Förstå det avancerade jaktschemat

Obs!

Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.

Gäller för:

  • Microsoft Defender XDR

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Det avancerade jaktschemat består av flera tabeller som innehåller antingen händelseinformation eller information om enheter, aviseringar, identiteter och andra entitetstyper. För att effektivt skapa frågor som sträcker sig över flera tabeller måste du förstå tabellerna och kolumnerna i det avancerade jaktschemat.

Hämta schemainformation

När du skapar frågor använder du den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:

  • Tabellbeskrivning – typ av data som finns i tabellen och källan till dessa data.
  • Kolumner – alla kolumner i tabellen.
  • Åtgärdstyper – möjliga värden i ActionType kolumnen som representerar de händelsetyper som stöds av tabellen. Den här informationen tillhandahålls endast för tabeller som innehåller händelseinformation.
  • Exempelfråga – exempelfrågor som innehåller hur tabellen kan användas.

Komma åt schemareferensen

Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens för att söka efter en tabell.

Sidan Schemareferens på sidan Avancerad jakt i Microsoft Defender-portalen

Lär dig schematabellerna

Följande referens visar alla tabeller i schemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen. Tabell- och kolumnnamn visas också i Microsoft Defender XDR som en del av schemarepresentationen på skärmen för avancerad jakt.

Tabellnamn Beskrivning
AADSignInEventsBeta Microsoft Entra interaktiva och icke-interaktiva inloggningar
AADSpnSignInEventsBeta Microsoft Entra tjänstens huvudnamn och inloggningar för hanterad identitet
AlertEvidence Filer, IP-adresser, URL:er, användare eller enheter som är associerade med aviseringar
AlertInfo Aviseringar från Microsoft Defender för Endpoint, Microsoft Defender för Office 365, Microsoft Defender for Cloud Apps och Microsoft Defender for Identity, inklusive allvarlighetsgradsinformation och hotkategorisering
BehaviorEntities Beteendedatatyper i Microsoft Defender for Cloud Apps
BehaviorInfo Aviseringar från Microsoft Defender for Cloud Apps
CloudAppEvents Händelser som involverar konton och objekt i Office 365 och andra molnappar och tjänster
DeviceEvents Flera händelsetyper, inklusive händelser som utlöses av säkerhetskontroller, till exempel Microsoft Defender Antivirus och sårbarhetsskydd
DeviceFileCertificateInfo Certifikatinformation för signerade filer som hämtats från certifikatverifieringshändelser på slutpunkter
DeviceFileEvents Skapa, ändra och andra filsystemhändelser
DeviceImageLoadEvents DLL-inläsningshändelser
DeviceInfo Datorinformation, inklusive os-information
DeviceLogonEvents Inloggningar och andra autentiseringshändelser på enheter
DeviceNetworkEvents Nätverksanslutning och relaterade händelser
DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive fysiska kort, IP- och MAC-adresser samt anslutna nätverk och domäner
DeviceProcessEvents Skapa processer och relaterade händelser
DeviceRegistryEvents Skapa och ändra registerposter
DeviceTvmHardwareFirmware Information om maskinvara och inbyggd programvara för enheter som kontrolleras av Defender Vulnerability Management
DeviceTvmInfoGathering Utvärderingshändelser för Sårbarhetshantering i Defender, inklusive konfigurations- och attackytans tillstånd
DeviceTvmInfoGatheringKB Metadata för utvärderingshändelser som samlas in i DeviceTvmInfogathering tabellen
DeviceTvmSecureConfigurationAssessment Microsoft Defender – hantering av säkerhetsrisker utvärderingshändelser som anger status för olika säkerhetskonfigurationer på enheter
DeviceTvmSecureConfigurationAssessmentKB Kunskapsbas för olika säkerhetskonfigurationer som används av Microsoft Defender – hantering av säkerhetsrisker för att utvärdera enheter, innehåller mappningar till olika standarder och riktmärken
DeviceTvmSoftwareEvidenceBeta Bevisinformation om var en specifik programvara upptäcktes på en enhet
DeviceTvmSoftwareInventory Inventering av programvara som är installerad på enheter, inklusive deras versionsinformation och status för supportens slut
DeviceTvmSoftwareVulnerabilities Programvarusårbarheter på enheter och listan över tillgängliga säkerhetsuppdateringar som åtgärdar varje säkerhetsrisk
DeviceTvmSoftwareVulnerabilitiesKB Kunskapsbas för offentligt avslöjade sårbarheter, inklusive om exploateringskod är offentligt tillgänglig
EmailAttachmentInfo Information om filer som är kopplade till e-postmeddelanden
EmailEvents E-posthändelser i Microsoft 365, inklusive e-postleverans och blockerande händelser
EmailPostDeliveryEvents Säkerhetshändelser som inträffar efter leverans efter att Microsoft 365 har levererat e-postmeddelandena till mottagarens postlåda
EmailUrlInfo Information om URL:er för e-postmeddelanden
ExposureGraphEdges Microsoft Security Exposure Management exponering graph edge information ger insyn i relationer mellan entiteter och tillgångar i diagrammet
ExposureGraphNodes Information om exponeringsdiagramnoder i Microsoft Security Exposure Management, om organisationsentiteter och deras egenskaper
IdentityDirectoryEvents Händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen beskriver en rad identitetsrelaterade händelser och systemhändelser på domänkontrollanten.
IdentityInfo Kontoinformation från olika källor, inklusive Microsoft Entra ID
IdentityLogonEvents Autentiseringshändelser i Active Directory och Microsoft onlinetjänster
IdentityQueryEvents Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner
UrlClickEvents Säkra länkar klickar från e-postmeddelanden, Teams och Office 365 appar

Tips

Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.