Descripción del esquema de búsqueda avanzada
Nota:
¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.
Se aplica a:
- Microsoft Defender XDR
Importante
Parte de la información se refiere a productos preliminares que pueden ser modificados sustancialmente antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
El esquema de búsqueda avanzada se compone de varias tablas que proporcionan información de eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.
Obtener información de esquema
Al crear consultas, use la referencia de esquema integrada para obtener rápidamente la siguiente información sobre cada tabla del esquema:
- Descripción de las tablas: tipo de datos contenidos en la tabla y el origen de esos datos.
- Columnas: todas las columnas de la tabla.
- Tipos de acción: valores posibles en la
ActionTypecolumna que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos. - Consulta de ejemplo: consultas de ejemplo que incluyen cómo se puede usar la tabla.
Acceso a la referencia de esquema
Para acceder rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de la tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.
Obtenga información sobre las tablas de esquema
A continuación se enumeran todas las tablas del esquema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla. Los nombres de tabla y columna también se enumeran en Microsoft Defender XDR como parte de la representación de esquema en la pantalla de búsqueda avanzada.
| Nombre de tabla | Descripción |
|---|---|
| AADSignInEventsBeta | Microsoft Entra inicios de sesión interactivos y no interactivos |
| AADSpnSignInEventsBeta | Microsoft Entra entidad de servicio e inicios de sesión de identidad administrada |
| AlertEvidence | Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados a alertas |
| AlertInfo | Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de amenazas |
| BehaviorEntities | Tipos de datos de comportamiento en Microsoft Defender for Cloud Apps |
| BehaviorInfo | Alertas de Microsoft Defender for Cloud Apps |
| CloudAppEvents | Eventos relacionados con cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube |
| DeviceEvents | Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Microsoft Defender Antivirus y protección contra vulnerabilidades de seguridad |
| DeviceFileCertificateInfo | Información de certificados de archivos firmados obtenidos de los eventos de comprobación de certificados en puntos de conexión |
| DeviceFileEvents | Creación y modificación de archivos y otros eventos del sistema de archivos |
| DeviceImageLoadEvents | Eventos de carga de DLL |
| DeviceInfo | Información del equipo, incluida la información del sistema operativo |
| DeviceLogonEvents | Inicios de sesión y otros eventos de autenticación en dispositivos |
| DeviceNetworkEvents | Conexión de red y eventos relacionados |
| DeviceNetworkInfo | Propiedades de red de dispositivos, incluyendo adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectados |
| DeviceProcessEvents | Creación de procesos y eventos relacionados |
| DeviceRegistryEvents | Creación y modificación de entradas de Registro |
| DeviceTvmHardwareFirmware | Información de hardware y firmware de los dispositivos tal y como comprueba Defender Vulnerability Management |
| DeviceTvmInfoGathering | Eventos de evaluación de Administración de vulnerabilidades de Defender, incluidos los estados de área expuesta a ataques y configuración |
| DeviceTvmInfoGatheringKB | Metadatos para eventos de evaluación recopilados en la DeviceTvmInfogathering tabla |
| DeviceTvmSecureConfigurationAssessment | Administración de vulnerabilidades de Microsoft Defender eventos de evaluación, que indican el estado de varias configuraciones de seguridad en los dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de conocimiento de varias configuraciones de seguridad usadas por Administración de vulnerabilidades de Microsoft Defender para evaluar dispositivos; incluye asignaciones a diversos estándares y pruebas comparativas |
| DeviceTvmSoftwareEvidenceBeta | Información de evidencia sobre dónde se detectó un software específico en un dispositivo |
| DeviceTvmSoftwareInventory | Inventario del software instalado en dispositivos, incluida la información de la versión y el estado de finalización del soporte técnico |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas en los dispositivos y lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad |
| DeviceTvmSoftwareVulnerabilitiesKB | La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el público |
| EmailAttachmentInfo | Información sobre los archivos adjuntos a los correos electrónicos |
| EmailEvents | Eventos de correo electrónico de Microsoft 365, incluidos los eventos de bloqueo y entrega de correo electrónico |
| EmailPostDeliveryEvents | Eventos de seguridad que se producen después de la entrega, después de que Microsoft 365 entregue los correos electrónicos al buzón de correo del destinatario. |
| EmailUrlInfo | Información sobre las direcciones URL de los correos electrónicos |
| ExposureGraphEdges | La información perimetral del gráfico de exposición de Microsoft Security Exposure Management proporciona visibilidad sobre las relaciones entre entidades y recursos en el gráfico |
| ExposureGraphNodes | Información del nodo del grafo de exposición de Microsoft Security Exposure Management, sobre las entidades organizativas y sus propiedades |
| IdentityDirectoryEvents | Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). En esta tabla se describen una serie de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio. |
| IdentityInfo | Información de la cuenta de varios orígenes, incluidos los Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticación en Active Directory y en servicios en línea de Microsoft |
| IdentityQueryEvents | Consultas sobree objetos de Active Directory, como usuarios, grupos, dispositivos y dominios |
| UrlClickEvents | Vínculos seguros hace clic desde mensajes de correo electrónico, Teams y aplicaciones Office 365 |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Trabajar con resultados de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de