了解進階搜捕結構描述
適用於:
- Microsoft Defender XDR
重要事項
本文中的部分資訊與發行前版本產品有關,在產品正式發行前可能會大幅度修改。 Microsoft 對此處提供的資訊,不提供任何明確或隱含的瑕疵擔保。
進階 搜捕 架構是由多個數據表所組成,可提供事件資訊或裝置、警示、身分識別和其他實體類型的相關信息。 若要有效組建跨越多個表格的查詢,您需要了解進階搜捕結構描述中的表格和欄。
取得架構資訊
建構查詢時,請使用內建架構參考,快速取得架構中每個數據表的下列資訊:
- 數據表描述— 資料表中包含的數據類型,以及該數據的來源。
- 數據列— 資料表中的所有資料行。
-
動作類型- 資料行中可能的
ActionType
值,代表數據表所支援的事件類型。 這項資訊僅適用於包含事件資訊的資料表。 - 範例查詢— 範例查詢,其提供數據表的使用方式。
存取架構參考
若要快速存取架構參考,請選取架構表示中數據表名稱旁邊的 [ 檢視參考 ] 動作。 您也可以選取 [架構參考 ] 來搜尋數據表。
了解架構數據表
以下參考列出結構描述中的所有表格。 每個表格名稱都會連結到描述該表格之欄名稱的頁面。 數據表和數據行名稱也會列在 Microsoft Defender 全面偵測回應 中,作為進階搜捕畫面上架構表示的一部分。
表格名稱 | 描述 |
---|---|
AADSignInEventsBeta | Microsoft Entra 互動式和非互動式登入 |
AADSpnSignInEventsBeta | Microsoft Entra 服務主體和受控識別登入 |
AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
AlertInfo | 來自 適用於端點的 Microsoft Defender、適用於 Office 365 的 Microsoft Defender、Microsoft Defender for Cloud Apps 和 適用於身分識別的 Microsoft Defender 的警示,包括嚴重性資訊和威脅分類 |
BehaviorEntities (Preview) | Microsoft Defender for Cloud Apps (中的行為數據類型不適用於 GCC) |
BehaviorInfo (預覽) | 來自 Microsoft Defender for Cloud Apps (的警示不適用於 GCC) |
CloudAppEvents | Office 365 和其他雲端應用程式和服務中涉及帳戶和物件的事件 |
CloudAuditEvents (Preview) | 受組織雲端 Microsoft Defender 保護之各種雲端平臺的雲端稽核事件 |
CloudProcessEvents (Preview) | 受組織容器 Microsoft Defender 保護之各種雲端平臺的雲端處理事件 |
DeviceBaselineComplianceAssessment (預覽) | 基準合規性評估快照集,指出與裝置上的基準配置檔相關的各種安全性設定狀態 |
DeviceBaselineComplianceAssessmentKB (預覽) | 基準合規性用來評估裝置的各種安全性設定相關信息 |
DeviceBaselineComplianceProfiles (預覽) | 用於監視裝置基準合規性的基準配置檔 |
DeviceEvents | 多個事件類型,包括安全性控制所觸發的事件,例如 Microsoft Defender 防病毒軟體和惡意探索保護 |
DeviceFileCertificateInfo | 從端點上的憑證驗證事件取得已簽署檔案的憑證資訊 |
DeviceFileEvents | 檔案建立、修改及其他檔案系統事件 |
DeviceImageLoadEvents | DLL 載入事件 |
DeviceInfo | 電腦資訊,包括作業系統資訊 |
DeviceLogonEvents | 登入和其他裝置上的驗證事件 |
DeviceNetworkEvents | 網路連結與相關事件 |
DeviceNetworkInfo | 裝置的網路屬性,包括介面卡、IP 和 MAC 位址,以及已連結的網路和網域 |
DeviceProcessEvents | 流程建立與相關事件 |
DeviceRegistryEvents | 登錄項目的建立及修改 |
DeviceTvmBrowserExtensions (預覽) | 從 Microsoft Defender 弱點管理 在裝置上找到的瀏覽器擴充功能安裝 |
DeviceTvmBrowserExtensionsKB (預覽) | Microsoft Defender 弱點管理 瀏覽器擴充功能頁面中使用的瀏覽器擴充功能詳細數據和許可權資訊 |
DeviceTvmCertificateInfo (預覽) | 組織中裝置的憑證資訊,來自 Microsoft Defender 弱點管理 |
DeviceTvmHardwareFirmware | Defender 弱點管理 核取的裝置硬體和韌體資訊 |
DeviceTvmInfoGathering | Defender 弱點管理 評估事件,包括設定和攻擊介面區狀態 |
DeviceTvmInfoGatheringKB | 數據表中所收集評估事件的 DeviceTvmInfogathering 元數據 |
DeviceTvmSecureConfigurationAssessment | Microsoft Defender 弱點管理 評定事件,指出裝置上各種安全性設定的狀態 |
DeviceTvmSecureConfigurationAssessmentKB | Microsoft Defender 弱點管理 用來評估裝置的各種安全性設定知識庫;包括各種標準和基準檢驗的對應 |
DeviceTvmSoftwareEvidenceBeta | 在裝置上偵測到特定軟體位置的辨識項資訊 |
DeviceTvmSoftwareInventory | 清查裝置上安裝的軟體,包括其版本資訊和終止支援狀態 |
DeviceTvmSoftwareVulnerabilities | 在裝置上找到的軟體弱點,以及可解決每個弱點的可用安全性更新清單 |
DeviceTvmSoftwareVulnerabilitiesKB | 公開披露弱點的知識庫,包括是否公開提供惡意探索代碼 |
EmailAttachmentInfo | 附加至電子郵件之檔案的相關資訊 |
EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳送和封鎖事件 |
EmailPostDeliveryEvents | 傳遞後發生的安全性事件,Microsoft 365 將電子郵件傳遞至收件者信箱 |
EmailUrlInfo | 電子郵件 URL 相關資訊 |
ExposureGraphEdges | Microsoft 安全性暴露風險管理 公開圖形邊緣資訊可讓您查看圖形中實體與資產之間的關聯性 |
ExposureGraphNodes | Microsoft 安全性暴露風險管理 公開圖形節點資訊,關於組織實體及其屬性 |
IdentityDirectoryEvents | 涉及執行 Active Directory (AD) 之內部部署網域控制站的事件。 此資料表涵蓋一系列身分識別相關事件,以及網域控制站上的系統事件。 |
IdentityInfo | 來自各種來源的帳戶資訊,包括 Microsoft Entra ID |
IdentityLogonEvents | Active Directory 和 Microsoft 線上服務上的驗證事件 |
IdentityQueryEvents | 查詢 Active Directory 物件,例如使用者、群組、裝置和網域 |
UrlClickEvents | 從電子郵件訊息、Teams 和 Office 365 應用程式按下安全連結 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。