Förstå det avancerade sökschemat

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Viktigt

En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.

Det avancerade sökschemat består av flera tabeller som innehåller händelseinformation eller information om enheter, aviseringar, identiteter och andra entitetstyper. För att skapa frågor som sträcker sig över flera tabeller effektivt måste du förstå tabellerna och kolumnerna i det avancerade sökschemat.

Hämta schemainformation i säkerhetscentret

När du skapar frågor kan du använda den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:

  • Tabellbeskrivning– typ av data som finns i tabellen och källan till dessa data.
  • Kolumner– alla kolumner i tabellen.
  • Åtgärdstyper– möjliga värden i ActionType kolumnen som representerar de händelsetyper som stöds av tabellen. Den här informationen tillhandahålls endast för tabeller som innehåller händelseinformation.
  • Exempelfråga– exempelfrågor som innehåller hur tabellen kan användas.

Komma åt schemareferensen

Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens om du vill söka efter en tabell.

Bild som visar hur du kommer åt schemareferensen i portalen.

Lär dig schematabellerna

I följande referens visas alla tabeller i schemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen. Tabell- och kolumnnamn visas också i säkerhetscentret som en del av schemarepresentationen på den avancerade sökskärmen.

Tabellnamn Beskrivning
AlertEvidence Filer, IP-adresser, URL:er, användare eller enheter som associeras med aviseringar
AlertInfo Varningar från Microsoft Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Cloud App Security och Microsoft Defender för identitet, inklusive information om allvarlighetsgrad och hotkategorisering
CloudAppEvents Händelser som innefattar konton och objekt i Office 365 och andra molnappar och -tjänster
DeviceEvents Flera händelsetyper, bland annat händelser som utlöses av säkerhetskontroller, Windows Defender Antivirus och sårbarhetsskydd
DeviceFileCertificateInfo Certifikatinformation för signerade filer som erhållits från certifikatverifieringshändelser i slutpunkter
DeviceFileEvents Skapa, ändra filer och andra filsystemhändelser
DeviceImageLoadEvents DLL-inläsningshändelser
DeviceInfo Maskininformation, inklusive OS-information
DeviceLogonEvents Inloggningar och andra autentiseringshändelser på enheter
DeviceNetworkEvents Nätverksanslutning och relaterade händelser
DeviceNetworkInfo Nätverksegenskaper för enheter, inklusive fysiska adaptrar, IP- och MAC-adresser, samt anslutna nätverk och domäner
DeviceProcessEvents Skapa processer och relaterade händelser
DeviceRegistryEvents Skapa och ändra registerposter
DeviceTvmSecureConfigurationAssessment Hot & sårbarhetshanteringsutvärderingshändelser, som anger status för olika säkerhetskonfigurationer på enheter
DeviceTvmSecureConfigurationAssessmentKB Kunskapsbas av olika säkerhetskonfigurationer som används av threat & Vulnerability Management för att utvärdera enheter; inkluderar mappningar till olika standarder och riktvärde
DeviceTvmSoftwareInventory Inventering av programvara installerad på enheter, inklusive deras versionsinformation och status vid slutet av supporten
DeviceTvmSoftwareVulnerabilities Sårbarheter i programvaran som finns på enheter och listan med tillgängliga säkerhetsuppdateringar som är tillgängliga för varje sårbarhet
DeviceTvmSoftwareVulnerabilitiesKB Kunskapsbas för offentligt avslöjat säkerhetsproblem, inklusive om sårbarhetskod är offentligt tillgänglig
EmailAttachmentInfo Information om bifogade filer i e-postmeddelanden
EmailEvents Microsoft 365 e-posthändelser, inklusive e-postleverans och blockeringshändelser
EmailPostDeliveryEvents Säkerhetshändelser som inträffar efter leveransen, när Microsoft 365 har levererat e-postmeddelanden till mottagarens postlåda
EmailUrlInfo Information om URL:er för e-postmeddelanden
IdentityDirectoryEvents Händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen omfattar ett antal identitetsrelaterade händelser och systemhändelser på domänkontrollanten.
IdentityInfo Kontoinformation från olika källor, bland annat Azure Active Directory
IdentityLogonEvents Autentiseringshändelser i Active Directory och Microsoft-onlinetjänster
IdentityQueryEvents Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner