了解 Microsoft Defender 全面偵測回應資料表
Microsoft Defender 全面偵測回應 Sentinel 資料連接器可以在資料表中填入從 Microsoft Defender 全面偵測回應解決方案收集的未經處理資料。
| 資料表名稱 | 描述 |
|---|---|
| AlertEvidence | 與警示相關聯的檔案、IP 位址、URL、使用者或裝置 |
| CloudAppEvents | Office 365 以及其他雲端應用程式和服務中的帳戶和物件相關事件 |
| DeviceEvents | 多種事件類型,包括由 Windows Defender 防毒軟體和惡意探索保護等安全性控制項所觸發的事件 |
| DeviceFileCertificateInfo | 從端點的憑證驗證事件中取得的已簽署檔案憑證資訊 |
| 裝置檔案事件 | 檔案建立、修改及其他檔案系統事件 |
| DeviceImageLoadEvents | DLL 載入事件 |
| DeviceInfo | 電腦資訊,包括 OS 資訊 |
| DeviceLogonEvents | 裝置上的登入及其他驗證事件 |
| DeviceNetworkEvents | 網路連線及相關事件 |
| DeviceNetworkInfo | 裝置的網路屬性,包括實體介面卡、IP 和 MAC 位址,以及連線的網路和網域 |
| DeviceProcessEvents | 流程建立及相關事件 |
| 裝置登錄事件 | 登錄項目的建立及修改 |
| EmailEvents | Microsoft 365 電子郵件事件,包括電子郵件傳遞與封鎖事件 |
| EmailPostDeliveryEvents | 傳遞後 (Microsoft 365 將電子郵件傳遞至收件者信箱之後) 發生的安全性事件 |
| EmailUrlInfo | 電子郵件上的 URL 相關資訊 |
| EmailAttachmentInfo | Office 365 電子郵件所附加的檔案相關資訊 |
| IdentityDirectoryEvents | 執行 Active Directory (AD) 的內部部署網域控制站相關事件。 下表涵蓋網域控制站上的一系列身分識別相關事件和系統事件。 |
| IdentityLogonEvents | Active Directory 和 Microsoft 線上服務的相關驗證事件 |
| IdentityQueryEvents | Active Directory 物件 (例如使用者、群組、裝置和網域) 的查詢 |