Delen via


Het geavanceerde opsporingsschema begrijpen

Van toepassing op:

  • Microsoft Defender XDR

Belangrijk

Sommige informatie in dit artikel heeft betrekking op een vooraf uitgebracht product dat aanzienlijk kan worden gewijzigd voordat het commercieel wordt uitgebracht. Microsoft geeft geen garanties, expliciet of impliciet, met betrekking tot de informatie die hier wordt verstrekt.

Het geavanceerde opsporingsschema bestaat uit meerdere tabellen met gebeurtenisgegevens of informatie over apparaten, waarschuwingen, identiteiten en andere entiteitstypen. Als u effectief query's wilt bouwen die meerdere tabellen omvatten, moet u de tabellen en de kolommen in het geavanceerde opsporingsschema begrijpen.

Schemagegevens ophalen

Gebruik tijdens het samenstellen van query's de ingebouwde schemaverwijzing om snel de volgende informatie over elke tabel in het schema op te halen:

  • Beschrijving van tabellen: het type gegevens in de tabel en de bron van die gegevens.
  • Kolommen: alle kolommen in de tabel.
  • Actietypen: mogelijke waarden in de ActionType kolom die de gebeurtenistypen vertegenwoordigen die door de tabel worden ondersteund. Deze informatie wordt alleen verstrekt voor tabellen die gebeurtenisgegevens bevatten.
  • Voorbeeldquery: voorbeeldquery's die laten zien hoe de tabel kan worden gebruikt.

De schemareferentie openen

Als u snel toegang wilt krijgen tot de schemareferentie, selecteert u de actie Verwijzing weergeven naast de tabelnaam in de schemaweergave. U kunt ook Schema-verwijzing selecteren om naar een tabel te zoeken.

De pagina Schemareferentie op de pagina Geavanceerde opsporing in de Microsoft Defender-portal

Meer informatie over de schematabellen

De volgende verwijzing bevat een lijst met alle tabellen in het schema. Elke tabelnaam is gekoppeld aan een pagina met een beschrijving van de kolomnamen voor die tabel. Tabel- en kolomnamen worden ook weergegeven in Microsoft Defender XDR als onderdeel van de schemaweergave op het geavanceerde opsporingsscherm.

Tabelnaam Beschrijving
AADSignInEventsBeta interactieve en niet-interactieve aanmeldingen Microsoft Entra
AADSpnSignInEventsBeta aanmeldingen voor service-principal en beheerde identiteit Microsoft Entra
AlertEvidence Bestanden, IP-adressen, URL's, gebruikers of apparaten die zijn gekoppeld aan waarschuwingen
AlertInfo Waarschuwingen van Microsoft Defender voor Eindpunt, Microsoft Defender voor Office 365, Microsoft Defender for Cloud Apps en Microsoft Defender for Identity, inclusief ernstgegevens en bedreigingscategorisatie
BehaviorEntities (preview) Gegevenstypen gedrag in Microsoft Defender for Cloud Apps (niet beschikbaar voor GCC)
BehaviorInfo (preview) Waarschuwingen van Microsoft Defender for Cloud Apps (niet beschikbaar voor GCC)
CloudAppEvents Gebeurtenissen met betrekking tot accounts en objecten in Office 365 en andere cloud-apps en -services
CloudAuditEvents (preview) Cloudcontrolegebeurtenissen voor verschillende cloudplatforms die worden beveiligd door de Microsoft Defender van de organisatie voor cloud
CloudProcessEvents (preview) Gebeurtenissen voor cloudprocessen voor verschillende cloudplatforms die worden beveiligd door de Microsoft Defender van de organisatie voor containers
DeviceBaselineComplianceAssessment (preview) Momentopname van nalevingsevaluatie basislijn, die de status aangeeft van verschillende beveiligingsconfiguraties met betrekking tot basislijnprofielen op apparaten
DeviceBaselineComplianceAssessmentKB (preview) Informatie over verschillende beveiligingsconfiguraties die worden gebruikt door basislijncompatibiliteit om apparaten te beoordelen
DeviceBaselineComplianceProfiles (preview) Basislijnprofielen die worden gebruikt voor het bewaken van de naleving van de apparaatbasislijn
DeviceEvents Meerdere gebeurtenistypen, waaronder gebeurtenissen die worden geactiveerd door beveiligingsbesturingselementen zoals Microsoft Defender Antivirus en exploit protection
DeviceFileCertificateInfo Certificaatgegevens van ondertekende bestanden die zijn verkregen uit certificaatverificatie-gebeurtenissen op eindpunten
DeviceFileEvents Bestanden maken, wijzigen en andere bestandssysteem-gebeurtenissen
DeviceImageLoadEvents DLL-laadbeurtenissen
DeviceInfo Computergegevens, inclusief informatie over het besturingssysteem
DeviceLogonEvents Aanmeldingen en andere verificatiegebeurtenissen op apparaten
DeviceNetworkEvents Netwerkverbinding en gerelateerde gebeurtenissen
DeviceNetworkInfo Netwerkeigenschappen van apparaten, waaronder fysieke adapters, IP- en MAC-adressen, evenals verbonden netwerken en domeinen
DeviceProcessEvents Proces maken en gerelateerde gebeurtenissen
DeviceRegistryEvents Registervermeldingen maken en wijzigen
DeviceTvmBrowserExtensions (preview) Installatie van browseruitbreidingen gevonden op apparaten van Microsoft Defender Vulnerability Management
DeviceTvmBrowserExtensionsKB (preview) Browserextensiedetails en machtigingsgegevens die worden gebruikt op de pagina Microsoft Defender Vulnerability Management browserextensies
DeviceTvmCertificateInfo (preview) Certificaatgegevens voor apparaten in de organisatie van Microsoft Defender Vulnerability Management
DeviceTvmHardwareFirmware Hardware- en firmwaregegevens van apparaten zoals gecontroleerd door Defender Vulnerability Management
DeviceTvmInfoGathering Defender Vulnerability Management evaluatie-gebeurtenissen, waaronder configuratie- en aanvalsstatussen
DeviceTvmInfoGatheringKB Metagegevens voor evaluatie-gebeurtenissen die in de DeviceTvmInfogathering tabel zijn verzameld
DeviceTvmSecureConfigurationAssessment Microsoft Defender Vulnerability Management evaluatie-gebeurtenissen, waarmee de status van verschillende beveiligingsconfiguraties op apparaten wordt aangegeven
DeviceTvmSecureConfigurationAssessmentKB Knowledge Base van verschillende beveiligingsconfiguraties die door Microsoft Defender Vulnerability Management worden gebruikt om apparaten te beoordelen; bevat toewijzingen aan verschillende standaarden en benchmarks
DeviceTvmSoftwareEvidenceBeta Bewijsgegevens over waar een specifieke software is gedetecteerd op een apparaat
DeviceTvmSoftwareInventory Inventaris van software die op apparaten is geïnstalleerd, met inbegrip van hun versiegegevens en de status van het einde van de ondersteuning
DeviceTvmSoftwareVulnerabilities Softwareproblemen gevonden op apparaten en de lijst met beschikbare beveiligingsupdates die elk beveiligingsprobleem verhelpen
DeviceTvmSoftwareVulnerabilitiesKB Knowledge Base met openbaar bekendgemaakte beveiligingsproblemen, waaronder of exploitcode openbaar beschikbaar is
EmailAttachmentInfo Informatie over bestanden die zijn gekoppeld aan e-mailberichten
EmailEvents Microsoft 365-e-mailevenementen, waaronder e-mailbezorging en blokkeringsevenementen
EmailPostDeliveryEvents Beveiligingsgebeurtenissen die plaatsvinden na de bezorging, nadat Microsoft 365 de e-mailberichten naar het postvak van de geadresseerde heeft verzonden
EmailUrlInfo Informatie over URL's in e-mailberichten
ExposureGraphEdges Microsoft Security Exposure Management informatie over blootstellingsgrafiekrand biedt inzicht in relaties tussen entiteiten en assets in de grafiek
ExposureGraphNodes Microsoft Security Exposure Management informatie over blootstellingsgrafiekknooppunten, over organisatie-entiteiten en hun eigenschappen
IdentityDirectoryEvents Gebeurtenissen waarbij een on-premises domeincontroller met Active Directory (AD) wordt uitgevoerd. Deze tabel bevat een reeks identiteitsgerelateerde gebeurtenissen en systeemgebeurtenissen op de domeincontroller.
IdentityInfo Accountgegevens uit verschillende bronnen, waaronder Microsoft Entra ID
IdentityLogonEvents Verificatie-gebeurtenissen in Active Directory en Microsoft onlineservices
IdentityQueryEvents Query's voor Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen
UrlClickEvents Klikken op veilige koppelingen vanuit e-mailberichten, Teams en Office 365-apps

Tip

Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.