了解高级搜寻架构

适用于:

  • Microsoft Defender XDR

重要

本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。

高级搜寻架构由多个表组成,这些表提供事件信息或有关设备、警报、标识和其他实体类型的信息。 若要高效构建跨多个表的查询,需要了解高级搜寻架构中的表和列。

获取架构信息

构造查询时,请使用内置架构引用快速获取有关架构中每个表的以下信息:

  • 表说明 - 表中包含的数据类型以及该数据源。
  • - 表中的所有列。
  • 操作类型 - 列中的可能值 ActionType ,表示表支持的事件类型。 该信息仅提供给包含事件信息的表。
  • 示例查询 - 具有如何利用表的示例查询。

访问架构引用

若要快速访问架构引用,请在架构表示形式中选择表名称旁边的“ 查看引用 ”操作。 还可以选择“ 架构引用 ”以搜索表。

Microsoft Defender门户中“高级搜寻”页上的“架构参考”页

了解架构表

以下引用列出了架构中的所有表。 每个表名称链接到描述该表的列名称的页面。 表名和列名也列在Microsoft Defender XDR中,作为高级搜寻屏幕上架构表示的一部分。

表名 说明
AADSignInEventsBeta Microsoft Entra交互式和非交互式登录
AADSpnSignInEventsBeta Microsoft Entra服务主体和托管标识登录
AlertEvidence 与警报关联的文件、IP 地址、URL、用户或设备
AlertInfo 来自Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps和Microsoft Defender for Identity的警报,包括严重性和威胁分类
BehaviorEntities (Preview) Microsoft Defender for Cloud Apps (中的行为数据类型不适用于 GCC)
BehaviorInfo (Preview) 来自 Microsoft Defender for Cloud Apps (的警报不适用于 GCC)
CloudAppEvents 涉及 Office 365 和其他云应用和服务中的帐户和对象的事件
CloudAuditEvents (预览版) 受组织云Microsoft Defender保护的各种云平台的云审核事件
CloudProcessEvents (预览版) 受组织容器Microsoft Defender保护的各种云平台的云处理事件
DeviceBaselineComplianceAssessment (Preview) 基线符合性评估快照,指示与设备上的基线配置文件相关的各种安全配置的状态
DeviceBaselineComplianceAssessmentKB (Preview) 有关基线合规性用于评估设备的各种安全配置的信息
DeviceBaselineComplianceProfiles (Preview) 用于监视设备基线符合性的基线配置文件
DeviceEvents 多种事件类型,包括Microsoft Defender防病毒和攻击保护等安全控制措施触发的事件
DeviceFileCertificateInfo 从终结点上的证书验证事件获取的已签名文件的证书信息
DeviceFileEvents 文件创建、修改和其他文件系统事件
DeviceImageLoadEvents DLL 加载事件
DeviceInfo 计算机信息,包括操作系统信息
DeviceLogonEvents 设备上的登录和其他身份验证事件
DeviceNetworkEvents 网络连接和相关事件
DeviceNetworkInfo 设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及已连接的网络和域
DeviceProcessEvents 过程创建和相关事件
DeviceRegistryEvents 创建和修改注册表项
DeviceTvmBrowserExtensions (Preview) 在设备上从 Microsoft Defender 漏洞管理 找到的浏览器扩展安装
DeviceTvmBrowserExtensionsKB (预览版) Microsoft Defender 漏洞管理浏览器扩展页中使用的浏览器扩展详细信息和权限信息
DeviceTvmCertificateInfo (Preview) 来自 Microsoft Defender 漏洞管理 的组织中设备的证书信息
DeviceTvmHardwareFirmware Defender 漏洞管理检查的设备的硬件和固件信息
DeviceTvmInfoGathering Defender 漏洞管理评估事件,包括配置和攻击外围应用状态
DeviceTvmInfoGatheringKB 表中收集的 DeviceTvmInfogathering 评估事件的元数据
DeviceTvmSecureConfigurationAssessment Microsoft Defender 漏洞管理评估事件,指示设备上各种安全配置的状态
DeviceTvmSecureConfigurationAssessmentKB Microsoft Defender 漏洞管理用于评估设备的各种安全配置的知识库;包括到各种标准和基准的映射
DeviceTvmSoftwareEvidenceBeta 有关在设备上检测到特定软件的位置的证据信息
DeviceTvmSoftwareInventory 设备上安装的软件清单,包括其版本信息和终止支持状态
DeviceTvmSoftwareVulnerabilities 在设备上找到的软件漏洞以及解决每个漏洞的可用安全更新列表
DeviceTvmSoftwareVulnerabilitiesKB 公开披露的漏洞的知识库,包括攻击代码是否已公开
EmailAttachmentInfo 有关电子邮件所附文件的信息
EmailEvents Microsoft 365 电子邮件事件,包括电子邮件送达和阻止事件
EmailPostDeliveryEvents Microsoft 365 将电子邮件传递到收件人邮箱后发生的安全事件
EmailUrlInfo 有关电子邮件上 URL 的信息
ExposureGraphEdges Microsoft 安全风险管理公开图形边缘信息提供对图形中实体和资产之间的关系的可见性
ExposureGraphNodes Microsoft 安全风险管理有关组织实体及其属性的公开图节点信息
IdentityDirectoryEvents 涉及运行 Active Directory (AD) 的本地域控制器事件。 该表包含一系列身份相关的事件以及域控制器上的系统事件。
IdentityInfo 来自各种来源的帐户信息,包括Microsoft Entra ID
IdentityLogonEvents Active Directory 和 Microsoft 联机服务上的身份验证事件
IdentityQueryEvents Active Directory 对象的查询,例如用户、组、设备和域
UrlClickEvents 从电子邮件、Teams 和Office 365应用单击安全链接

提示

想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区