Descripción del esquema de búsqueda avanzadaUnderstand the advanced hunting schema

Importante

El Centro de seguridad de Microsoft 365 mejorado está ahora disponible.The improved Microsoft 365 security center is now available. Esta nueva experiencia incluye Defender para punto de conexión, Defender para Office 365, Microsoft 365 Defender y más en el Centro de seguridad de Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Ver las novedades.Learn what's new.

Se aplica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Importante

Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial.Some information relates to prereleased product which may be substantially modified before it's commercially released. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.Microsoft makes no warranties, express or implied, with respect to the information provided here.

El esquema de búsqueda avanzada está hecho de varias tablas que proporcionan información sobre eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad.The advanced hunting schema is made up of multiple tables that provide either event information or information about devices, alerts, identities, and other entity types. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.To effectively build queries that span multiple tables, you need to understand the tables and the columns in the advanced hunting schema.

Obtener información de esquema en el centro de seguridadGet schema information in the security center

Al crear consultas, use la referencia de esquema integrado para obtener rápidamente la siguiente información sobre cada tabla del esquema:While constructing queries, use the built-in schema reference to quickly get the following information about each table in the schema:

  • Descripción de tablas: tipo de datos contenidos en la tabla y el origen de los datos.Tables description—type of data contained in the table and the source of that data.
  • Columnas: todas las columnas de la tabla.Columns—all the columns in the table.
  • Tipos de acción: valores posibles en la ActionType columna que representan los tipos de evento admitidos por la tabla.Action types—possible values in the ActionType column representing the event types supported by the table. Esta información se proporciona solo para tablas que contienen información de eventos.This information is provided only for tables that contain event information.
  • Consulta de ejemplo: consultas de ejemplo que ofrecen cómo se puede usar la tabla.Sample query—example queries that feature how the table can be utilized.

Obtener acceso a la referencia de esquemaAccess the schema reference

Para obtener acceso rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de tabla en la representación del esquema.To quickly access the schema reference, select the View reference action next to the table name in the schema representation. También puede seleccionar Referencia de esquema para buscar una tabla.You can also select Schema reference to search for a table.

Imagen que muestra cómo obtener acceso a la referencia de esquema en el portalImage showing how to access in-portal schema reference

Obtenga información sobre las tablas de esquemaLearn the schema tables

A continuación se enumeran todas las tablas del esquema.The following reference lists all the tables in the schema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla.Each table name links to a page describing the column names for that table. Los nombres de tabla y columna también se enumeran en el centro de seguridad como parte de la representación del esquema en la pantalla de búsqueda avanzada.Table and column names are also listed in the security center as part of the schema representation on the advanced hunting screen.

Nombre de tablaTable name DescripciónDescription
AlertEvidenceAlertEvidence Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados con alertasFiles, IP addresses, URLs, users, or devices associated with alerts
AlertInfoAlertInfo Alertas de Microsoft Defender para endpoint, Microsoft Defender para Office 365, Microsoft Cloud App Security y Microsoft Defender para Identidad, incluida la información de gravedad y la categorización de amenazasAlerts from Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity, including severity information and threat categorization
CloudAppEventsCloudAppEvents Eventos que implican cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nubeEvents involving accounts and objects in Office 365 and other cloud apps and services
DeviceEventsDeviceEvents Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad como el Antivirus de Windows Defender y la protección contra vulnerabilidadesMultiple event types, including events triggered by security controls such as Windows Defender Antivirus and exploit protection
DeviceFileCertificateInfoDeviceFileCertificateInfo Información de certificado de archivos firmados obtenidos de eventos de comprobación de certificados en puntos de conexiónCertificate information of signed files obtained from certificate verification events on endpoints
DeviceFileEventsDeviceFileEvents Creación y modificación de archivos y otros eventos del sistema de archivosFile creation, modification, and other file system events
DeviceImageLoadEventsDeviceImageLoadEvents Eventos de carga de DLLDLL loading events
DeviceInfoDeviceInfo Información del equipo, incluida la información del sistema operativoMachine information, including OS information
DeviceLogonEventsDeviceLogonEvents Inicios de sesión y otros eventos de autenticación en dispositivosSign-ins and other authentication events on devices
DeviceNetworkEventsDeviceNetworkEvents Conexión de red y eventos relacionadosNetwork connection and related events
DeviceNetworkInfoDeviceNetworkInfo Propiedades de red de dispositivos, incluidos adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectadosNetwork properties of devices, including physical adapters, IP and MAC addresses, as well as connected networks and domains
DeviceProcessEventsDeviceProcessEvents Creación de procesos y eventos relacionadosProcess creation and related events
DeviceRegistryEventsDeviceRegistryEvents Creación y modificación de entradas de registroCreation and modification of registry entries
DeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessment Eventos de evaluación de administración de amenazas y vulnerabilidades, donde se indica el estado de las distintas configuraciones de seguridad de los dispositivosThreat & Vulnerability Management assessment events, indicating the status of various security configurations on devices
DeviceTvmSecureConfigurationAssessmentKBDeviceTvmSecureConfigurationAssessmentKB Base de conocimiento de las configuraciones de seguridad utilizadas por la administración de amenazas y vulnerabilidades para evaluar dispositivos, incluidas las asignaciones a diferentes estándares y criterios de referenciaKnowledge base of various security configurations used by Threat & Vulnerability Management to assess devices; includes mappings to various standards and benchmarks
DeviceTvmSoftwareInventoryDeviceTvmSoftwareInventory Inventario de software instalado en dispositivos, incluida la información de versión y el estado de fin de soporte técnicoInventory of software installed on devices, including their version information and end-of-support status
DeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilities Vulnerabilidades de software encontradas en dispositivos y la lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidadSoftware vulnerabilities found on devices and the list of available security updates that address each vulnerability
DeviceTvmSoftwareVulnerabilitiesKBDeviceTvmSoftwareVulnerabilitiesKB La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el públicoKnowledge base of publicly disclosed vulnerabilities, including whether exploit code is publicly available
EmailAttachmentInfoEmailAttachmentInfo Información sobre los archivos adjuntos a los correos electrónicosInformation about files attached to emails
EmailEventsEmailEvents Microsoft 365 de correo electrónico, incluidos los eventos de entrega y bloqueo de correo electrónicoMicrosoft 365 email events, including email delivery and blocking events
EmailPostDeliveryEventsEmailPostDeliveryEvents Eventos de seguridad que se producen después de la entrega, Microsoft 365 ha entregado los correos electrónicos al buzón de destinatarioSecurity events that occur post-delivery, after Microsoft 365 has delivered the emails to the recipient mailbox
EmailUrlInfoEmailUrlInfo Información sobre las direcciones URL de los correos electrónicosInformation about URLs on emails
IdentityDirectoryEventsIdentityDirectoryEvents Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD).Events involving an on-premises domain controller running Active Directory (AD). En esta tabla se describe un rango de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio.This table covers a range of identity-related events and system events on the domain controller.
IdentityInfoIdentityInfo Información de cuenta de varios orígenes, incluidos Azure Active DirectoryAccount information from various sources, including Azure Active Directory
IdentityLogonEventsIdentityLogonEvents Eventos de autenticación en Active Directory y servicios en línea de MicrosoftAuthentication events on Active Directory and Microsoft online services
IdentityQueryEventsIdentityQueryEvents Consultas para objetos de Active Directory, como usuarios, grupos, dispositivos y dominiosQueries for Active Directory objects, such as users, groups, devices, and domains