Förstå det avancerade sökschemat
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Viktigt
En del information gäller förinstallerad produkt som kan ha ändrats mycket innan den släpps kommersiellt. Microsoft lämnar inga garantier, uttryckliga eller underförstådda, med avseende på den information som anges här.
Det avancerade sökschemat består av flera tabeller som innehåller händelseinformation eller information om enheter, aviseringar, identiteter och andra entitetstyper. För att skapa frågor som sträcker sig över flera tabeller effektivt måste du förstå tabellerna och kolumnerna i det avancerade sökschemat.
Hämta schemainformation i säkerhetscentret
När du skapar frågor kan du använda den inbyggda schemareferensen för att snabbt få följande information om varje tabell i schemat:
- Tabellbeskrivning– typ av data som finns i tabellen och källan till dessa data.
- Kolumner– alla kolumner i tabellen.
- Åtgärdstyper– möjliga värden i
ActionTypekolumnen som representerar de händelsetyper som stöds av tabellen. Den här informationen tillhandahålls endast för tabeller som innehåller händelseinformation. - Exempelfråga– exempelfrågor som innehåller hur tabellen kan användas.
Komma åt schemareferensen
Om du snabbt vill komma åt schemareferensen väljer du åtgärden Visa referens bredvid tabellnamnet i schemarepresentationen. Du kan också välja Schemareferens om du vill söka efter en tabell.

Lär dig schematabellerna
I följande referens visas alla tabeller i schemat. Varje tabellnamn länkar till en sida som beskriver kolumnnamnen för tabellen. Tabell- och kolumnnamn visas också i säkerhetscentret som en del av schemarepresentationen på den avancerade sökskärmen.
| Tabellnamn | Beskrivning |
|---|---|
| AlertEvidence | Filer, IP-adresser, URL:er, användare eller enheter som associeras med aviseringar |
| AlertInfo | Varningar från Microsoft Defender för Slutpunkt, Microsoft Defender för Office 365, Microsoft Cloud App Security och Microsoft Defender för identitet, inklusive information om allvarlighetsgrad och hotkategorisering |
| CloudAppEvents | Händelser som innefattar konton och objekt i Office 365 och andra molnappar och -tjänster |
| DeviceEvents | Flera händelsetyper, bland annat händelser som utlöses av säkerhetskontroller, Windows Defender Antivirus och sårbarhetsskydd |
| DeviceFileCertificateInfo | Certifikatinformation för signerade filer som erhållits från certifikatverifieringshändelser i slutpunkter |
| DeviceFileEvents | Skapa, ändra filer och andra filsystemhändelser |
| DeviceImageLoadEvents | DLL-inläsningshändelser |
| DeviceInfo | Maskininformation, inklusive OS-information |
| DeviceLogonEvents | Inloggningar och andra autentiseringshändelser på enheter |
| DeviceNetworkEvents | Nätverksanslutning och relaterade händelser |
| DeviceNetworkInfo | Nätverksegenskaper för enheter, inklusive fysiska adaptrar, IP- och MAC-adresser, samt anslutna nätverk och domäner |
| DeviceProcessEvents | Skapa processer och relaterade händelser |
| DeviceRegistryEvents | Skapa och ändra registerposter |
| DeviceTvmSecureConfigurationAssessment | Hot & sårbarhetshanteringsutvärderingshändelser, som anger status för olika säkerhetskonfigurationer på enheter |
| DeviceTvmSecureConfigurationAssessmentKB | Kunskapsbas av olika säkerhetskonfigurationer som används av threat & Vulnerability Management för att utvärdera enheter; inkluderar mappningar till olika standarder och riktvärde |
| DeviceTvmSoftwareInventory | Inventering av programvara installerad på enheter, inklusive deras versionsinformation och status vid slutet av supporten |
| DeviceTvmSoftwareVulnerabilities | Sårbarheter i programvaran som finns på enheter och listan med tillgängliga säkerhetsuppdateringar som är tillgängliga för varje sårbarhet |
| DeviceTvmSoftwareVulnerabilitiesKB | Kunskapsbas för offentligt avslöjat säkerhetsproblem, inklusive om sårbarhetskod är offentligt tillgänglig |
| EmailAttachmentInfo | Information om bifogade filer i e-postmeddelanden |
| EmailEvents | Microsoft 365 e-posthändelser, inklusive e-postleverans och blockeringshändelser |
| EmailPostDeliveryEvents | Säkerhetshändelser som inträffar efter leveransen, när Microsoft 365 har levererat e-postmeddelanden till mottagarens postlåda |
| EmailUrlInfo | Information om URL:er för e-postmeddelanden |
| IdentityDirectoryEvents | Händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen omfattar ett antal identitetsrelaterade händelser och systemhändelser på domänkontrollanten. |
| IdentityInfo | Kontoinformation från olika källor, bland annat Azure Active Directory |
| IdentityLogonEvents | Autentiseringshändelser i Active Directory och Microsoft-onlinetjänster |
| IdentityQueryEvents | Frågor för Active Directory-objekt, till exempel användare, grupper, enheter och domäner |