Понимание схемы расширенных схем охоты в Microsoft Defender для конечной точки

Область применения:

Хотите испытать Defender для конечной точки? Зарегистрироваться для бесплатной пробной версии.

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.

Передовая схема охоты состоит из нескольких таблиц, которые предоставляют информацию о событиях или сведения о устройствах и других сущностям. Для эффективного построения запросов, охватывающих несколько таблиц, необходимо понимать, что такое таблицы и столбцы в схеме расширенной охоты на угрозы

Получить сведения о схеме в центре безопасности

При построении запросов используйте встроенную ссылку на схему, чтобы быстро получить следующую информацию о каждой таблице в схеме:

  • Описание таблиц. Тип данных, содержащихся в таблице, и источник этих данных.
  • Столбцы. Все столбцы в таблице.
  • Типы действий. Возможные значения в ActionType столбце, представляющие типы событий, поддерживаемые таблицей. Это предоставляется только для таблиц, содержащих сведения о событиях.
  • Пример запроса. Примеры запросов, которые имеют возможность использования таблицы.

Доступ к ссылке схемы

Чтобы быстро получить доступ к ссылке схемы, выберите действие View reference рядом с именем таблицы в представлении схемы. Вы также можете выбрать ссылку схемы для поиска таблицы.

Изображение, показывающая доступ к ссылке на схему на портале

Узнайте таблицы схем

В следующей ссылке перечислены все таблицы в продвинутой схеме охоты. Каждое название таблицы содержит ссылку на страницу, описывающую имена столбцов для этой таблицы.

Имена таблиц и столбцов также перечислены в Центр безопасности в Microsoft Defender, в представлении схемы на продвинутом экране охоты.



Имя таблицы Описание
DeviceAlertEvents Оповещения на Центр безопасности в Microsoft Defender
DeviceInfo Сведения об устройстве, в том числе сведения об ОС
DeviceNetworkInfo Сетевые свойства устройств, включая адаптеры, IP и MAC-адреса, а также подключенные сети и домены
DeviceProcessEvents Создание процессов и связанных с ними событий
DeviceNetworkEvents Сетевое подключение и связанные события
DeviceFileEvents Создание файла, изменение и другие события файловой системы
DeviceRegistryEvents Создание и изменение записей реестра
DeviceLogonEvents Входы и другие события проверки подлинности
DeviceImageLoadEvents События загрузки библиотек DLL
DeviceEvents Несколько типов событий, включая события, инициированные средствами управления безопасностью, такие как антивирусная программа в Microsoft Defender и защита от эксплойтов
DeviceFileCertificateInfo Сведения о сертификатах подписанных файлов, полученных в ходе событий проверки сертификатов на конечных точках
DeviceTvmSoftwareInventory Инвентаризация программного обеспечения, установленного на устройствах, включая сведения о версии и состояние конечной поддержки
DeviceTvmSoftwareVulnerabilities Уязвимости программного обеспечения, найденные на устройствах, и список доступных обновлений безопасности, которые будут рассматривать каждую уязвимость.
DeviceTvmSoftwareVulnerabilitiesKB База знаний уязвимостей, о которых сообщалось в открытых источниках, включая информацию о том, является ли эксплойт общедоступным.
DeviceTvmSecureConfigurationAssessment События по оценке контроля угроз и уязвимостей, указывающие состояние различных конфигураций безопасности на устройствах
DeviceTvmSecureConfigurationAssessmentKB База знаний различных конфигураций безопасности, используемых системой контроля угроз и уязвимостей для оценки устройств; включает в себя сопоставления с различными стандартами и контрольными показателями

Совет

Используйте расширенный поиск в Microsoft 365 Defender для охоты на угрозы с помощью данных defender for Endpoint, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для identity. Включи Microsoft 365 Defender.

Узнайте больше о том, как переместить расширенные процессы охоты из Microsoft Defender для конечной точки в Microsoft 365 Defender в миграции расширенных запросов охоты из Microsoft Defender для конечной точки.