Sdílet prostřednictvím


Vysvětlení schématu rozšířeného proaktivního proaktivního vyhledávání

Platí pro:

  • Microsoft Defender XDR

Důležité

Některé informace v tomto článku se týkají předvydaného produktu, který může být před komerčním vydáním podstatně změněn. Společnost Microsoft neposkytuje na zde uvedené informace žádné záruky, vyjádřené ani předpokládané.

Schéma rozšířeného proaktivního vyhledávání se skládá z několika tabulek, které poskytují informace o událostech nebo informace o zařízeních, výstrahách, identitách a dalších typech entit. Pokud chcete efektivně vytvářet dotazy, které zahrnují více tabulek, musíte porozumět tabulkám a sloupcům ve schématu rozšířeného proaktivního vyhledávání.

Získání informací o schématu

Při vytváření dotazů můžete pomocí předdefinovaných odkazů na schéma rychle získat následující informace o každé tabulce ve schématu:

  • Popis tabulek – typ dat obsažených v tabulce a zdroj těchto dat.
  • Sloupce – všechny sloupce v tabulce.
  • Typy akcí – možné hodnoty ve sloupci ActionType představující typy událostí podporované tabulkou Tyto informace jsou k dispozici pouze pro tabulky, které obsahují informace o událostech.
  • Ukázkový dotaz – ukázkové dotazy, které obsahují informace o tom, jak lze tabulku využít.

Přístup k referenčním informacím o schématu

Pokud chcete rychle získat přístup k odkazu na schéma, vyberte akci Zobrazit odkaz vedle názvu tabulky v reprezentaci schématu. Můžete také vybrat Odkaz na schéma a vyhledat tabulku.

Stránka s referenčními informacemi o schématu na stránce Rozšířené proaktivní vyhledávání na portálu Microsoft Defender

Seznámení s tabulkami schématu

Následující odkaz obsahuje seznam všech tabulek ve schématu. Každý název tabulky odkazuje na stránku popisující názvy sloupců pro danou tabulku. Názvy tabulek a sloupců jsou také uvedeny v Microsoft Defender XDR jako součást reprezentace schématu na obrazovce rozšířeného proaktivního vyhledávání.

Název tabulky Popis
AADSignInEventsBeta Microsoft Entra interaktivních a neinteraktivních přihlášení
AADSpnSignInEventsBeta Microsoft Entra přihlášení instančního objektu a spravované identity
AlertEvidence Soubory, IP adresy, adresy URL, uživatelé nebo zařízení přidružená k upozorněním
AlertInfo Výstrahy z Microsoft Defender for Endpoint, Microsoft Defender pro Office 365, Microsoft Defender for Cloud Apps a Microsoft Defender for Identity, včetně informací o závažnosti a kategorizaci hrozeb
BehaviorEntities (Preview) Datové typy chování v Microsoft Defender for Cloud Apps (není k dispozici pro GCC)
BehaviorInfo (Preview) Upozornění z Microsoft Defender for Cloud Apps (není k dispozici pro GCC)
CloudAppEvents Události týkající se účtů a objektů v Office 365 a dalších cloudových aplikacích a službách
CloudAuditEvents (Preview) Události auditu cloudu pro různé cloudové platformy chráněné Microsoft Defender organizace pro cloud
CloudProcessEvents (Preview) Události cloudového procesu pro různé cloudové platformy chráněné Microsoft Defender pro kontejnery organizace
DeviceBaselineComplianceAssessment (Preview) Snímek posouzení dodržování předpisů podle směrného plánu, který označuje stav různých konfigurací zabezpečení souvisejících s profily standardních hodnot na zařízeních
DeviceBaselineComplianceAssessmentKB (Preview) Informace o různých konfiguracích zabezpečení používaných standardním dodržováním předpisů k posouzení zařízení
DeviceBaselineComplianceProfiles (Preview) Základní profily používané k monitorování dodržování předpisů podle standardních hodnot zařízení
DeviceEvents Několik typů událostí, včetně událostí aktivovaných ovládacími prvky zabezpečení, jako je Microsoft Defender Antivirová ochrana a ochrana před zneužitím
DeviceFileCertificateInfo Informace o certifikátech podepsaných souborů získaných z událostí ověření certifikátu v koncových bodech
DeviceFileEvents Vytváření, úpravy souborů a další události systému souborů
DeviceImageLoadEvents Události načítání knihovny DLL
DeviceInfo Informace o počítači, včetně informací o operačním systému
DeviceLogonEvents Přihlášení a další události ověřování na zařízeních
DeviceNetworkEvents Síťové připojení a související události
DeviceNetworkInfo Vlastnosti sítě zařízení, včetně fyzických adaptérů, IP adres a adres MAC, a také připojených sítí a domén
DeviceProcessEvents Vytváření procesů a související události
DeviceRegistryEvents Vytváření a úpravy položek registru
DeviceTvmBrowserExtensions (Preview) Instalace rozšíření prohlížeče nalezené na zařízeních z Microsoft Defender Správa zranitelností
DeviceTvmBrowserExtensionsKB (Preview) Podrobnosti o rozšíření prohlížeče a informace o oprávněních použité na stránce Microsoft Defender Správa zranitelností rozšíření prohlížeče
DeviceTvmCertificateInfo (Preview) Informace o certifikátu pro zařízení v organizaci z Microsoft Defender Správa zranitelností
DeviceTvmHardwareFirmware Informace o hardwaru a firmwaru zařízení podle kontroly Defender Správa zranitelností
DeviceTvmInfoGathering Defender Správa zranitelností události posouzení, včetně konfigurace a stavů potenciální oblasti útoku
DeviceTvmInfoGatheringKB Metadata pro události hodnocení shromážděná v tabulce DeviceTvmInfogathering
DeviceTvmSecureConfigurationAssessment Microsoft Defender Správa zranitelností události posouzení, které označují stav různých konfigurací zabezpečení na zařízeních
DeviceTvmSecureConfigurationAssessmentKB Znalostní báze různých konfigurací zabezpečení používaných Microsoft Defender Správa zranitelností k hodnocení zařízení; zahrnuje mapování na různé standardy a srovnávací testy.
DeviceTvmSoftwareEvidenceBeta Informace o tom, kde byl na zařízení zjištěn určitý software
DeviceTvmSoftwareInventory Inventář softwaru nainstalovaného na zařízeních, včetně informací o jeho verzi a stavu ukončení podpory
DeviceTvmSoftwareVulnerabilities Chyby zabezpečení softwaru zjištěné na zařízeních a seznam dostupných aktualizací zabezpečení, které řeší každou chybu zabezpečení
DeviceTvmSoftwareVulnerabilitiesKB Znalostní báze veřejně zveřejněných chyb zabezpečení, včetně toho, zda je kód zneužití veřejně dostupný
EmailAttachmentInfo Informace o souborech připojených k e-mailům
EmailEvents Události e-mailu Microsoft 365, včetně událostí doručování a blokování e-mailů
EmailPostDeliveryEvents Události zabezpečení, ke kterým dochází po doručení, poté, co Microsoft 365 doručí e-maily do poštovní schránky příjemce
EmailUrlInfo Informace o adresách URL v e-mailech
ExposureGraphEdges Správa míry rizika zabezpečení od Microsoftu informace o hranách grafu poskytují přehled o vztazích mezi entitami a aktivy v grafu.
ExposureGraphNodes Správa míry rizika zabezpečení od Microsoftu informace o uzlu grafu expozice, o organizačních entitách a jejich vlastnostech
IdentityDirectoryEvents Události týkající se místního řadiče domény se službou Active Directory (AD) Tato tabulka obsahuje celou řadu událostí souvisejících s identitou a systémových událostí na řadiči domény.
IdentityInfo Informace o účtu z různých zdrojů, včetně Microsoft Entra ID
IdentityLogonEvents Události ověřování ve službě Active Directory a Microsoft online služby
IdentityQueryEvents Dotazy na objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény
UrlClickEvents Kliknutí na bezpečné odkazy z e-mailových zpráv, Teams a aplikací Office 365

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.