了解 Microsoft Defender XDR 表
Microsoft Defender XDR Sentinel 数据连接器可以使用从 Microsoft Defender XDR 解决方案收集的原始数据来填充表。
| 表名称 | 说明 |
|---|---|
| AlertEvidence | 与警报关联的文件、IP 地址、URL、用户或设备 |
| CloudAppEvents | 涉及 Office 365 以及其他云应用和服务中的帐户和对象的事件 |
| DeviceEve | 多个事件类型,包括由安全控制(例如 Windows Defender 防病毒和攻击保护)触发的事件 |
| DeviceFileCertificateInfo | 从终结点上的证书验证事件获取的签名文件的证书信息 |
| DeviceFileEvents | 文件创建、修改和其他文件系统事件 |
| DeviceImageLoadEvents | DLL 加载事件 |
| DeviceInfo | 计算机信息,包括操作系统信息 |
| DeviceLogonEvents | 设备上的登录和其他身份验证事件 |
| DeviceNetworkEvents | 网络连接及相关事件 |
| DeviceNetworkInfo | 设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及连接的网络和域 |
| DeviceProcessEvents | 进程创建及相关事件 |
| DeviceRegistryEvents | 注册表项的创建和修改 |
| EmailEvents | Microsoft 365 电子邮件事件,包括电子邮件传递和阻止事件 |
| EmailPostDeliveryEvents | Microsoft 365 将电子邮件传送到收件人邮箱后发生的安全事件 |
| EmailUrlInfo | 有关电子邮件中的 URL 的信息 |
| EmailAttachmentInfo | 有关 Office 365 电子邮件中所附文件的信息 |
| IdentityDirectoryEvents | 涉及运行 Active Directory (AD) 的本地域控制器的事件。 此表涵盖了域控制器上的一系列与标识相关的事件和系统事件。 |
| IdentityLogonEvents | Active Directory 和 Microsoft 联机服务上的身份验证事件 |
| IdentityQueryEvents | 对用户、组、设备和域等 Active Directory 对象的查询 |