Förstå det avancerade schemat för sökning i Microsoft Defender för Endpoint
Gäller för:
Vill du uppleva Microsoft Defender för Endpoint? Registrera dig för en kostnadsfri utvärderingsversion.
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Det avancerade schemat för sökning består av flera tabeller som innehåller händelseinformation eller information om enheter och andra enheter. För att skapa frågor som sträcker sig över flera tabeller effektivt måste du förstå tabellerna och kolumnerna i det avancerade sökschemat.
Hämta schemainformation i Defender för molnet
När du skapar frågor kan du använda den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:
- Tabellbeskrivning: Typ av data som finns i tabellen och datakällan.
- Kolumner: Alla kolumner i tabellen.
- Åtgärdstyper: Möjliga värden i
ActionTypekolumnen som representerar de händelsetyper som stöds av tabellen. Detta tillhandahålls endast för tabeller som innehåller händelseinformation. - Exempelfråga: Exempelfrågor som innehåller hur tabellen kan användas.
Komma åt schemareferensen
Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens om du vill söka efter en tabell.

Lär dig schematabellerna
I följande referens visas alla tabeller i det avancerade sökschemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen.
Tabell- och kolumnnamn visas också i Microsoft 365 Defender-portalen i schemarepresentationen på den avancerade sökskärmen.
| Tabellnamn | Beskrivning |
|---|---|
| DeviceAlertEvents | Aviseringar på Microsoft 365 Defender |
| DeviceInfo | Enhetsinformation, inklusive OS-information |
| DeviceNetworkInfo | Nätverksegenskaper för enheter, inklusive adaptrar, IP- och MAC-adresser, samt anslutna nätverk och domäner |
| DeviceProcessEvents | Skapa processer och relaterade händelser |
| DeviceNetworkEvents | Nätverksanslutning och relaterade händelser |
| DeviceFileEvents | Skapa, ändra filer och andra filsystemhändelser |
| DeviceRegistryEvents | Skapa och ändra registerposter |
| DeviceLogonEvents | Inloggningar och andra autentiseringshändelser |
| DeviceImageLoadEvents | DLL-inläsningshändelser |
| DeviceEvents | Flera händelsetyper, bland annat händelser som utlöses av säkerhetskontroller, Microsoft Defender Antivirus och sårbarhetsskydd |
| DeviceFileCertificateInfo | Certifikatinformation för signerade filer som erhållits från certifikatverifieringshändelser i slutpunkter |
| DeviceTvmSoftwareInventory | Inventering av programvara installerad på enheter, inklusive deras versionsinformation och status vid slutet av supporten |
| DeviceTvmSoftwareVulnerabilities | Sårbarheter i programvaran som finns på enheter och listan över tillgängliga säkerhetsuppdateringar som är tillgängliga för varje sårbarhet |
| DeviceTvmSoftwareVulnerabilitiesKB | Kunskapsbas för offentligt avslöjat säkerhetsproblem, inklusive om sårbarhetskod är offentligt tillgänglig |
| DeviceTvmSecureConfigurationAssessment | Hot & sårbarhetshanteringsutvärderingshändelser, som anger status för olika säkerhetskonfigurationer på enheter |
| DeviceTvmSecureConfigurationAssessmentKB | Kunskapsbas av olika säkerhetskonfigurationer som används av Threat & Vulnerability Management för att utvärdera enheter. inkluderar mappningar till olika standarder och riktvärde |
Tips
Använd avancerad sökning i Microsoft 365 Defender för att leta efter hot med hjälp av data från Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Defender för molnappar och Microsoft Defender för identitet. Aktivera Microsoft 365 Defender.
Läs mer om hur du flyttar dina avancerade arbetsflöden för sökning från Microsoft Defender för Slutpunkt till Microsoft 365 Defender i Migrera avancerade sökfrågor från Microsoft Defender för Slutpunkt.