Vysvětlení schématu rozšířeného proaktivního proaktivního vyhledávání
Poznámka
Chcete vyzkoušet XDR v Microsoft Defenderu? Přečtěte si další informace o tom, jak můžete vyhodnotit a pilotně nasadit XDR v Microsoft Defenderu.
Platí pro:
- Microsoft Defender XDR
Důležité
Některé informace se týkají předprodeje produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje v souvislosti se zde uvedenými informacemi žádné výslovné ani předpokládané záruky.
Schéma rozšířeného proaktivního vyhledávání se skládá z několika tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které zahrnují více tabulek, musíte porozumět tabulkám a sloupcům ve schématu rozšířeného proaktivního vyhledávání.
Získání informací o schématu
Při vytváření dotazů můžete pomocí předdefinovaných odkazů na schéma rychle získat následující informace o každé tabulce ve schématu:
- Popis tabulek – typ dat obsažených v tabulce a zdroj těchto dat.
- Sloupce – všechny sloupce v tabulce.
- Typy akcí – možné hodnoty ve sloupci
ActionType
představující typy událostí podporované tabulkou Tyto informace jsou k dispozici pouze pro tabulky, které obsahují informace o událostech. - Ukázkový dotaz – ukázkové dotazy, které obsahují informace o tom, jak lze tabulku využít.
Přístup k referenčním informacím o schématu
Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat Odkaz na schéma a vyhledat tabulku.
Seznámení s tabulkami schématu
Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Microsoft Defender XDR jako součást reprezentace schématu na obrazovce rozšířeného proaktivního vyhledávání.
Název tabulky | Popis |
---|---|
AADSignInEventsBeta | Microsoft Entra interaktivních a neinteraktivních přihlášení |
AADSpnSignInEventsBeta | Microsoft Entra přihlášení instančního objektu a spravované identity |
AlertEvidence | Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním |
AlertInfo | Výstrahy z Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb |
BehaviorEntities | Datové typy chování v Microsoft Defender for Cloud Apps |
BehaviorInfo | Výstrahy z Microsoft Defender for Cloud Apps |
CloudAppEvents | Události týkající se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách |
DeviceEvents | Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím |
DeviceFileCertificateInfo | Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech |
DeviceFileEvents | Vytváření, úpravy souborů a další události systému souborů |
DeviceImageLoadEvents | Události načítání knihovny DLL |
DeviceInfo | Informace o počítači, včetně informací o operačním systému |
DeviceLogonEvents | Přihlášení a další události ověřování na zařízeních |
DeviceNetworkEvents | Síťové připojení a související události |
DeviceNetworkInfo | Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén |
DeviceProcessEvents | Vytváření procesů a související události |
DeviceRegistryEvents | Vytváření a úpravy položek registru |
DeviceTvmHardwareFirmware | Informace o hardwaru a firmwaru zařízení, jak je kontroluje Správa ohrožení zabezpečení v programu Defender |
DeviceTvmInfoGathering | Události posouzení správy ohrožení zabezpečení programu Defender, včetně konfigurace a stavů potenciální oblasti útoku |
DeviceTvmInfoGatheringKB | Metadata pro události hodnocení shromážděná v tabulce DeviceTvmInfogathering |
DeviceTvmSecureConfigurationAssessment | Microsoft Defender Správa zranitelností události posouzení, které označují stav různých konfigurací zabezpečení na zařízeních |
DeviceTvmSecureConfigurationAssessmentKB | Znalostní báze různých konfigurací zabezpečení používaných Microsoft Defender Správa zranitelností k hodnocení zařízení; zahrnuje mapování na různé standardy a srovnávací testy. |
DeviceTvmSoftwareEvidenceBeta | Informace o tom, kde byl na zařízení zjištěn určitý software |
DeviceTvmSoftwareInventory | Inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory |
DeviceTvmSoftwareVulnerabilities | Chyby zabezpečení softwaru zjištěné na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení |
DeviceTvmSoftwareVulnerabilitiesKB | Znalostní báze veřejně zveřejněných chyb zabezpečení, včetně toho, zda je kód zneužití veřejně dostupný |
EmailAttachmentInfo | Informace o souborech připojených k e-mailům |
EmailEvents | Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů |
EmailPostDeliveryEvents | Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce |
EmailUrlInfo | Informace o adresách URL v e-mailech |
ExposureGraphEdges | Informace o hraničních hranách o okraji ohrožení zabezpečení microsoftu poskytují přehled o vztazích mezi entitami a aktivy v grafu. |
ExposureGraphNodes | Informace o uzlu grafu ohrožení správy ohrožení zabezpečení Microsoftu, informace o organizačních entitách a jejich vlastnostech |
IdentityDirectoryEvents | Události týkající se místního řadiče domény se službou Active Directory (AD) Tato tabulka obsahuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény. |
IdentityInfo | Informace o účtu z různých zdrojů, včetně Microsoft Entra ID |
IdentityLogonEvents | Události ověřování ve službě Active Directory a Microsoft online služby |
IdentityQueryEvents | Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény |
UrlClickEvents | Kliknutí na bezpečné odkazy z e-mailových zpráv, Teams a aplikací Office 365 |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Práce s výsledky dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
https://aka.ms/ContentUserFeedback.
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu:Odeslat a zobrazit názory pro