Avancerat schema för sökning – Namnändringar

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Det avancerade schemat för sökning uppdateras regelbundet för att lägga till nya tabeller och kolumner. I vissa fall byter befintliga kolumner namn eller ersätts för att förbättra användarupplevelsen. Läs den här artikeln om du vill granska namnändringar som kan påverka dina frågor.

Namnändringar tillämpas automatiskt på frågor som sparas i säkerhetscentret, inklusive frågor som används av anpassade identifieringsregler. Du behöver inte uppdatera dessa frågor manuellt. Du måste dock uppdatera följande frågor:

  • Frågor som körs med API:t
  • Frågor som sparas någon annanstans utanför säkerhetscentret

December 2020

Tabellnamn Det ursprungliga kolumnnamnet Nytt kolumnnamn Orsak till ändring
EmailEvents FinalEmailAction EmailAction Feedback från kunder
EmailEvents FinalEmailActionPolicy EmailActionPolicy Feedback från kunder
EmailEvents FinalEmailActionPolicyGuid EmailActionPolicyGuid Feedback från kunder

Januari 2021

Kolumnnamn Namn på det ursprungliga värdet Namn på nytt värde Orsak till ändring
DetectionSource MCAS Microsoft Cloud App Security Rebranding
DetectionSource WindowsDefenderAtp Identifiering och åtgärd på slutpunkt Rebranding
DetectionSource WindowsDefenderAv Antivirus Rebranding
DetectionSource WindowsDefender SmartScreen SmartScreen Rebranding
DetectionSource CustomerTI Anpassat TI Rebranding
DetectionSource OfficeATP Microsoft Defender för Office 365 Rebranding
DetectionSource MTP Microsoft 365 Defender Rebranding
DetectionSource AzureATP Microsoft Defender for Identity Rebranding
DetectionSource AnpassadDetection Anpassad identifiering Rebranding
DetectionSource AutomatedInvestigation Automatiserad undersökning Rebranding
DetectionSource ThreatExperts Microsoft Hotexperter Rebranding
DetectionSource TREDJEPARTS TI Tredjepartssensorer Rebranding
ServiceSource Microsoft Defender Avancerat skydd Microsoft Defender för Endpoint Rebranding
ServiceSource Microsoft Hotskydd Microsoft 365 Defender Rebranding
ServiceSource Skaffa Office 365 ATP Microsoft Defender för Office 365 Rebranding
ServiceSource Azure ATP Microsoft Defender for Identity Rebranding

DetectionSourceär tillgänglig i tabellen AlertInfo. ServiceSourceär tillgängligt i tabellerna AlertEvidence och AlertInfo.

Februari 2021

  1. I tabellerna EmailAttachmentInfo och EmailEvents har kolumnerna och MalwareFilterVerdict PhishFilterVerdict ersatts med ThreatTypes kolumnen. Kolumnerna MalwareDetectionMethod PhishDetectionMethod och har också ersatts med DetectionMethods kolumnen. Denna effektivisering gör att vi kan ge mer information under de nya kolumnerna. Mappningen anges nedan.

    Tabellnamn Det ursprungliga kolumnnamnet Nytt kolumnnamn Orsak till ändring
    EmailAttachmentInfo MalwareDetectionMethod
    PhishDetectionMethod
    DetectionMethods Inkludera fler identifieringsmetoder
    EmailAttachmentInfo MalwareFilterVerdict
    PhishFilterVerdict
    ThreatTypes Inkludera fler hottyper
    EmailEvents MalwareDetectionMethod
    PhishDetectionMethod
    DetectionMethods Inkludera fler identifieringsmetoder
    EmailEvents MalwareFilterVerdict
    PhishFilterVerdict
    ThreatTypes Inkludera fler hottyper
  2. I EmailAttachmentInfo tabellerna EmailEvents och i tabellerna ThreatNames har kolumnen lagts till för att ge mer information om e-posthotet. Den här kolumnen innehåller värden som Skräppost eller Phish.

  3. I tabellen DeviceInfo har kolumnen DeviceObjectId ersatts med kolumnen AadDeviceId baserat på feedback från kunder.

  4. I tabellen DeviceEvents har flera ActionType-namn ändrats för att bättre återspegla beskrivningen av åtgärden. Information om ändringarna finns nedan.

    Tabellnamn Ursprungligt ActionType-namn Nytt ActionType-namn Orsak till ändring
    DeviceEvents DlpPocPrintJob FilePrinted Feedback från kunder
    DeviceEvents UsbDriveMount UsbDriveMounted Feedback från kunder
    DeviceEvents UsbDriveUnmount UsbDriveUnmounted Feedback från kunder
    DeviceEvents WriteProcessMemoryApiCall WriteToLsassProcessMemory Feedback från kunder

Mars 2021

Tabellen DeviceTvmSoftwareInventoryVulnerabilities har tagits bort. Om du ersätter detta DeviceTvmSoftwareInventory ersätts DeviceTvmSoftwareVulnerabilities tabellerna och.

Maj 2021

Tabellen AppFileEvents har tagits bort. Tabellen CloudAppEvents innehåller information som brukade finnas i AppFileEvents tabellen, tillsammans med andra aktiviteter i molntjänster.