Forstå det avancerede jagtskema

Bemærk

Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.

Gælder for:

  • Microsoft 365 Defender

Vigtigt

Nogle oplysninger relaterer til foreløbige produkter, som kan ændres væsentligt, før det frigives kommercielt. Microsoft påser ingen garantier, udtrykkelige eller underforståede, med hensyn til de oplysninger, du har angivet her.

Det avancerede jagtskema består af flere tabeller, der indeholder enten oplysninger om begivenheder eller oplysninger om enheder, beskeder, identiteter og andre enhedstyper. For effektivt at opbygge forespørgsler, der strækker sig over flere tabeller, skal du forstå tabellerne og kolonnerne i det avancerede jagtskema.

Hent skemaoplysninger

Under opbygning af forespørgsler kan du bruge den indbyggede skemareference til hurtigt at få følgende oplysninger om hver tabel i skemaet:

  • Beskrivelse af tabeller – datatypen, der er indeholdt i tabellen, og kilden til dataene.
  • Kolonner – alle kolonnerne i tabellen.
  • Handlingstyper – mulige værdier i kolonnen, der ActionType repræsenterer de hændelsestyper, der understøttes af tabellen. Disse oplysninger leveres kun for tabeller, der indeholder hændelsesoplysninger.
  • Eksempelforespørgsel – eksempelforespørgsler, der viser, hvordan tabellen kan bruges.

Få adgang til skemareferencen

Hvis du hurtigt vil have adgang til skemareferencen, skal du vælge handlingen Vis reference ud for tabelnavnet i skemarepræsentationen. Du kan også vælge Skemareference for at søge efter en tabel.

Siden Skemareference på siden Avanceret ræve Microsoft 365 Defender portalen

Lær skematabellerne at vide

Følgende reference viser alle tabellerne i skemaet. Hvert tabelnavn linker til en side, der beskriver kolonnenavnene for den pågældende tabel. Tabel- og kolonnenavne er også angivet i Defender for Cloud som en del af skemarepræsentationen på den avancerede jagtskærm.

Tabelnavn Beskrivelse
AlertEvidence Filer, IP-adresser, URL-adresser, brugere eller enheder, der er knyttet til beskeder
AlertInfo Beskeder fra Microsoft Defender til slutpunkt, Microsoft Defender til Office 365, Microsoft Defender til skyapps og Microsoft Defender for Identity, herunder oplysninger om alvorlighed og trussels kategorisering
CloudAppEvents Begivenheder, der involverer konti og objekter i Office 365 og andre skyapps og -tjenester
DeviceEvents Flere hændelsestyper, herunder hændelser, der udløses af sikkerhedskontrolelementer, f.eks. Windows Defender Antivirus og udnyttelse af beskyttelse
DeviceFileCertificateInfo Certifikatoplysninger for signerede filer, der er hentet fra certifikatbekræftelseshændelser på slutpunkter
DeviceFileEvents Filoprettelse, ændring og andre filsystemhændelser
DeviceImageLoadEvents DLL-indlæsningshændelser
DeviceInfo Computeroplysninger, herunder os-oplysninger
DeviceLogonEvents Logons og andre godkendelseshændelser på enheder
DeviceNetworkEvents Netværksforbindelse og relaterede begivenheder
DeviceNetworkInfo Netværksegenskaber for enheder, herunder fysiske adaptere, IP- og MAC-adresser samt forbundne netværk og domæner
DeviceProcessEvents Procesoprettelse og relaterede begivenheder
DeviceRegistryEvents Oprettelse og ændring af poster i registreringsdatabasen
DeviceTvmSecureConfigurationAssessment Hændelser & vurdering af sikkerhedssikkerhedsrisiko, der angiver status for forskellige sikkerhedskonfigurationer på enheder
DeviceTvmSecureConfigurationAssessmentKB Vidensbase for forskellige sikkerhedskonfigurationer, der bruges af Threat & Vulnerability Management til at vurdere enheder; omfatter tilknytning til forskellige standarder og benchmarks
DeviceTvmSoftwareInventory Lager af software, der er installeret på enheder, herunder versionsoplysninger og status for ophør af support
DeviceTvmSoftwareVulnerabilities Softwarerisici, der findes på enheder, og listen over tilgængelige sikkerhedsopdateringer, der adresserer hver sikkerhedsrisiko
DeviceTvmSoftwareVulnerabilitiesKB Videnbase af offentligt offentliggjorte sårbarheder, herunder om udnyttelse af kode er offentligt tilgængelig
EmailAttachmentInfo Oplysninger om filer, der er vedhæftet mails
EmailEvents Microsoft 365 mailbegivenheder, herunder levering af mail og blokering af begivenheder
EmailPostDeliveryEvents Sikkerhedshændelser, der forekommer efter levering, når Microsoft 365 har leveret mails til modtagerens postkasse
EmailUrlInfo Oplysninger om URL-adresser i mails
IdentityDirectoryEvents Hændelser, der involverer en lokal domænecontroller, der kører Active Directory (AD). Denne tabel dækker en række identitetsrelaterede hændelser og systemhændelser på domænecontrolleren.
IdentityInfo Kontooplysninger fra forskellige kilder, herunder Azure Active Directory
IdentityLogonEvents Godkendelseshændelser på Active Directory og Microsoft-onlinetjenester
IdentityQueryEvents Forespørgsler til Active Directory-objekter, f.eks. brugere, grupper, enheder og domæner