了解進階搜捕結構描述
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階 搜捕 架構是由多個數據表所組成,可提供事件資訊或裝置、警示、身分識別和其他實體類型的相關信息。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。
取得架構資訊
建構查詢時,請使用內建架構參考,快速取得架構中每個數據表的下列資訊:
- 數據表描述— 資料表中包含的數據類型,以及該數據的來源。
- 數據列— 資料表中的所有資料行。
-
動作類型- 資料行中可能的
ActionType值,代表數據表所支援的事件類型。 這項資訊僅適用於包含事件資訊的資料表。 - 範例查詢— 範例查詢,其提供數據表的使用方式。
存取架構參考
若要快速存取架構參考,請選取架構表示中數據表名稱旁邊的 [ 檢視參考 ] 動作。 您也可以選取 [架構參考 ] 來搜尋數據表。
![Microsoft Defender 入口網站中 [進階搜捕] 頁面上的 [架構參考] 頁面](/zh-tw/defender/media/understand-schema-1.png#lightbox)
了解架構數據表
以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 數據表和數據行名稱也會列在 Microsoft Defender 全面偵測回應 中,作為進階搜捕畫面上架構表示的一部分。
| 表格名稱 | 描述 |
|---|---|
| AADSignInEventsBeta | Microsoft Entra 互動式和非互動式登入 |
| AADSpnSignInEventsBeta | Microsoft Entra 服務主體和受控識別登入 |
| AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於身分識別的 Microsoft Defender 的警示,包括嚴重性資訊和威脅分類 |
| BehaviorEntities (Preview) | Microsoft Defender for Cloud Apps (中的行為數據類型不適用於 GCC) |
| BehaviorInfo (預覽) | 來自 Microsoft Defender for Cloud Apps (的警示不適用於 GCC) |
| CloudAppEvents | Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件 |
| CloudAuditEvents | 受組織雲端 Microsoft Defender 保護之各種雲端平臺的雲端稽核事件 |
| DeviceEvents | 多個事件類型,包括安全性控制所觸發的事件,例如 Microsoft Defender 防病毒軟體和惡意探索保護 |
| DeviceFileCertificateInfo | 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊 |
| DeviceFileEvents | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括作業系統資訊 |
| DeviceLogonEvents | 登入和其他裝置上的驗證事件 |
| DeviceNetworkEvents | 網路連結與相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域 |
| DeviceProcessEvents | 流程建立與相關事件 |
| DeviceRegistryEvents | 登錄項目的建立及修改 |
| DeviceTvmHardwareFirmware | Defender 弱點管理 核取的裝置硬體和韌體資訊 |
| DeviceTvmInfoGathering | Defender 弱點管理 評估事件,包括設定和攻擊介面區狀態 |
| DeviceTvmInfoGatheringKB | 數據表中所收集評估事件的 DeviceTvmInfogathering 元數據 |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 弱點管理 評量事件,指出裝置上各種安全性設定的狀態 |
| DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 弱點管理 用來評估裝置的各種安全性設定知識庫;包括各種標準和基準檢驗的對應 |
| DeviceTvmSoftwareEvidenceBeta | 在裝置上偵測到特定軟體位置的辨識項資訊 |
| DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
| DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼 |
| EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
| EmailPostDeliveryEvents | 傳遞後發生的安全性事件,Microsoft 365 將電子郵件傳遞至收件者信箱 |
| EmailUrlInfo | 電子郵件 URL 相關資訊 |
| ExposureGraphEdges | Microsoft 安全性暴露風險管理 公開圖形邊緣資訊可讓您查看圖形中實體與資產之間的關聯性 |
| ExposureGraphNodes | Microsoft 安全性暴露風險管理 公開圖形節點資訊,以及組織實體及其屬性的相關信息 |
| IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
| IdentityInfo | 來自各種來源的帳戶資訊,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
| IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
| UrlClickEvents | 從電子郵件訊息、Teams 和 Office 365 應用程式按下安全連結 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。