Forstå det avancerede jagtskema
Bemærk
Vil du opleve Microsoft 365 Defender? Få mere at vide om, hvordan du kan evaluere og prøve Microsoft 365 Defender.
Gælder for:
- Microsoft 365 Defender
Vigtigt
Nogle oplysninger relaterer til foreløbige produkter, som kan ændres væsentligt, før det frigives kommercielt. Microsoft påser ingen garantier, udtrykkelige eller underforståede, med hensyn til de oplysninger, du har angivet her.
Det avancerede jagtskema består af flere tabeller, der indeholder enten oplysninger om begivenheder eller oplysninger om enheder, beskeder, identiteter og andre enhedstyper. For effektivt at opbygge forespørgsler, der strækker sig over flere tabeller, skal du forstå tabellerne og kolonnerne i det avancerede jagtskema.
Hent skemaoplysninger
Under opbygning af forespørgsler kan du bruge den indbyggede skemareference til hurtigt at få følgende oplysninger om hver tabel i skemaet:
- Beskrivelse af tabeller – datatypen, der er indeholdt i tabellen, og kilden til dataene.
- Kolonner – alle kolonnerne i tabellen.
- Handlingstyper – mulige værdier i kolonnen, der
ActionTyperepræsenterer de hændelsestyper, der understøttes af tabellen. Disse oplysninger leveres kun for tabeller, der indeholder hændelsesoplysninger. - Eksempelforespørgsel – eksempelforespørgsler, der viser, hvordan tabellen kan bruges.
Få adgang til skemareferencen
Hvis du hurtigt vil have adgang til skemareferencen, skal du vælge handlingen Vis reference ud for tabelnavnet i skemarepræsentationen. Du kan også vælge Skemareference for at søge efter en tabel.
Lær skematabellerne at vide
Følgende reference viser alle tabellerne i skemaet. Hvert tabelnavn linker til en side, der beskriver kolonnenavnene for den pågældende tabel. Tabel- og kolonnenavne er også angivet i Defender for Cloud som en del af skemarepræsentationen på den avancerede jagtskærm.
| Tabelnavn | Beskrivelse |
|---|---|
| AlertEvidence | Filer, IP-adresser, URL-adresser, brugere eller enheder, der er knyttet til beskeder |
| AlertInfo | Beskeder fra Microsoft Defender til slutpunkt, Microsoft Defender til Office 365, Microsoft Defender til skyapps og Microsoft Defender for Identity, herunder oplysninger om alvorlighed og trussels kategorisering |
| CloudAppEvents | Begivenheder, der involverer konti og objekter i Office 365 og andre skyapps og -tjenester |
| DeviceEvents | Flere hændelsestyper, herunder hændelser, der udløses af sikkerhedskontrolelementer, f.eks. Windows Defender Antivirus og udnyttelse af beskyttelse |
| DeviceFileCertificateInfo | Certifikatoplysninger for signerede filer, der er hentet fra certifikatbekræftelseshændelser på slutpunkter |
| DeviceFileEvents | Filoprettelse, ændring og andre filsystemhændelser |
| DeviceImageLoadEvents | DLL-indlæsningshændelser |
| DeviceInfo | Computeroplysninger, herunder os-oplysninger |
| DeviceLogonEvents | Logons og andre godkendelseshændelser på enheder |
| DeviceNetworkEvents | Netværksforbindelse og relaterede begivenheder |
| DeviceNetworkInfo | Netværksegenskaber for enheder, herunder fysiske adaptere, IP- og MAC-adresser samt forbundne netværk og domæner |
| DeviceProcessEvents | Procesoprettelse og relaterede begivenheder |
| DeviceRegistryEvents | Oprettelse og ændring af poster i registreringsdatabasen |
| DeviceTvmSecureConfigurationAssessment | Hændelser & vurdering af sikkerhedssikkerhedsrisiko, der angiver status for forskellige sikkerhedskonfigurationer på enheder |
| DeviceTvmSecureConfigurationAssessmentKB | Vidensbase for forskellige sikkerhedskonfigurationer, der bruges af Threat & Vulnerability Management til at vurdere enheder; omfatter tilknytning til forskellige standarder og benchmarks |
| DeviceTvmSoftwareInventory | Lager af software, der er installeret på enheder, herunder versionsoplysninger og status for ophør af support |
| DeviceTvmSoftwareVulnerabilities | Softwarerisici, der findes på enheder, og listen over tilgængelige sikkerhedsopdateringer, der adresserer hver sikkerhedsrisiko |
| DeviceTvmSoftwareVulnerabilitiesKB | Videnbase af offentligt offentliggjorte sårbarheder, herunder om udnyttelse af kode er offentligt tilgængelig |
| EmailAttachmentInfo | Oplysninger om filer, der er vedhæftet mails |
| EmailEvents | Microsoft 365 mailbegivenheder, herunder levering af mail og blokering af begivenheder |
| EmailPostDeliveryEvents | Sikkerhedshændelser, der forekommer efter levering, når Microsoft 365 har leveret mails til modtagerens postkasse |
| EmailUrlInfo | Oplysninger om URL-adresser i mails |
| IdentityDirectoryEvents | Hændelser, der involverer en lokal domænecontroller, der kører Active Directory (AD). Denne tabel dækker en række identitetsrelaterede hændelser og systemhændelser på domænecontrolleren. |
| IdentityInfo | Kontooplysninger fra forskellige kilder, herunder Azure Active Directory |
| IdentityLogonEvents | Godkendelseshændelser på Active Directory og Microsoft-onlinetjenester |
| IdentityQueryEvents | Forespørgsler til Active Directory-objekter, f.eks. brugere, grupper, enheder og domæner |
Relaterede emner
Feedback
Indsend og få vist feedback om