Tutustu kehittyneeseen metsästysrakenteeseen
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Jotkin tämän artikkelin tiedot liittyvät tuotteen ennakkojulkaisuversioon, jota voidaan muuttaa huomattavasti ennen kaupallista julkaisua. Microsoft ei anna mitään takuita tässä annettujen tietojen suhteen.
Kehittynyt metsästysrakenne koostuu useista taulukoista, jotka tarjoavat joko tapahtumatietoja tai tietoja laitteista, hälytyksistä, käyttäjätiedoista ja muista entiteettityypeistä. Jotta voit luoda tehokkaasti useita taulukoita kattavia kyselyitä, sinun on ymmärrettävä kehittyneen metsästysrakenteen taulukot ja sarakkeet.
Hanki rakennetietoja
Kun muodostat kyselyitä, käytä sisäistä rakenneviittausta saadaksesi nopeasti seuraavat tiedot kustakin rakenteen taulukosta:
- Taulukoiden kuvaus – taulukossa olevien tietojen tyyppi ja tietojen lähde.
- Sarakkeet – kaikki taulukon sarakkeet.
-
Toimintotyypit – mahdolliset arvot sarakkeessa
ActionType
, jotka edustavat taulukon tukemia tapahtumatyyppejä. Nämä tiedot annetaan vain taulukoille, jotka sisältävät tapahtumatietoja. - Esimerkkikysely – esimerkkikyselyt, joissa esitetään, miten taulukkoa voidaan käyttää.
Rakenneviittauksen käyttäminen
Jos haluat käyttää rakenneviittausta nopeasti, valitse Rakenne-esityksessä taulukon nimen vieressä oleva Näytä viittaus -toiminto. Voit myös valita rakenneviittauksen taulukon hakemiseksi.
Tutustu rakennetaulukoihin
Seuraavassa viittauksessa luetellaan kaikki rakenteen taulukot. Kunkin taulukon nimi sisältää linkin sivulle, jossa kuvataan kyseisen taulukon sarakkeiden nimet. Taulukon ja sarakkeen nimet luetellaan myös Microsoft Defender XDR osana rakenneesitystä kehittyneellä metsästysnäytöllä.
Taulukon nimi | Kuvaus |
---|---|
AADSignInEventsBeta | vuorovaikutteisten ja ei-vuorovaikutteisten kirjautumisten Microsoft Entra |
AADSpnSignInEventsBeta | Microsoft Entra palvelun päänimen ja hallittujen käyttäjätietojen kirjautumisia |
AlertEvidence | Hälytyksiin liittyvät tiedostot, IP-osoitteet, URL-osoitteet, käyttäjät tai laitteet |
AlertInfo | ilmoitukset Microsoft Defender for Endpoint, Microsoft Defender for Office 365, Microsoft Defender for Cloud Apps ja Microsoft Defender for Identity, mukaan lukien vakavuustiedot ja uhkien luokittelu |
Toimintaentiteetit (esikatselu) | Toimintatietotyypit Microsoft Defender for Cloud Apps (ei käytettävissä GCC:ssä) |
BehaviorInfo (esikatselu) | ilmoitukset Microsoft Defender for Cloud Apps (ei käytettävissä GCC:ssä) |
CloudAppEvents | tapahtumat, joihin liittyy tilejä ja objekteja Office 365 ja muissa pilvisovelluksissa ja -palveluissa |
CloudAuditEvents (esikatselu) | Pilvivalvontatapahtumat eri pilvipalveluympäristöissä, jotka on suojattu organisaation Microsoft Defender pilvipalveluille |
CloudProcessEvents (esikatselu) | Organisaation säilöjen Microsoft Defender suojaamien eri pilviympäristöjen pilviprosessitapahtumat |
DeviceBaselineComplianceAssessment (esikatselu) | Perusaikataulun vaatimustenmukaisuuden arvioinnin tilannevedos, joka ilmaisee eri suojausmääritysten tilan laitteiden perustasoprofiileissa |
DeviceBaselineComplianceAssessmentKB (esikatselu) | Tietoja erilaisista suojausmäärityksistä, joita perustason yhteensopivuus käyttää laitteiden arviointiin |
DeviceBaselineComplianceProfiles (esikatselu) | Perusaikatauluprofiilit, joita käytetään laitteen perustason yhteensopivuuden valvontaan |
DeviceEvents | Useita tapahtumatyyppejä, mukaan lukien suojaustoimintojen käynnistämät tapahtumat, kuten Microsoft Defender virustentorjunta ja hyödynnön suojaus |
DeviceFileCertificateInfo | Varmennetiedot päätepisteiden varmenteen tarkistustapahtumista saaduista allekirjoitetuista tiedostoista |
DeviceFileEvents | Tiedostojen luominen, muokkaaminen ja muut tiedostojärjestelmän tapahtumat |
DeviceImageLoadEvents | DLL-lataustapahtumat |
DeviceInfo | Konetiedot, mukaan lukien käyttöjärjestelmän tiedot |
DeviceLogonEvents | Kirjautumiset ja muut todennustapahtumat laitteissa |
DeviceNetworkEvents | Verkkoyhteys ja siihen liittyvät tapahtumat |
DeviceNetworkInfo | Laitteiden verkko-ominaisuudet, mukaan lukien fyysiset sovittimet, IP- ja MAC-osoitteet sekä yhdistetyt verkot ja toimialueet |
DeviceProcessEvents | Prosessin luominen ja siihen liittyvät tapahtumat |
DeviceRegistryEvents | Rekisterimerkintöjen luominen ja muokkaaminen |
DeviceTvmBrowserExtensions (esikatselu) | Microsoft Defenderin haavoittuvuuksien hallinta laitteista löytyneet selainlaajennusten asennukset |
DeviceTvmBrowserExtensionsKB (esikatselu) | selainlaajennuksen tiedot ja Microsoft Defenderin haavoittuvuuksien hallinta selainlaajennusten sivulla käytetyt käyttöoikeustiedot |
DeviceTvmCertificateInfo (esikatselu) | Organisaation laitteiden varmennetiedot Microsoft Defenderin haavoittuvuuksien hallinta |
DeviceTvmHardwareFirmware | laitteiden laitteisto- ja laiteohjelmistotiedot, jotka Defenderin haavoittuvuuksien hallinta on tarkistanut |
DeviceTvmInfoGathering | Defenderin haavoittuvuuksien hallinta arviointitapahtumat, mukaan lukien määritys- ja hyökkäyksen pinta-alan tilat |
DeviceTvmInfoGatheringKB | Taulukossa kerättyjen arviointitapahtumien DeviceTvmInfogathering metatiedot |
DeviceTvmSecureConfigurationAssessment | Microsoft Defenderin haavoittuvuuksien hallinta arviointitapahtumat, jotka ilmaisevat eri suojausmääritysten tilan laitteissa |
DeviceTvmSecureConfigurationAssessmentKB | Tietokanta erilaisista suojauskokoonpanoista, joita Microsoft Defenderin haavoittuvuuksien hallinta laitteiden arvioimiseen. Sisältää yhdistämismääritykset eri standardeihin ja vertailuarvoihin |
DeviceTvmSoftwareEvidenceBeta | Näyttötiedot siitä, missä tietty ohjelmisto havaittiin laitteessa |
DeviceTvmSoftwareInventory | Laitteisiin asennettujen ohjelmistojen luettelo, mukaan lukien niiden versiotiedot ja tuen päättymistila |
DeviceTvmSoftwareVulnerabilities | Laitteista löytyneet ohjelmiston haavoittuvuudet ja luettelo saatavilla olevista tietoturvapäivityksistä, jotka korjaavat kunkin haavoittuvuuden |
DeviceTvmSoftwareVulnerabilitiesKB | Tietokanta julkisista haavoittuvuuksista, mukaan lukien se, onko hyödyntämiskoodi julkisesti saatavilla |
EmailAttachmentInfo | Tietoja sähköposteihin liitetyistä tiedostoista |
EmailEvents | Microsoft 365 -sähköpostitapahtumat, mukaan lukien sähköpostin toimitus ja tapahtumien esto |
EmailPostDeliveryEvents | Toimituksen jälkeiset suojaustapahtumat sen jälkeen, kun Microsoft 365 toimittaa sähköpostiviestit vastaanottajan postilaatikkoon |
EmailUrlInfo | Tietoja sähköpostiviestien URL-osoitteista |
ExposureGraphEdges | Microsoft-suojauksen altistumishallinta näkyvyys kaavion entiteettien ja resurssien välisiin suhteisiin |
ExposureGraphNodes | Microsoft-suojauksen altistumishallinta altistumisen kaaviosolmun tiedot organisaation entiteeteistä ja niiden ominaisuuksista |
IdentityDirectoryEvents | Tapahtumat, joissa on mukana paikallinen toimialueen ohjauskone, jossa on käytössä Active Directory (AD). Tämä taulukko kattaa useita käyttäjätietoihin liittyviä tapahtumia ja järjestelmätapahtumia toimialueen ohjauskoneessa. |
IdentityInfo | Tilitiedot eri lähteistä, mukaan lukien Microsoft Entra ID |
IdentityLogonEvents | Active Directoryn ja Microsoft online-palvelut todentamistapahtumat |
IdentityQueryEvents | Kyselyt Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille |
UrlClickEvents | Turvalliset linkit -napsautukset sähköpostiviesteistä, Teamsista ja Office 365-sovelluksista |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Kyselytulosten käsitteleminen
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.