A speciális veszélyforrás-keresési séma ismertetése
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A cikkben található információk egy része egy előzetesen kiadott termékre vonatkozik, amely a kereskedelmi forgalomba kerülés előtt lényegesen módosulhat. A Microsoft nem vállal kifejezett vagy hallgatólagos szavatosságot az itt megadott információkra vonatkozóan.
A speciális veszélyforrás-keresési séma több táblából áll, amelyek eseményinformációkat vagy információkat biztosítanak az eszközökről, riasztásokról, identitásokról és más entitástípusokról. A több táblára kiterjedő lekérdezések hatékony létrehozásához ismernie kell a speciális veszélyforrás-keresési sémában lévő táblákat és oszlopokat.
Sémaadatok lekérése
Lekérdezések létrehozásakor a beépített sémahivatkozással gyorsan lekérheti a következő információkat a séma egyes tábláiról:
- Táblák leírása – a táblában található adatok típusa és az adatok forrása.
- Oszlopok – a táblázat összes oszlopa.
-
Művelettípusok – a
ActionTypetábla által támogatott eseménytípusokat képviselő lehetséges értékek az oszlopban. Ez az információ csak az eseményadatokat tartalmazó táblákhoz érhető el. - Mintalekérdezés – példalekérdezések, amelyek a tábla használatát ismertetik.
A sémahivatkozás elérése
A sémahivatkozás gyors eléréséhez válassza a Hivatkozás megtekintése műveletet a tábla neve mellett a sémaábrázolásban. A tábla kereséséhez a Sémahivatkozás lehetőséget is választhatja.
A sématáblák megismerése
Az alábbi referencia a séma összes tábláját felsorolja. Minden táblanév egy lapra hivatkozik, amely az adott tábla oszlopneveit írja le. A táblázat- és oszlopnevek a speciális veszélyforrás-keresési képernyőn lévő sémaábrázolás részeként Microsoft Defender XDR is szerepelnek.
| Táblanév | Leírás |
|---|---|
| AADSignInEventsBeta | interaktív és nem interaktív bejelentkezések Microsoft Entra |
| AADSpnSignInEventsBeta | szolgáltatásnév és felügyelt identitás bejelentkezéseinek Microsoft Entra |
| AlertEvidence | A riasztásokhoz társított fájlok, IP-címek, URL-címek, felhasználók vagy eszközök |
| AlertInfo | Riasztások Végponthoz készült Microsoft Defender, Office 365-höz készült Microsoft Defender, Microsoft Defender for Cloud Apps és Microsoft Defender for Identity, beleértve a súlyossági információkat és a fenyegetések kategorizálását |
| BehaviorEntities (előzetes verzió) | Viselkedési adattípusok a Microsoft Defender for Cloud Apps-ben (a GCC-hez nem érhető el) |
| BehaviorInfo (előzetes verzió) | Riasztások a Microsoft Defender for Cloud Apps -ból (gCC-hez nem érhető el) |
| CloudAppEvents | Az Office 365 és más felhőalkalmazásokban és -szolgáltatásokban lévő fiókokat és objektumokat érintő események |
| CloudAuditEvents (előzetes verzió) | Felhőnaplózási események a szervezet felhőhöz készült Microsoft Defender által védett különböző felhőplatformokhoz |
| CloudProcessEvents (előzetes verzió) | A szervezet tárolókhoz készült Microsoft Defender által védett különböző felhőplatformok felhőfolyamat-eseményei |
| DataSecurityBehaviors (előzetes verzió) | A Microsoft Purview megoldáscsomagban konfigurált, felhasználó által definiált vagy alapértelmezett szabályzatokat megsértő potenciálisan gyanús felhasználói viselkedésekkel kapcsolatos megállapítások |
| DataSecurityEvents (előzetes verzió) | Információk a Microsoft Purview megoldáscsomag felhasználó által meghatározott vagy alapértelmezett szabályzatait megsértő felhasználói tevékenységekről |
| DeviceBaselineComplianceAssessment (előzetes verzió) | Alapkonfiguráció-megfelelőségi értékelés pillanatképe, amely az eszközök alapkonfigurációs profiljaihoz kapcsolódó különböző biztonsági konfigurációk állapotát jelzi |
| DeviceBaselineComplianceAssessmentKB (előzetes verzió) | Információk az alapkonfiguráció-megfelelőség által az eszközök értékeléséhez használt különböző biztonsági konfigurációkról |
| DeviceBaselineComplianceProfiles (előzetes verzió) | Az eszköz alapkonfigurációjának megfelelőségének monitorozásához használt alapkonfiguráció-profilok |
| DeviceEvents | Több eseménytípus, beleértve a biztonsági vezérlők által aktivált eseményeket, például a Microsoft Defender víruskeresőt és a biztonsági rés kiaknázása elleni védelmet |
| DeviceFileCertificateInfo | A végpontokon a tanúsítvány-ellenőrzési eseményekből beszerzett aláírt fájlok tanúsítványadatai |
| DeviceFileEvents | Fájllétrehozás, -módosítás és egyéb fájlrendszeresemények |
| DeviceImageLoadEvents | DLL-betöltési események |
| DeviceInfo | Gépadatok, beleértve az operációs rendszer adatait |
| DeviceLogonEvents | Bejelentkezések és egyéb hitelesítési események az eszközökön |
| DeviceNetworkEvents | Hálózati kapcsolat és kapcsolódó események |
| DeviceNetworkInfo | Az eszközök hálózati tulajdonságai, beleértve a fizikai adaptereket, IP- és MAC-címeket, valamint a csatlakoztatott hálózatokat és tartományokat |
| DeviceProcessEvents | Folyamat létrehozása és kapcsolódó események |
| DeviceRegistryEvents | Beállításjegyzék-bejegyzések létrehozása és módosítása |
| DeviceTvmBrowserExtensions (előzetes verzió) | Böngészőbővítmény-telepítések találhatók az eszközökön a Microsoft Defender biztonságirés-kezelés |
| DeviceTvmBrowserExtensionsKB (előzetes verzió) | A böngészőbővítmények részletei és az Microsoft Defender biztonságirés-kezelés böngészőbővítmények lapján használt engedélyadatok |
| DeviceTvmCertificateInfo (előzetes verzió) | A szervezet eszközeinek tanúsítványadatai a Microsoft Defender biztonságirés-kezelés |
| DeviceTvmHardwareFirmware | Az eszközök hardver- és belsővezérlőprogram-információi a Defender biztonságirés-kezelés által ellenőrzött módon |
| DeviceTvmInfoGathering | felmérési események Defender biztonságirés-kezelés, beleértve a konfigurációt és a támadási felület állapotát |
| DeviceTvmInfoGatheringKB | A táblázatban összegyűjtött DeviceTvmInfogathering értékelési események metaadatai |
| DeviceTvmSecureConfigurationAssessment | Microsoft Defender biztonságirés-kezelés értékelési események, amelyek az eszközök különböző biztonsági konfigurációinak állapotát jelzik |
| DeviceTvmSecureConfigurationAssessmentKB | A Microsoft Defender biztonságirés-kezelés által az eszközök értékelésére használt különböző biztonsági konfigurációk tudásbázisa; különböző szabványokhoz és teljesítménytesztekhez való leképezéseket tartalmaz |
| DeviceTvmSoftwareEvidenceBeta | Bizonyíték arra vonatkozóan, hogy hol észleltek egy adott szoftvert az eszközön |
| DeviceTvmSoftwareInventory | Az eszközökre telepített szoftverek leltára, beleértve a verzióinformációkat és a támogatás megszűnésének állapotát |
| DeviceTvmSoftwareVulnerabilities | Az eszközökön talált szoftveres biztonsági rések és az egyes biztonsági réseket kezelő elérhető biztonsági frissítések listája |
| DeviceTvmSoftwareVulnerabilitiesKB | A nyilvánosan közzétett biztonsági rések tudásbázisa, beleértve azt is, hogy a biztonsági rés kiaknázása elleni kód nyilvánosan elérhető-e |
| EmailAttachmentInfo | Információk az e-mailekhez csatolt fájlokról |
| EmailEvents | Microsoft 365-ös e-mail-események, beleértve az e-mailek kézbesítését és blokkolását |
| EmailPostDeliveryEvents | Kézbesítés utáni biztonsági események, miután a Microsoft 365 kézbesíti az e-maileket a címzett postaládájába |
| EmailUrlInfo | Információk az e-mailek URL-címeiről |
| ExposureGraphEdges | Microsoft Biztonságikitettség-kezelés expozíciós gráf peremhálózati információi betekintést nyújtanak a gráf entitásai és eszközei közötti kapcsolatokba |
| ExposureGraphNodes | Microsoft Biztonságikitettség-kezelés expozíciós gráfcsomópont információi a szervezeti entitásokról és tulajdonságaikról |
| IdentityDirectoryEvents | Az Active Directoryt (AD) futtató helyszíni tartományvezérlőt érintő események. Ez a táblázat a tartományvezérlő identitással kapcsolatos eseményeit és rendszereseményeit ismerteti. |
| IdentityInfo | Különböző forrásokból származó fiókadatok, beleértve a Microsoft Entra ID |
| IdentityLogonEvents | Hitelesítési események az Active Directoryban és a Microsoft online szolgáltatások |
| IdentityQueryEvents | Active Directory-objektumok, például felhasználók, csoportok, eszközök és tartományok lekérdezései |
| UrlClickEvents | A Biztonságos hivatkozások e-mailekből, a Teamsből és Office 365-alkalmazásokból származó kattintások |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A lekérdezés eredményeinek használata
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.