Del via


Forstå det avanserte jaktskjemaet

Gjelder for:

  • Microsoft Defender XDR

Viktig

Noe informasjon i denne artikkelen er knyttet til et forhåndsutgitt produkt, som kan endres vesentlig før det utgis kommersielt. Microsoft gir ingen garantier, uttrykt eller underforstått, med hensyn til informasjonen som er oppgitt her.

Det avanserte jaktskjemaet består av flere tabeller som gir hendelsesinformasjon eller informasjon om enheter, varsler, identiteter og andre enhetstyper. Hvis du effektivt vil bygge spørringer som strekker seg over flere tabeller, må du forstå tabellene og kolonnene i det avanserte jaktskjemaet.

Få skjemainformasjon

Når du konstruerer spørringer, kan du bruke den innebygde skjemareferansen til raskt å få følgende informasjon om hver tabell i skjemaet:

  • Tabellbeskrivelse – datatypen i tabellen og kilden til disse dataene.
  • Kolonner – alle kolonnene i tabellen.
  • Handlingstyper – mulige verdier i ActionType kolonnen som representerer hendelsestypene som støttes av tabellen. Denne informasjonen gis bare for tabeller som inneholder hendelsesinformasjon.
  • Eksempelspørring – eksempelspørringer som inneholder hvordan tabellen kan brukes.

Få tilgang til skjemareferansen

Hvis du vil ha rask tilgang til skjemareferansen, velger du Vis referanse-handlingen ved siden av tabellnavnet i skjemapresentasjonen. Du kan også velge Skjemareferanse for å søke etter en tabell.

Skjemareferanse-siden på siden Avansert jakt i Microsoft Defender-portalen

Lær skjematabellene

Følgende referanse viser alle tabellene i skjemaet. Hvert tabellnavn kobler til en side som beskriver kolonnenavnene for tabellen. Tabell- og kolonnenavn er også oppført i Microsoft Defender XDR som en del av skjemarepresentasjonen på skjermen for avansert jakt.

Tabellnavn Beskrivelse
AADSignInEventsBeta Microsoft Entra interaktive og ikke-interaktive pålogginger
AADSpnSignInEventsBeta Microsoft Entra tjenestekontohaver og administrerte identitetspålogginger
AlertEvidence Filer, IP-adresser, nettadresser, brukere eller enheter som er knyttet til varsler
AlertInfo Varsler fra Microsoft Defender for endepunkt, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps og Microsoft Defender for identitet, inkludert alvorlighetsgradinformasjon og trusselkategorisering
BehaviorEntities Datatyper for virkemåte i Microsoft Defender for Cloud Apps
BehaviorInfo Varsler fra Microsoft Defender for Cloud Apps
CloudAppEvents Hendelser som involverer kontoer og objekter i Office 365 og andre skyapper og -tjenester
DeviceEvents Flere hendelsestyper, inkludert hendelser utløst av sikkerhetskontroller, for eksempel Microsoft Defender antivirus- og utnyttelsesbeskyttelse
DeviceFileCertificateInfo Sertifikatinformasjon for signerte filer hentet fra sertifikatbekreftelseshendelser på endepunkter
DeviceFileEvents Filoppretting, endring og andre filsystemhendelser
DeviceImageLoadEvents Dll-innlastingshendelser
DeviceInfo Maskininformasjon, inkludert OS-informasjon
DeviceLogonEvents Pålogginger og andre godkjenningshendelser på enheter
DeviceNetworkEvents Nettverkstilkobling og relaterte hendelser
DeviceNetworkInfo Nettverksegenskaper for enheter, inkludert fysiske adaptere, IP- og MAC-adresser, samt tilkoblede nettverk og domener
DeviceProcessEvents Prosessoppretting og relaterte hendelser
DeviceRegistryEvents Oppretting og endring av registeroppføringer
DeviceTvmHardwareFirmware Informasjon om maskinvare og fastvare for enheter som kontrolleres av Defender Vulnerability Management
DeviceTvmInfoGathering Defender Vulnerability Management-vurderingshendelser, inkludert konfigurasjon og tilstander for angrepsoverflate
DeviceTvmInfoGatheringKB Metadata for vurderingshendelser som er samlet inn i DeviceTvmInfogathering tabellen
DeviceTvmSecureConfigurationAssessment Microsoft Defender Vulnerability Management vurderingshendelser som angir status for ulike sikkerhetskonfigurasjoner på enheter
DeviceTvmSecureConfigurationAssessmentKB Kunnskapsbase for ulike sikkerhetskonfigurasjoner som brukes av Microsoft Defender Vulnerability Management til å vurdere enheter, omfatter tilordninger til ulike standarder og benchmarks
DeviceTvmSoftwareEvidenceBeta Bevisinformasjon om hvor en bestemt programvare ble oppdaget på en enhet
DeviceTvmSoftwareInventory Oversikt over programvare som er installert på enheter, inkludert versjonsinformasjon og status for avvikling av kundestøtte
DeviceTvmSoftwareVulnerabilities Programvaresårbarheter som finnes på enheter og listen over tilgjengelige sikkerhetsoppdateringer som løser hvert sikkerhetsproblem
DeviceTvmSoftwareVulnerabilitiesKB Kunnskapsbase for offentliggjorte sårbarheter, inkludert om utnyttelseskode er offentlig tilgjengelig
EmailAttachmentInfo Informasjon om filer som er vedlagt e-postmeldinger
EmailEvents E-posthendelser for Microsoft 365, inkludert e-postlevering og blokkeringshendelser
EmailPostDeliveryEvents Sikkerhetshendelser som oppstår etter levering, etter at Microsoft 365 leverer e-postmeldingene til mottakerens postboks
EmailUrlInfo Informasjon om nettadresser på e-postmeldinger
Eksponeringsgrafikk Microsoft Security Exposure Management-grafkantinformasjon gir innsyn i relasjoner mellom enheter og ressurser i grafen
ExposureGraphNodes Nodeinformasjon om eksponeringsnode for Microsoft Security Exposure Management, om organisasjonsenheter og deres egenskaper
IdentityDirectoryEvents Hendelser som involverer en lokal domenekontroller som kjører Active Directory (AD). Denne tabellen dekker en rekke identitetsrelaterte hendelser og systemhendelser på domenekontrolleren.
IdentityInfo Kontoinformasjon fra ulike kilder, inkludert Microsoft Entra ID
IdentityLogonEvents Godkjenningshendelser på Active Directory og Microsoft onlinetjenester
IdentityQueryEvents Spørringer for Active Directory-objekter, for eksempel brukere, grupper, enheter og domener
UrlClickEvents Klarerte koblinger-klikk fra e-postmeldinger, Teams og Office 365-apper

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.