重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階狩獵架構由多個表格組成,提供事件資訊或裝置、警示、身份及其他實體類型的資訊。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。
取得結構資訊
在建構查詢時,利用內建的結構參考快速取得結構中每個資料表的以下資訊:
- 資料表描述——資料表中包含的資料類型及其來源。
- 欄位——表格中所有欄位。
-
動作類型——欄位中
ActionType可能的值,代表資料表所支援的事件類型。 這項資訊僅適用於包含事件資訊的資料表。 - 範例查詢——展示表格如何被利用的範例查詢。
存取結構參考
若要快速存取結構參考,請在結構表示中選擇資料表名稱旁的 「檢視參考 」動作。 你也可以選擇 Schema 參考 來搜尋資料表。
學習結構表
以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 表格名稱與欄位名稱也會在 Microsoft Defender 全面偵測回應中列出,作為進階搜尋畫面的結構表示之一。
| 表格名稱 | 描述 |
|---|---|
| AADSignInEventsBeta | Microsoft Entra 互動式與非互動式登入 |
| AADSpnSignInEventsBeta | Microsoft Entra 服務主體與受管理身份登入 |
| AIAgentsInfo (預覽) | 關於使用 Microsoft Copilot Studio 建立的 AI 代理的資訊,包括代理設定與所有權細節 |
| AlertEvidence | 與警報相關的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自適用於端點的 Microsoft Defender、Microsoft Defender的警示,Office 365、Microsoft Defender for Cloud Apps和適用於身分識別的 Microsoft Defender,包括嚴重性資訊與威脅分類 |
| BehaviorEntities (預覽) | (GCC) 無法提供Microsoft Defender for Cloud Apps (行為的檔案、程序、裝置、使用者及其他) ,UEBA) (使用者與實體行為分析 |
| BehaviorInfo (預覽) | 來自 Microsoft Defender for Cloud Apps (的行為無法在 GCC) 及 UEBA (使用者與實體行為分析中取得) |
| CampaignInfo (預覽) | Email Microsoft Defender 為 Office 365 識別的活動 |
| CloudAppEvents | Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件 |
| CloudAuditEvents (預覽) | 針對由組織的 Microsoft Defender for Cloud 保護的各種雲端平台進行雲端稽核活動 |
| CloudProcessEvents (預覽) | 針對由組織 Microsoft Defender for Containers 保護的各種雲端平台的雲端處理事件 |
| CloudStorageAggregatedEvents (預覽) | 雲端儲存活動與相關事件 |
| DataSecurityBehaviors (預覽) | 關於違反 Microsoft Purview 解決方案套件中使用者定義或預設政策的潛在可疑使用者行為的洞見 |
| DataSecurityEvents (預覽) | 關於違反 Microsoft Purview 解決方案套件中使用者定義或預設政策的使用者活動資訊 |
| DeviceBaselineComplianceAssessment (預覽) | 基線合規評估快照,顯示與裝置基線設定檔相關的各種安全配置狀態 |
| DeviceBaselineComplianceAssessmentKB (預覽) | 關於基線合規用以評估裝置的各種安全配置資訊 |
| DeviceBaselineComplianceProfiles (預覽) | 用於監控裝置基線合規性的基線設定檔 |
| DeviceEvents | 多種事件類型,包括由安全控制(如 Microsoft Defender 防毒軟體)及漏洞防護所觸發的事件 |
| DeviceFileCertificateInfo | 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊 |
| DeviceFileEvents | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括作業系統資訊 |
| DeviceLogonEvents | 登入和其他裝置上的驗證事件 |
| DeviceNetworkEvents | 網路連結與相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域 |
| DeviceProcessEvents | 流程建立與相關事件 |
| DeviceRegistryEvents | 登錄項目的建立及修改 |
| DeviceTvmBrowserExtensions (預覽) | 在 Microsoft Defender 弱點管理裝置上發現的瀏覽器擴充功能安裝 |
| DeviceTvmBrowserExtensionsKB (預覽) | 瀏覽器擴充功能細節及權限資訊,請參考 Microsoft Defender 弱點管理瀏覽器擴充功能頁面 |
| DeviceTvmCertificateInfo (Preview) | 組織內裝置的憑證資訊來自 Microsoft Defender 弱點管理 |
| DeviceTvmHardwareFirmware | 由 Defender 弱點管理檢查的裝置硬體與韌體資訊 |
| DeviceTvmInfoGathering | Defender 弱點管理評估事件,包括配置與攻擊面區域狀態 |
| DeviceTvmInfoGatheringKB | 表格中 DeviceTvmInfogathering 收集的評估事件元資料 |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 弱點管理評估事件,顯示裝置上各種安全配置的狀態 |
| DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 弱點管理用來評估裝置的各種安全配置知識庫;包含與各種標準及基準測試的對應 |
| DeviceTvmSoftwareEvidenceBeta | 關於特定軟體在裝置上被偵測到的證據資訊 |
| DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
| DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼 |
| DisruptionAndResponseEvents (預覽) | Microsoft Defender 全面偵測回應中的自動攻擊中斷事件 |
| EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
| EmailPostDeliveryEvents | 安全事件發生於送達後,Microsoft 365 將郵件送達收件人信箱後 |
| EmailUrlInfo | 電子郵件 URL 相關資訊 |
| EntraIdSignInEvents (預覽) | Microsoft Entra 互動式與非互動式登入 |
| EntraIdSpnSignInEvents (預覽) | Microsoft Entra 服務主體與受管理身份登入 |
| ExposureGraphEdges | Microsoft 安全性暴露風險管理的暴露圖邊緣資訊提供圖中實體與資產間關係的可視化 |
| ExposureGraphNodes | Microsoft 安全性暴露風險管理暴露圖節點資訊,關於組織實體及其屬性 |
| FileMaliciousContentInfo (預覽) | 這些檔案由 Microsoft Defender for Office 365 在 SharePoint Online、OneDrive 及 Microsoft Teams 中處理。 |
| GraphApiAuditEvents (預覽) | Microsoft Entra ID API 對租戶中資源向 Microsoft 圖形 API 發出的請求 |
| IdentityAccountInfo (預覽) | 帳號資訊來自多個來源,包括 Microsoft Entra ID。 此表格同時包含擁有該帳戶的身份資訊及連結。 |
| IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
| IdentityEvents (預覽) | 從其他雲端身份服務提供者獲得的身份事件資訊 |
| IdentityInfo | 帳號資訊來自多個來源,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
| IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
| 訊息事件 | 在傳遞時,組織內部傳送與接收的訊息 |
| 訊息後傳遞事件 | 在您的組織中,傳送 Microsoft Teams 訊息後發生的安全事件 |
| 訊息網址資訊 | 透過 Microsoft Teams 訊息在你組織內傳送的網址 |
| OAuthAppInfo (預覽) | Microsoft 365 連接的 OAuth 應用程式註冊於 Microsoft Entra ID,並可透過 Defender for Cloud Apps 應用程式治理功能取得 |
| UrlClickEvents | 安全連結可點擊電子郵件、Teams 及 Office 365 應用程式 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。