重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階搜捕架構是由多個資料表所組成,這些資料表提供事件資訊或裝置、警示、身分識別和其他實體類型的相關資訊。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。
取得結構描述資訊
建構查詢時,請使用內建結構描述參考,快速取得結構描述中每個資料表的下列資訊:
- 表格描述 — 表格中包含的資料類型和該資料的來源。
- 直欄 - 表格中的所有直欄。
-
動作類型 — 資料行中
ActionType代表資料表支援的事件類型的可能值。 這項資訊僅適用於包含事件資訊的資料表。 - 範例查詢 — 範例查詢,其中包含如何使用資料表。
存取結構描述參考
若要快速存取結構描述參照,請選取結構描述表示中表格名稱旁邊的 檢視參照 動作。 您也可以選取 結構描述參考 來 搜尋表格。
![Microsoft Defender 入口網站中 [進階搜捕] 頁面上的 [架構參考] 頁面](/zh-tw/defender/media/understand-schema-1.png#lightbox)
瞭解結構描述資料表
以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 資料表和資料行名稱也會列在 Microsoft Defender 全面偵測回應中,作為進階搜捕畫面上架構表示法的一部分。
| 表格名稱 | 描述 |
|---|---|
| AADSignInEventsBeta | Microsoft Entra 互動式和非互動式登入 |
| AADSpnSignInEventsBeta | Microsoft Entra 服務主體和受控識別登入 |
| AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自身分識別的適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps和Microsoft Defender的警示,包括嚴重性資訊和威脅分類 |
| BehaviorEntities (預覽) | Microsoft Defender for Cloud Apps (中的行為資料類型不適用於 GCC) |
| BehaviorInfo (預覽) | 來自 Microsoft Defender for Cloud Apps (的警示不適用於 GCC) |
| CloudAppEvents | Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件 |
| CloudAuditEvents (預覽) | 受組織適用於雲端的 Microsoft Defender 保護之各種雲端平臺的雲端稽核事件 |
| CloudProcessEvents (預覽) | 受組織適用於容器的 Microsoft Defender 所保護之各種雲端平臺的雲端程式事件 |
| CloudStorageAggregatedEvents (預覽) | 雲端儲存活動和相關事件 |
| DataSecurityBehaviors (預覽) | 違反 Microsoft Purview 解決方案套件中設定的使用者定義或預設原則的潛在可疑使用者行為的深入解析 |
| DataSecurityEvents (預覽) | 違反 Microsoft Purview 解決方案套件中使用者定義或預設原則的使用者活動相關資訊 |
| DeviceBaselineComplianceAssessment (預覽) | 基準合規性評估快照,指出與裝置上基準設定檔相關的各種安全性設定狀態 |
| DeviceBaselineComplianceAssessmentKB (預覽) | 基準合規性用來評估裝置之各種安全性設定的相關資訊 |
| DeviceBaselineComplianceProfiles (預覽) | 用於監視裝置基準合規性的基準設定檔 |
| DeviceEvents | 多種事件類型,包括安全性控制所觸發的事件,例如 Microsoft Defender 防病毒軟體和惡意探索防護 |
| DeviceFileCertificateInfo | 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊 |
| DeviceFileEvents | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括作業系統資訊 |
| DeviceLogonEvents | 登入和其他裝置上的驗證事件 |
| DeviceNetworkEvents | 網路連結與相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域 |
| DeviceProcessEvents | 流程建立與相關事件 |
| DeviceRegistryEvents | 登錄項目的建立及修改 |
| DeviceTvmBrowserExtensions (預覽) | 從 Microsoft Defender 弱點管理 在裝置上找到的瀏覽器延伸模組安裝 |
| DeviceTvmBrowserExtensionsKB (預覽) | Microsoft Defender 弱點管理瀏覽器延伸模組頁面中使用的瀏覽器延伸模組詳細數據和許可權資訊 |
| DeviceTvmCertificateInfo (預覽) | 來自 Microsoft Defender 弱點管理 的組織中裝置的憑證資訊 |
| DeviceTvmHardwareFirmware | Defender 弱點管理所檢查的裝置硬體和韌體資訊 |
| DeviceTvmInfoGathering | Defender 弱點管理評估事件,包括設定和受攻擊介面區域狀態 |
| DeviceTvmInfoGatheringKB | 表格中收集的 DeviceTvmInfogathering 評量事件中繼資料 |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 弱點管理評定事件,指出裝置上各種安全性設定的狀態 |
| DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 弱點管理用來評估裝置之各種安全性設定的知識庫;包括各種標準和基準的對應 |
| DeviceTvmSoftwareEvidenceBeta | 有關在裝置上偵測到特定軟體位置的證據資訊 |
| DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
| DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼 |
| DisruptionAndResponseEvents (預覽) | Microsoft Defender 全面偵測回應中的自動攻擊中斷事件 |
| EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
| EmailPostDeliveryEvents | 在 Microsoft 365 將電子郵件傳遞至收件者信箱之後,傳遞後發生的安全性事件 |
| EmailUrlInfo | 電子郵件 URL 相關資訊 |
| EntraIdSignInEvents (預覽) | Microsoft Entra 互動式和非互動式登入 |
| EntraIdSpnSignInEvents (預覽) | Microsoft Entra 服務主體和受控識別登入 |
| ExposureGraphEdges | Microsoft 安全性暴露風險管理 Exposure Graph 邊緣資訊可讓您查看圖形中實體與資產之間的關聯性 |
| ExposureGraphNodes | Microsoft 安全性暴露風險管理暴露圖形節點資訊,關於組織實體及其屬性 |
| GraphApiAuditEvents (預覽) | 對租用戶中資源的 Microsoft 圖形 API 提出的 Microsoft Entra ID API 要求 |
| IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
| IdentityEvents (預覽) | 從其他雲端身分識別服務提供者取得的身分事件相關資訊 |
| IdentityInfo | 來自各種來源的帳戶資訊,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
| IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
| 訊息事件 | 傳送時在組織內傳送和接收的訊息 |
| MessagePostDelivery事件 | 在組織中傳遞 Microsoft Teams 訊息之後發生的安全性事件 |
| 訊息網址資訊 | 透過組織中的 Microsoft Teams 訊息傳送的 URL |
| OAuthAppInfo (預覽) | 向 Microsoft Entra ID 註冊的 Microsoft 365 連線 OAuth 應用程式,並在適用於 Defender for Cloud Apps 應用程式控管功能中使用 |
| UrlClickEvents | 從電子郵件訊息、Teams 和 Office 365 應用程式點擊的安全連結 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。