Общие сведения о схеме расширенной охоты на угрозыUnderstand the advanced hunting schema

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии.The improved Microsoft 365 security center is now available. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Узнайте о новых возможностях.Learn what's new.

Область применения:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

Важно!

Некоторые сведения относятся к предварительным выпускам продуктов, которые могут быть существенно изменены до коммерческого выпуска.Some information relates to prereleased product which may be substantially modified before it's commercially released. Корпорация Майкрософт не дает никаких гарантий, явных или подразумеваемых, относительно предоставленных здесь сведений.Microsoft makes no warranties, express or implied, with respect to the information provided here.

Передовая схема охоты состоит из нескольких таблиц, которые предоставляют информацию о событиях или сведения об устройствах, оповещениях, удостоверениях и других типах сущности.The advanced hunting schema is made up of multiple tables that provide either event information or information about devices, alerts, identities, and other entity types. Для эффективного построения запросов, охватывающих несколько таблиц, необходимо понимать, что такое таблицы и столбцы в схеме расширенной охоты на угрозыTo effectively build queries that span multiple tables, you need to understand the tables and the columns in the advanced hunting schema.

Получить сведения о схеме в центре безопасностиGet schema information in the security center

При построении запросов используйте встроенную ссылку на схему, чтобы быстро получить следующую информацию о каждой таблице в схеме:While constructing queries, use the built-in schema reference to quickly get the following information about each table in the schema:

  • Описание таблиц— тип данных, содержащихся в таблице, и источник этих данных.Tables description—type of data contained in the table and the source of that data.
  • Столбцы— все столбцы в таблице.Columns—all the columns in the table.
  • Типы действий— возможные значения в ActionType столбце, представляющего типы событий, поддерживаемые таблицей.Action types—possible values in the ActionType column representing the event types supported by the table. Эта информация предоставляется только для таблиц, содержащих сведения о событиях.This information is provided only for tables that contain event information.
  • Пример запроса— например, запросы, которые повеяют, как можно использовать таблицу.Sample query—example queries that feature how the table can be utilized.

Доступ к ссылке схемыAccess the schema reference

Чтобы быстро получить доступ к ссылке схемы, выберите действие View reference рядом с именем таблицы в представлении схемы.To quickly access the schema reference, select the View reference action next to the table name in the schema representation. Вы также можете выбрать ссылку схемы для поиска таблицы.You can also select Schema reference to search for a table.

Изображение, показывающая доступ к ссылке на схему на порталеImage showing how to access in-portal schema reference

Узнайте таблицы схемLearn the schema tables

В приведенной ниже ссылке перечислены все таблицы в схеме.The following reference lists all the tables in the schema. Каждое название таблицы содержит ссылку на страницу, описывающую имена столбцов для этой таблицы.Each table name links to a page describing the column names for that table. Имена таблиц и столбцов также перечислены в центре безопасности в рамках представления схемы на продвинутом экране охоты.Table and column names are also listed in the security center as part of the schema representation on the advanced hunting screen.

Имя таблицыTable name ОписаниеDescription
AlertEvidenceAlertEvidence Файлы, IP-адреса, URL-адреса, пользователи или устройства, связанные с оповещениямиFiles, IP addresses, URLs, users, or devices associated with alerts
AlertInfoAlertInfo Оповещения от Microsoft Defender для конечной точки, Microsoft Defender для Office 365, Microsoft Cloud App Security и Microsoft Defender для удостоверений, включая сведения о серьезности и категоризации угрозAlerts from Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Cloud App Security, and Microsoft Defender for Identity, including severity information and threat categorization
CloudAppEventsCloudAppEvents События, связанные с учетными записями и объектами в Office 365 и других облачных приложениях и службахEvents involving accounts and objects in Office 365 and other cloud apps and services
DeviceEventsDeviceEvents Несколько типов событий, в том числе события, запускаемые такими элементами управления безопасностью, как антивирусная программа "Защитник Windows" и защита от эксплойтовMultiple event types, including events triggered by security controls such as Windows Defender Antivirus and exploit protection
DeviceFileCertificateInfoDeviceFileCertificateInfo Сведения о сертификатах подписанных файлов, полученных в ходе событий проверки сертификатов на конечных точкахCertificate information of signed files obtained from certificate verification events on endpoints
DeviceFileEventsDeviceFileEvents Создание файла, изменение и другие события файловой системыFile creation, modification, and other file system events
DeviceImageLoadEventsDeviceImageLoadEvents События загрузки библиотек DLLDLL loading events
DeviceInfoDeviceInfo Сведения о компьютере, в том числе данные об ОСMachine information, including OS information
DeviceLogonEventsDeviceLogonEvents Входы и другие события проверки подлинности на устройствахSign-ins and other authentication events on devices
DeviceNetworkEventsDeviceNetworkEvents Сетевое подключение и связанные событияNetwork connection and related events
DeviceNetworkInfoDeviceNetworkInfo Сетевые свойства устройств, включая физические адаптеры, IP и MAC-адреса, а также подключенные сети и доменыNetwork properties of devices, including physical adapters, IP and MAC addresses, as well as connected networks and domains
DeviceProcessEventsDeviceProcessEvents Создание процессов и связанных с ними событийProcess creation and related events
DeviceRegistryEventsDeviceRegistryEvents Создание и изменение записей реестраCreation and modification of registry entries
DeviceTvmSecureConfigurationAssessmentDeviceTvmSecureConfigurationAssessment События по оценке контроля угроз и уязвимостей, указывающие состояние различных конфигураций безопасности на устройствахThreat & Vulnerability Management assessment events, indicating the status of various security configurations on devices
DeviceTvmSecureConfigurationAssessmentKBDeviceTvmSecureConfigurationAssessmentKB База знаний различных конфигураций безопасности, используемых системой контроля угроз и уязвимостей для оценки устройств; включает в себя сопоставления с различными стандартами и контрольными показателямиKnowledge base of various security configurations used by Threat & Vulnerability Management to assess devices; includes mappings to various standards and benchmarks
DeviceTvmSoftwareInventoryDeviceTvmSoftwareInventory Инвентаризация программного обеспечения, установленного на устройствах, включая сведения о версии и состояние конечной поддержкиInventory of software installed on devices, including their version information and end-of-support status
DeviceTvmSoftwareVulnerabilitiesDeviceTvmSoftwareVulnerabilities Уязвимости программного обеспечения, найденные на устройствах, и список доступных обновлений безопасности, которые будут рассматривать каждую уязвимость.Software vulnerabilities found on devices and the list of available security updates that address each vulnerability
DeviceTvmSoftwareVulnerabilitiesKBDeviceTvmSoftwareVulnerabilitiesKB База знаний уязвимостей, о которых сообщалось в открытых источниках, включая информацию о том, является ли эксплойт общедоступным.Knowledge base of publicly disclosed vulnerabilities, including whether exploit code is publicly available
EmailAttachmentInfoEmailAttachmentInfo Сведения о файлах, присоединенных к электронным письмамInformation about files attached to emails
EmailEventsEmailEvents Microsoft 365 событий электронной почты, включая доставку электронной почты и блокирование событийMicrosoft 365 email events, including email delivery and blocking events
EmailPostDeliveryEventsEmailPostDeliveryEvents События безопасности, которые происходят после доставки, Microsoft 365 после доставки сообщений электронной почты в почтовый ящик получателяSecurity events that occur post-delivery, after Microsoft 365 has delivered the emails to the recipient mailbox
EmailUrlInfoEmailUrlInfo Сведения об URL-адресах в электронных письмахInformation about URLs on emails
IdentityDirectoryEventsIdentityDirectoryEvents События с участием локального контроллера домена под управлением Active Directory (AD).Events involving an on-premises domain controller running Active Directory (AD). В этой таблице описывается ряд событий, связанных с удостоверением, и системных событий на контроллере домена.This table covers a range of identity-related events and system events on the domain controller.
IdentityInfoIdentityInfo Сведения об учетных записях из различных источников, включая Azure Active DirectoryAccount information from various sources, including Azure Active Directory
IdentityLogonEventsIdentityLogonEvents События проверки подлинности в службах Active Directory и Microsoft onlineAuthentication events on Active Directory and Microsoft online services
IdentityQueryEventsIdentityQueryEvents Запросы для объектов Active Directory, таких как пользователи, группы, устройства и доменыQueries for Active Directory objects, such as users, groups, devices, and domains