Jaa


Tutustu kehittyneeseen metsästysrakenteeseen

Koskee seuraavia:

  • Microsoft Defender XDR

Tärkeää

Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.

Kehittynyt metsästysrakenne koostuu useista taulukoista, jotka tarjoavat joko tapahtumatietoja tai tietoja laitteista, hälytyksistä, käyttäjätiedoista ja muista entiteettityypeistä. Jotta voit luoda tehokkaasti useita taulukoita kattavia kyselyitä, sinun on ymmärrettävä kehittyneen metsästysrakenteen taulukot ja sarakkeet.

Hanki rakennetietoja

Kun muodostat kyselyitä, käytä sisäistä rakenneviittausta saadaksesi nopeasti seuraavat tiedot kustakin rakenteen taulukosta:

  • Taulukoiden kuvaus – taulukossa olevien tietojen tyyppi ja tietojen lähde.
  • Sarakkeet – kaikki taulukon sarakkeet.
  • Toimintotyypit – mahdolliset arvot sarakkeessa ActionType , jotka edustavat taulukon tukemia tapahtumatyyppejä. Nämä tiedot annetaan vain taulukoille, jotka sisältävät tapahtumatietoja.
  • Esimerkkikysely – esimerkkikyselyt, joissa esitetään, miten taulukkoa voidaan käyttää.

Rakenneviittauksen käyttäminen

Jos haluat käyttää rakenneviittausta nopeasti, valitse Rakenne-esityksessä taulukon nimen vieressä oleva Näytä viittaus -toiminto. Voit myös valita rakenneviittauksen taulukon hakemiseksi.

Rakenneviittaussivu Microsoft Defender portaalin lisämetsästyssivulla

Tutustu rakennetaulukoihin

Seuraavassa viittauksessa luetellaan kaikki rakenteen taulukot. Kunkin taulukon nimi sisältää linkin sivulle, jossa kuvataan kyseisen taulukon sarakkeiden nimet. Taulukon ja sarakkeen nimet luetellaan myös Microsoft Defender XDR osana rakenneesitystä kehittyneellä metsästysnäytöllä.

Taulukon nimi Kuvaus
AADSignInEventsBeta vuorovaikutteisten ja ei-vuorovaikutteisten kirjautumisten Microsoft Entra
AADSpnSignInEventsBeta Microsoft Entra palvelun päänimen ja hallittujen käyttäjätietojen kirjautumisia
AlertEvidence Hälytyksiin liittyvät tiedostot, IP-osoitteet, URL-osoitteet, käyttäjät tai laitteet
AlertInfo ilmoitukset Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity, mukaan lukien vakavuustiedot ja uhkien luokittelu
Toimintaentiteetit (esikatselu) Toimintatietotyypit Microsoft Defender for Cloud Apps (ei käytettävissä GCC:ssä)
BehaviorInfo (esikatselu) ilmoitukset Microsoft Defender for Cloud Apps (ei käytettävissä GCC:ssä)
CloudAppEvents tapahtumat, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa
CloudAuditEvents (esikatselu) Pilvivalvontatapahtumat eri pilvipalveluympäristöissä, jotka on suojattu organisaation Microsoft Defender pilvipalveluille
CloudProcessEvents (esikatselu) Organisaation säilöjen Microsoft Defender suojaamien eri pilviympäristöjen pilviprosessitapahtumat
DeviceBaselineComplianceAssessment (esikatselu) Perusaikataulun vaatimustenmukaisuuden arvioinnin tilannevedos, joka ilmaisee eri suojausmääritysten tilan laitteiden perustasoprofiileissa
DeviceBaselineComplianceAssessmentKB (esikatselu) Tietoja erilaisista suojausmäärityksistä, joita perustason yhteensopivuus käyttää laitteiden arviointiin
DeviceBaselineComplianceProfiles (esikatselu) Perusaikatauluprofiilit, joita käytetään laitteen perustason yhteensopivuuden valvontaan
DeviceEvents Useita tapahtumatyyppejä, mukaan lukien suojaustoimintojen käynnistämät tapahtumat, kuten Microsoft Defender virustentorjunta ja hyödynnön suojaus
DeviceFileCertificateInfo Varmennetiedot päätepisteiden varmenteen tarkistustapahtumista saaduista allekirjoitetuista tiedostoista
DeviceFileEvents Tiedostojen luominen, muokkaaminen ja muut tiedostojärjestelmän tapahtumat
DeviceImageLoadEvents DLL-lataustapahtumat
DeviceInfo Konetiedot, mukaan lukien käyttöjärjestelmän tiedot
DeviceLogonEvents Kirjautumiset ja muut todennustapahtumat laitteissa
DeviceNetworkEvents Verkkoyhteys ja siihen liittyvät tapahtumat
DeviceNetworkInfo Laitteiden verkko-ominaisuudet, mukaan lukien fyysiset sovittimet, IP- ja MAC-osoitteet sekä yhdistetyt verkot ja toimialueet
DeviceProcessEvents Prosessin luominen ja siihen liittyvät tapahtumat
DeviceRegistryEvents Rekisterimerkintöjen luominen ja muokkaaminen
DeviceTvmBrowserExtensions (esikatselu) Microsoft Defenderin haavoittuvuuksien hallinta laitteista löytyneet selainlaajennusten asennukset
DeviceTvmBrowserExtensionsKB (esikatselu) selainlaajennuksen tiedot ja Microsoft Defenderin haavoittuvuuksien hallinta selainlaajennusten sivulla käytetyt käyttöoikeustiedot
DeviceTvmCertificateInfo (esikatselu) Organisaation laitteiden varmennetiedot Microsoft Defenderin haavoittuvuuksien hallinta
DeviceTvmHardwareFirmware laitteiden laitteisto- ja laiteohjelmistotiedot, jotka Defenderin haavoittuvuuksien hallinta on tarkistanut
DeviceTvmInfoGathering Defenderin haavoittuvuuksien hallinta arviointitapahtumat, mukaan lukien määritys- ja hyökkäyksen pinta-alan tilat
DeviceTvmInfoGatheringKB Taulukossa kerättyjen arviointitapahtumien DeviceTvmInfogathering metatiedot
DeviceTvmSecureConfigurationAssessment Microsoft Defenderin haavoittuvuuksien hallinta arviointitapahtumat, jotka ilmaisevat eri suojausmääritysten tilan laitteissa
DeviceTvmSecureConfigurationAssessmentKB Tietokanta erilaisista suojauskokoonpanoista, joita Microsoft Defenderin haavoittuvuuksien hallinta laitteiden arvioimiseen. Sisältää yhdistämismääritykset eri standardeihin ja vertailuarvoihin
DeviceTvmSoftwareEvidenceBeta Näyttötiedot siitä, missä tietty ohjelmisto havaittiin laitteessa
DeviceTvmSoftwareInventory Laitteisiin asennettujen ohjelmistojen luettelo, mukaan lukien niiden versiotiedot ja tuen päättymistila
DeviceTvmSoftwareVulnerabilities Laitteista löytyneet ohjelmiston haavoittuvuudet ja luettelo saatavilla olevista tietoturvapäivityksistä, jotka korjaavat kunkin haavoittuvuuden
DeviceTvmSoftwareVulnerabilitiesKB Tietokanta julkisista haavoittuvuuksista, mukaan lukien se, onko hyödyntämiskoodi julkisesti saatavilla
EmailAttachmentInfo Tietoja sähköposteihin liitetyistä tiedostoista
EmailEvents Microsoft 365 -sähköpostitapahtumat, mukaan lukien sähköpostin toimitus ja tapahtumien esto
EmailPostDeliveryEvents Toimituksen jälkeiset suojaustapahtumat sen jälkeen, kun Microsoft 365 toimittaa sähköpostiviestit vastaanottajan postilaatikkoon
EmailUrlInfo Tietoja sähköpostiviestien URL-osoitteista
ExposureGraphEdges Microsoft-suojauksen altistumishallinta näkyvyys kaavion entiteettien ja resurssien välisiin suhteisiin
ExposureGraphNodes Microsoft-suojauksen altistumishallinta altistumisen kaaviosolmun tiedot organisaation entiteeteistä ja niiden ominaisuuksista
IdentityDirectoryEvents Tapahtumat, joissa on mukana paikallinen toimialueen ohjauskone, jossa on käytössä Active Directory (AD). Tämä taulukko kattaa useita käyttäjätietoihin liittyviä tapahtumia ja järjestelmätapahtumia toimialueen ohjauskoneessa.
IdentityInfo Tilitiedot eri lähteistä, mukaan lukien Microsoft Entra ID
IdentityLogonEvents Active Directoryn ja Microsoft online-palvelut todentamistapahtumat
IdentityQueryEvents Kyselyt Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille
UrlClickEvents Turvalliset linkit -napsautukset sähköpostiviesteistä, Teamsista ja Office 365-sovelluksista

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.