Förstå det avancerade schemat för sökning i Microsoft Defender för Endpoint

Gäller för:

Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Det avancerade schemat för sökning består av flera tabeller som innehåller händelseinformation eller information om enheter och andra enheter. För att skapa frågor som sträcker sig över flera tabeller effektivt måste du förstå tabellerna och kolumnerna i det avancerade sökschemat.

Hämta schemainformation i Defender för molnet

När du skapar frågor kan du använda den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:

  • Tabellbeskrivning: Typ av data som finns i tabellen och datakällan.
  • Kolumner: Alla kolumner i tabellen.
  • Åtgärdstyper: Möjliga värden i ActionType kolumnen som representerar de händelsetyper som stöds av tabellen. Detta tillhandahålls endast för tabeller som innehåller händelseinformation.
  • Exempelfråga: Exempelfrågor som innehåller hur tabellen kan användas.

Komma åt schemareferensen

Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens om du vill söka efter en tabell.

Bild som visar hur du kommer åt schemareferensen i portalen.

Lär dig schematabellerna

I följande referens visas alla tabeller i det avancerade sökschemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen.

Tabell- och kolumnnamn visas också i Microsoft 365 Defender-portalen i schemarepresentationen på den avancerade sökskärmen.



Tabellnamn Beskrivning
DeviceAlertEvents Aviseringar på Microsoft 365 Defender
DeviceInfo Enhetsinformation, inklusive OS-information
DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive adaptrar, IP- och MAC-adresser, samt anslutna nätverk och domäner
DeviceProcessEvents Skapa processer och relaterade händelser
DeviceNetworkEvents Nätverksanslutning och relaterade händelser
DeviceFileEvents Skapa, ändra filer och andra filsystemhändelser
DeviceRegistryEvents Skapa och ändra registerposter
DeviceLogonEvents Inloggningar och andra autentiseringshändelser
DeviceImageLoadEvents DLL-inläsningshändelser
DeviceEvents Flera händelsetyper, bland annat händelser som utlöses av säkerhetskontroller, Microsoft Defender Antivirus och sårbarhetsskydd
DeviceFileCertificateInfo Certifikatinformation för signerade filer som erhållits från certifikatverifieringshändelser i slutpunkter
DeviceTvmSoftwareInventory Inventering av programvara installerad på enheter, inklusive deras versionsinformation och status vid slutet av supporten
DeviceTvmSoftwareVulnerabilities Sårbarheter i programvaran som finns på enheter och listan över tillgängliga säkerhetsuppdateringar som är tillgängliga för varje sårbarhet
DeviceTvmSoftwareVulnerabilitiesKB Kunskapsbas för offentligt avslöjat säkerhetsproblem, inklusive om sårbarhetskod är offentligt tillgänglig
DeviceTvmSecureConfigurationAssessment Hot & sårbarhetshanteringsutvärderingshändelser, som anger status för olika säkerhetskonfigurationer på enheter
DeviceTvmSecureConfigurationAssessmentKB Kunskapsbas av olika säkerhetskonfigurationer som används av Threat & Vulnerability Management för att utvärdera enheter. inkluderar mappningar till olika standarder och riktvärde

Tips

Använd avancerad sökning i Microsoft 365 Defender för att leta efter hot med hjälp av data från Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet. Aktivera Microsoft 365 Defender.

Läs mer om hur du flyttar dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.