了解高级搜寻架构
适用于:
- Microsoft Defender XDR
重要
本文中的某些信息与预发行的产品有关,该产品在商业发布之前可能有重大修改。 Microsoft 对此处所提供的信息不作任何明示或默示的保证。
高级搜寻架构由多个表组成,这些表提供事件信息或有关设备、警报、标识和其他实体类型的信息。 若要高效构建跨多个表的查询,需要了解高级搜寻架构中的表和列。
获取架构信息
构造查询时,请使用内置架构引用快速获取有关架构中每个表的以下信息:
- 表说明 - 表中包含的数据类型以及该数据源。
- 列 - 表中的所有列。
-
操作类型 - 列中的可能值
ActionType
,表示表支持的事件类型。 该信息仅提供给包含事件信息的表。 - 示例查询 - 具有如何利用表的示例查询。
访问架构引用
若要快速访问架构引用,请在架构表示形式中选择表名称旁边的“ 查看引用 ”操作。 还可以选择“ 架构引用 ”以搜索表。
了解架构表
以下引用列出了架构中的所有表。 每个表名称链接到描述该表的列名称的页面。 表名和列名也列在Microsoft Defender XDR中,作为高级搜寻屏幕上架构表示的一部分。
表名 | 说明 |
---|---|
AADSignInEventsBeta | Microsoft Entra交互式和非交互式登录 |
AADSpnSignInEventsBeta | Microsoft Entra服务主体和托管标识登录 |
AlertEvidence | 与警报关联的文件、IP 地址、URL、用户或设备 |
AlertInfo | 来自Microsoft Defender for Endpoint、Microsoft Defender for Office 365、Microsoft Defender for Cloud Apps和Microsoft Defender for Identity的警报,包括严重性和威胁分类 |
BehaviorEntities (Preview) | Microsoft Defender for Cloud Apps (中的行为数据类型不适用于 GCC) |
BehaviorInfo (Preview) | 来自 Microsoft Defender for Cloud Apps (的警报不适用于 GCC) |
CloudAppEvents | 涉及 Office 365 和其他云应用和服务中的帐户和对象的事件 |
CloudAuditEvents (预览版) | 受组织云Microsoft Defender保护的各种云平台的云审核事件 |
CloudProcessEvents (预览版) | 受组织容器Microsoft Defender保护的各种云平台的云处理事件 |
DeviceBaselineComplianceAssessment (Preview) | 基线符合性评估快照,指示与设备上的基线配置文件相关的各种安全配置的状态 |
DeviceBaselineComplianceAssessmentKB (Preview) | 有关基线合规性用于评估设备的各种安全配置的信息 |
DeviceBaselineComplianceProfiles (Preview) | 用于监视设备基线符合性的基线配置文件 |
DeviceEvents | 多种事件类型,包括Microsoft Defender防病毒和攻击保护等安全控制措施触发的事件 |
DeviceFileCertificateInfo | 从终结点上的证书验证事件获取的已签名文件的证书信息 |
DeviceFileEvents | 文件创建、修改和其他文件系统事件 |
DeviceImageLoadEvents | DLL 加载事件 |
DeviceInfo | 计算机信息,包括操作系统信息 |
DeviceLogonEvents | 设备上的登录和其他身份验证事件 |
DeviceNetworkEvents | 网络连接和相关事件 |
DeviceNetworkInfo | 设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及已连接的网络和域 |
DeviceProcessEvents | 过程创建和相关事件 |
DeviceRegistryEvents | 创建和修改注册表项 |
DeviceTvmBrowserExtensions (Preview) | 在设备上从 Microsoft Defender 漏洞管理 找到的浏览器扩展安装 |
DeviceTvmBrowserExtensionsKB (预览版) | Microsoft Defender 漏洞管理浏览器扩展页中使用的浏览器扩展详细信息和权限信息 |
DeviceTvmCertificateInfo (Preview) | 来自 Microsoft Defender 漏洞管理 的组织中设备的证书信息 |
DeviceTvmHardwareFirmware | Defender 漏洞管理检查的设备的硬件和固件信息 |
DeviceTvmInfoGathering | Defender 漏洞管理评估事件,包括配置和攻击外围应用状态 |
DeviceTvmInfoGatheringKB | 表中收集的 DeviceTvmInfogathering 评估事件的元数据 |
DeviceTvmSecureConfigurationAssessment | Microsoft Defender 漏洞管理评估事件,指示设备上各种安全配置的状态 |
DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 漏洞管理用于评估设备的各种安全配置的知识库;包括到各种标准和基准的映射 |
DeviceTvmSoftwareEvidenceBeta | 有关在设备上检测到特定软件的位置的证据信息 |
DeviceTvmSoftwareInventory | 设备上安装的软件清单,包括其版本信息和终止支持状态 |
DeviceTvmSoftwareVulnerabilities | 在设备上找到的软件漏洞以及解决每个漏洞的可用安全更新列表 |
DeviceTvmSoftwareVulnerabilitiesKB | 公开披露的漏洞的知识库,包括攻击代码是否已公开 |
EmailAttachmentInfo | 有关电子邮件所附文件的信息 |
EmailEvents | Microsoft 365 电子邮件事件,包括电子邮件送达和阻止事件 |
EmailPostDeliveryEvents | Microsoft 365 将电子邮件传递到收件人邮箱后发生的安全事件 |
EmailUrlInfo | 有关电子邮件上 URL 的信息 |
ExposureGraphEdges | Microsoft 安全风险管理公开图形边缘信息提供对图形中实体和资产之间的关系的可见性 |
ExposureGraphNodes | Microsoft 安全风险管理有关组织实体及其属性的公开图节点信息 |
IdentityDirectoryEvents | 涉及运行 Active Directory (AD) 的本地域控制器事件。 该表包含一系列身份相关的事件以及域控制器上的系统事件。 |
IdentityInfo | 来自各种来源的帐户信息,包括Microsoft Entra ID |
IdentityLogonEvents | Active Directory 和 Microsoft 联机服务上的身份验证事件 |
IdentityQueryEvents | Active Directory 对象的查询,例如用户、组、设备和域 |
UrlClickEvents | 从电子邮件、Teams 和Office 365应用单击安全链接 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。