Descripción del esquema de búsqueda avanzada

Nota

¿Quiere experimentar Microsoft 365 Defender? Obtenga más información sobre cómo puede evaluar y probar Microsoft 365 Defender.

Se aplica a:

  • Microsoft 365 Defender

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

El esquema de búsqueda avanzada está hecho de varias tablas que proporcionan información sobre eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.

Obtener información de esquema

Al crear consultas, use la referencia de esquema integrado para obtener rápidamente la siguiente información sobre cada tabla del esquema:

  • Descripción de tablas: tipo de datos contenidos en la tabla y el origen de los datos.
  • Columnas: todas las columnas de la tabla.
  • Tipos de acción: valores posibles en la ActionType columna que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos.
  • Consulta de ejemplo: consultas de ejemplo que ofrecen cómo se puede usar la tabla.

Obtener acceso a la referencia de esquema

Para obtener acceso rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.

La página Referencia de esquema de la página Búsqueda avanzada del portal Microsoft 365 Defender búsqueda

Obtenga información sobre las tablas de esquema

A continuación se enumeran todas las tablas del esquema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla. Los nombres de tabla y columna también se enumeran en defender para la nube como parte de la representación del esquema en la pantalla de búsqueda avanzada.

Nombre de tabla Descripción
AlertEvidence Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados con alertas
AlertInfo Alertas de Microsoft Defender para endpoint, Microsoft Defender para Office 365, Microsoft Defender para aplicaciones en la nube y Microsoft Defender para Identidad, incluida información de gravedad y categorización de amenazas
CloudAppEvents Eventos relacionados con cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube
DeviceEvents Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad como el Antivirus de Windows Defender y la protección contra vulnerabilidades
DeviceFileCertificateInfo Información de certificados de archivos firmados obtenidos de los eventos de comprobación de certificados en puntos de conexión
DeviceFileEvents Creación y modificación de archivos y otros eventos del sistema de archivos
DeviceImageLoadEvents Eventos de carga de DLL
DeviceInfo Información del equipo, incluida la información del sistema operativo
DeviceLogonEvents Inicios de sesión y otros eventos de autenticación en dispositivos
DeviceNetworkEvents Conexión de red y eventos relacionados
DeviceNetworkInfo Propiedades de red de dispositivos, incluyendo adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectados
DeviceProcessEvents Creación de procesos y eventos relacionados
DeviceRegistryEvents Creación y modificación de entradas de Registro
DeviceTvmSecureConfigurationAssessment Eventos de evaluación de administración de amenazas y vulnerabilidades, donde se indica el estado de las distintas configuraciones de seguridad de los dispositivos
DeviceTvmSecureConfigurationAssessmentKB Base de conocimiento de las configuraciones de seguridad utilizadas por la administración de amenazas y vulnerabilidades para evaluar dispositivos, incluidas las asignaciones a diferentes estándares y criterios de referencia
DeviceTvmSoftwareInventory Inventario del software instalado en dispositivos, incluida la información de la versión y el estado de finalización del soporte técnico
DeviceTvmSoftwareVulnerabilities Vulnerabilidades de software encontradas en los dispositivos y lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad
DeviceTvmSoftwareVulnerabilitiesKB La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el público
EmailAttachmentInfo Información sobre los archivos adjuntos a los correos electrónicos
EmailEvents Eventos de correo electrónico de Microsoft 365, incluidos los eventos de bloqueo y entrega de correo electrónico
EmailPostDeliveryEvents Eventos de seguridad que se producen después de la entrega, una vez que Microsoft 365 ha entregado ya los correos electrónicos al buzón del destinatario
EmailUrlInfo Información sobre las direcciones URL de los correos electrónicos
IdentityDirectoryEvents Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). En esta tabla se describen una serie de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio.
IdentityInfo Información de la cuenta de varios orígenes, incluyendo Azure Active Directory
IdentityLogonEvents Eventos de autenticación en Active Directory y en servicios en línea de Microsoft
IdentityQueryEvents Consultas sobree objetos de Active Directory, como usuarios, grupos, dispositivos y dominios