter att Microsoft 365 har levererat e-postmeddelandena till mottagarens postlåda
EmailUrlInfo Information om URL:er för e-postmeddelanden
ExposureGraphEdges Microsoft Security Exposure Management kantinformation för exponeringsdiagram ger insyn i relationer mellan entiteter och tillgångar i grafen
ExposureGraphNodes Microsoft Security Exposure Management information om exponeringsdiagramnoder, om organisationsentiteter och deras egenskaper
IdentityDirectoryEvents Händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen beskriver en rad identitetsrelaterade händelser och systemhändelser på domänkontrollanten.
IdentityInfo Kontoinformation från olika källor, inklusive Microsoft Entra ID
IdentityLogonEvents Autentiseringshändelser i Active Directory och Microsoft onlinetjänster
IdentityQueryEvents Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner
UrlClickEvents Säkra länkar klickar från e-postmeddelanden, Teams och Office 365 appar

Tips

Vill du veta mer? Interagera med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.