共用方式為


了解進階搜捕結構描述

適用於:

  • Microsoft Defender XDR

重要事項

本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。

進階 搜捕 架構是由多個數據表所組成,可提供事件資訊或裝置、警示、身分識別和其他實體類型的相關信息。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。

取得架構資訊

建構查詢時,請使用內建架構參考,快速取得架構中每個數據表的下列資訊:

  • 數據表描述— 資料表中包含的數據類型,以及該數據的來源。
  • 數據列— 資料表中的所有資料行。
  • 動作類型- 資料行中可能的 ActionType 值,代表數據表所支援的事件類型。 這項資訊僅適用於包含事件資訊的資料表。
  • 範例查詢— 範例查詢,其提供數據表的使用方式。

存取架構參考

若要快速存取架構參考,請選取架構表示中數據表名稱旁邊的 [ 檢視參考 ] 動作。 您也可以選取 [架構參考 ] 來搜尋數據表。

Microsoft Defender 入口網站中 [進階搜捕] 頁面上的 [架構參考] 頁面

了解架構數據表

以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 數據表和數據行名稱也會列在 Microsoft Defender 全面偵測回應 中,作為進階搜捕畫面上架構表示的一部分。

表格名稱 描述
AADSignInEventsBeta Microsoft Entra 互動式和非互動式登入
AADSpnSignInEventsBeta Microsoft Entra 服務主體和受控識別登入
AlertEvidence 與警示相關聯的檔案、IP 位址、URL、使用者或裝置
AlertInfo 來自 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於身分識別的 Microsoft Defender 的警示,包括嚴重性資訊和威脅分類
BehaviorEntities (Preview) Microsoft Defender for Cloud Apps (中的行為數據類型不適用於 GCC)
BehaviorInfo (預覽) 來自 Microsoft Defender for Cloud Apps (的警示不適用於 GCC)
CloudAppEvents Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件
CloudAuditEvents (Preview) 受組織雲端 Microsoft Defender 保護之各種雲端平臺的雲端稽核事件
CloudProcessEvents (Preview) 受組織容器 Microsoft Defender 保護之各種雲端平臺的雲端處理事件
DeviceBaselineComplianceAssessment (預覽) 基準合規性評估快照集,指出與裝置上的基準配置檔相關的各種安全性設定狀態
DeviceBaselineComplianceAssessmentKB (預覽) 基準合規性用來評估裝置的各種安全性設定相關信息
DeviceBaselineComplianceProfiles (預覽) 用於監視裝置基準合規性的基準配置檔
DeviceEvents 多個事件類型,包括安全性控制所觸發的事件,例如 Microsoft Defender 防病毒軟體和惡意探索保護
DeviceFileCertificateInfo 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊
DeviceFileEvents 檔案建立、修改及其他檔案系統事件
DeviceImageLoadEvents DLL 載入事件
DeviceInfo 電腦資訊,包括作業系統資訊
DeviceLogonEvents 登入和其他裝置上的驗證事件
DeviceNetworkEvents 網路連結與相關事件
DeviceNetworkInfo 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域
DeviceProcessEvents 流程建立與相關事件
DeviceRegistryEvents 登錄項目的建立及修改
DeviceTvmBrowserExtensions (預覽) 從 Microsoft Defender 弱點管理 在裝置上找到的瀏覽器擴充功能安裝
DeviceTvmBrowserExtensionsKB (預覽) Microsoft Defender 弱點管理 瀏覽器擴充功能頁面中使用的瀏覽器擴充功能詳細數據和許可權資訊
DeviceTvmCertificateInfo (預覽) 組織中裝置的憑證資訊,來自 Microsoft Defender 弱點管理
DeviceTvmHardwareFirmware Defender 弱點管理 核取的裝置硬體和韌體資訊
DeviceTvmInfoGathering Defender 弱點管理 評估事件,包括設定和攻擊介面區狀態
DeviceTvmInfoGatheringKB 數據表中所收集評估事件的 DeviceTvmInfogathering 元數據
DeviceTvmSecureConfigurationAssessment Microsoft Defender 弱點管理 評定事件,指出裝置上各種安全性設定的狀態
DeviceTvmSecureConfigurationAssessmentKB Microsoft Defender 弱點管理 用來評估裝置的各種安全性設定知識庫;包括各種標準和基準檢驗的對應
DeviceTvmSoftwareEvidenceBeta 在裝置上偵測到特定軟體位置的辨識項資訊
DeviceTvmSoftwareInventory 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態
DeviceTvmSoftwareVulnerabilities 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單
DeviceTvmSoftwareVulnerabilitiesKB 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼
EmailAttachmentInfo 附加至電子郵件之檔案的相關資訊
EmailEvents Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件
EmailPostDeliveryEvents 傳遞後發生的安全性事件,Microsoft 365 將電子郵件傳遞至收件者信箱
EmailUrlInfo 電子郵件 URL 相關資訊
ExposureGraphEdges Microsoft 安全性暴露風險管理 公開圖形邊緣資訊可讓您查看圖形中實體與資產之間的關聯性
ExposureGraphNodes Microsoft 安全性暴露風險管理 公開圖形節點資訊,關於組織實體及其屬性
IdentityDirectoryEvents 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。
IdentityInfo 來自各種來源的帳戶資訊,包括 Microsoft Entra ID
IdentityLogonEvents Active Directory 和 Microsoft 線上服務上的驗證事件
IdentityQueryEvents 查詢 Active Directory 物件,例如使用者、群組、裝置和網域
UrlClickEvents 從電子郵件訊息、Teams 和 Office 365 應用程式按下安全連結

提示

想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群