重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階狩獵結構會定期更新,以新增新的資料表和欄位。 在某些情況下,現有欄位名稱會被重新命名或替換,以改善使用者體驗。 請參閱本文以檢視可能影響您查詢的命名變更。
命名變更會自動套用於儲存在 Microsoft Defender 全面偵測回應中的查詢,包括由自訂偵測規則使用的查詢。 你不需要手動更新這些查詢。 不過,您需要更新以下查詢:
- 使用 API 執行的查詢
- 儲存在 Microsoft Defender 全面偵測回應之外的其他查詢
2025年11月
進階狩獵結果中的布林場值將於 2026 年 2 月 25 日從數值 (
1與0) 改為文字 (True與False) 。 雖然您的查詢和自訂偵測規則不會受到此變更影響,但您可能想更新自動化流程 (例如腳本、操作手冊或解析這些數值) 整合。AADSignInEventsBeta和AADSpnSignInEventsBeta表分別被替換為EntraIdSignInEvents和EntraIdSpnSignInEvents。 這些變更旨在移除先前表格的預覽狀態,並與現有產品品牌保持一致。EntraIdSignInEventsEntraIdSpnSignInEvents這些與桌子現在已經開放。 舊有AADSignInEventsBeta資料表AADSpnSignInEventsBeta會在結構中保留 30 天,以便更新查詢。 你的自訂偵測會自動更新,不需要任何更改。 將於 2025AADSignInEventsBetaAADSpnSignInEventsBeta年 12 月 9 日,並從 schema 中移除。
2025年9月
在 AADSignInEventsBeta 表格中,該 AadDeviceId 欄位將被一個新的欄位取代,稱為 EntraIdDeviceId,以符合目前的產品品牌定位。 舊有 AadDeviceId 欄位會在結構中保留 30 天,以便更新查詢。 30天後,將 AadDeviceId 從該計畫中移除。
2025年5月
在表格中 IdentityInfo ,欄位 SourceProvider 被欄位取代 IdentityEnvironment 。 此變更是為了簡化IdentityInfo統一表格,並在 Microsoft Sentinel 日誌分析中設置類似表格。 請注意,統一表中新增了一個帶有 s) 的欄位 SourceProviders , (。 本欄指的是該身份帳號的來源提供者。
2021 年 5 月
該 AppFileEvents 表格已被棄用。 表格 CloudAppEvents 包含過去在 AppFileEvents 表格中的資訊,以及雲端服務中的其他活動。
2021 年 3 月
該 DeviceTvmSoftwareInventoryVulnerabilities 表格已被棄用。 取而代之的是 和 DeviceTvmSoftwareInventoryDeviceTvmSoftwareVulnerabilities 表格。
2021 年 2 月
在 EmailAttachmentInfo 和 EmailEvents 資料表中,
MalwareFilterVerdict欄位PhishFilterVerdict已被欄位取代ThreatTypes。MalwareDetectionMethod與PhishDetectionMethod柱也被柱子取代DetectionMethods。 這種簡化讓我們能在新欄位下提供更多資訊。 地圖附於下方。表格名稱 原始欄位名稱 新欄名 變更原因 EmailAttachmentInfoMalwareDetectionMethod
PhishDetectionMethodDetectionMethods包含更多偵測方法 EmailAttachmentInfoMalwareFilterVerdictPhishFilterVerdictThreatTypes加入更多威脅類型 EmailEventsMalwareDetectionMethod
PhishDetectionMethodDetectionMethods包含更多偵測方法 EmailEventsMalwareFilterVerdictPhishFilterVerdictThreatTypes加入更多威脅類型 在
EmailAttachmentInfoandEmailEvents表格中,新增欄位ThreatNames以提供更多關於電子郵件威脅的資訊。 本欄包含像是垃圾郵件(Spam)或釣魚(Phish)等數值。在 DeviceInfo 表格中,該
DeviceObjectId欄位被根據客戶回饋的欄位取代AadDeviceId。在 DeviceEvents 表格中,數個 ActionType 名稱被修改,以更好地反映動作的描述。 變更詳情請見下方。
表格名稱 原始 ActionType 名稱 新 ActionType 名稱 變更原因 DeviceEventsUsbDriveMountUsbDriveMounted顧客回饋 DeviceEventsUsbDriveUnmountUsbDriveUnmounted顧客回饋 DeviceEventsWriteProcessMemoryApiCallWriteToLsassProcessMemory顧客回饋
2021 年 1 月
| 資料行名稱 | 原始價值名稱 | 新價值名稱 | 變更原因 |
|---|---|---|---|
DetectionSource |
Defender for Cloud Apps | Microsoft Defender for Cloud Apps | 品牌重塑 |
DetectionSource |
WindowsDefenderAtp | EDR | 品牌重塑 |
DetectionSource |
WindowsDefenderAv | 防毒軟體 | 品牌重塑 |
DetectionSource |
WindowsDefenderSmartScreen | 智慧螢幕 | 品牌重塑 |
DetectionSource |
CustomerTI | 自訂 TI | 品牌重塑 |
DetectionSource |
OfficeATP | 適用於 Office 365 的 Microsoft Defender | 品牌重塑 |
DetectionSource |
MTP | Microsoft Defender XDR | 品牌重塑 |
DetectionSource |
AzureATP | 適用於身分識別的 Microsoft Defender | 品牌重塑 |
DetectionSource |
自訂偵測 | 自訂偵測 | 品牌重塑 |
DetectionSource |
自動化調查 | 自動化調查 | 品牌重塑 |
DetectionSource |
威脅專家 | Microsoft 威脅專家 | 品牌重塑 |
DetectionSource |
第三方 TI | 第三方感測器 | 品牌重塑 |
ServiceSource |
Microsoft Defender ATP | 適用於端點的 Microsoft Defender | 品牌重塑 |
ServiceSource |
Microsoft 威脅防護 | Microsoft Defender XDR | 品牌重塑 |
ServiceSource |
Office 365 ATP | 適用於 Office 365 的 Microsoft Defender | 品牌重塑 |
ServiceSource |
Azure ATP | 適用於身分識別的 Microsoft Defender | 品牌重塑 |
DetectionSource 可在 AlertInfo 表格中取得。
ServiceSource 可在 AlertEvidence 和 AlertInfo 表格中取得。
2020 年 12 月
| 表格名稱 | 原始欄位名稱 | 新欄名 | 變更原因 |
|---|---|---|---|
| EmailEvents | FinalEmailAction |
EmailAction |
顧客回饋 |
| EmailEvents | FinalEmailActionPolicy |
EmailActionPolicy |
顧客回饋 |
| EmailEvents | FinalEmailActionPolicyGuid |
EmailActionPolicyGuid |
顧客回饋 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。