了解進階搜捕結構描述
注意事項
想要體驗 Microsoft Defender 全面偵測回應 嗎? 深入瞭解如何評估和試驗 Microsoft Defender 全面偵測回應。
適用於:
- Microsoft Defender XDR
重要事項
部分資訊與發行前版本產品有關,在正式發行之前可能會實質上進行修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階 搜捕 架構是由多個數據表所組成,可提供事件資訊或裝置、警示、身分識別和其他實體類型的相關信息。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。
取得架構資訊
建構查詢時,請使用內建架構參考,快速取得架構中每個數據表的下列資訊:
- 數據表描述— 資料表中包含的數據類型,以及該數據的來源。
- 數據列— 資料表中的所有資料行。
- 動作類型- 資料行中可能的
ActionType值,代表數據表所支援的事件類型。 這項資訊僅適用於包含事件資訊的資料表。 - 範例查詢— 範例查詢,其提供數據表的使用方式。
存取架構參考
若要快速存取架構參考,請選取架構表示中數據表名稱旁邊的 [ 檢視參考 ] 動作。 您也可以選取 [架構參考 ] 來搜尋數據表。
![Microsoft Defender 入口網站中 [進階搜捕] 頁面上的 [架構參考] 頁面](../../media/understand-schema-1.png?view=o365-worldwide#lightbox)
了解架構數據表
以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 數據表和數據行名稱也會列在 Microsoft Defender 全面偵測回應 中,作為進階搜捕畫面上架構表示的一部分。
| 表格名稱 | 描述 |
|---|---|
| AADSignInEventsBeta | Microsoft Entra 互動式和非互動式登入 |
| AADSpnSignInEventsBeta | Microsoft Entra 服務主體和受控識別登入 |
| AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
| AlertInfo | 來自 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於身分識別的 Microsoft Defender 的警示,包括嚴重性資訊和威脅分類 |
| BehaviorEntities | Microsoft Defender for Cloud Apps 中的行為數據類型 |
| BehaviorInfo | 來自 Microsoft Defender for Cloud Apps的警示 |
| CloudAppEvents | Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件 |
| DeviceEvents | 多個事件類型,包括安全性控制所觸發的事件,例如 Microsoft Defender 防病毒軟體和惡意探索保護 |
| DeviceFileCertificateInfo | 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊 |
| DeviceFileEvents | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括作業系統資訊 |
| DeviceLogonEvents | 登入和其他裝置上的驗證事件 |
| DeviceNetworkEvents | 網路連結與相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域 |
| DeviceProcessEvents | 流程建立與相關事件 |
| DeviceRegistryEvents | 登錄項目的建立及修改 |
| DeviceTvmHardwareFirmware | Defender 弱點管理檢查的裝置硬體和韌體資訊 |
| DeviceTvmInfoGathering | Defender 弱點管理評量事件,包括設定和攻擊介面區狀態 |
| DeviceTvmInfoGatheringKB | 數據表中所收集評估事件的 DeviceTvmInfogathering 元數據 |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender 弱點管理 評定事件,指出裝置上各種安全性設定的狀態 |
| DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 弱點管理 用來評估裝置的各種安全性設定知識庫;包括各種標準和基準檢驗的對應 |
| DeviceTvmSoftwareEvidenceBeta | 在裝置上偵測到特定軟體位置的辨識項資訊 |
| DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
| DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
| DeviceTvmSoftwareVulnerabilitiesKB | 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼 |
| EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
| EmailPostDeliveryEvents | Microsoft 365 將電子郵件傳遞至收件者信箱之後,傳遞後發生的安全性事件 |
| EmailUrlInfo | 電子郵件 URL 相關資訊 |
| ExposureGraphEdges | Microsoft 安全性曝光管理暴露圖形邊緣資訊可讓您查看圖表中實體與資產之間的關聯性 |
| ExposureGraphNodes | Microsoft 安全性曝光管理公開圖表節點資訊,關於組織實體及其屬性 |
| IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
| IdentityInfo | 來自各種來源的帳戶資訊,包括 Microsoft Entra ID |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
| IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
| UrlClickEvents | 從電子郵件訊息、Teams 和 Office 365 應用程式按兩下 [安全連結] |
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應