Compartilhar via


Compreender o esquema de busca avançada

Aplica-se a:

  • Microsoft Defender XDR

Importante

Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.

O esquema de investigação avançado é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar efetivamente consultas que abrangem várias tabelas, você precisa entender as tabelas e as colunas no esquema de busca avançado.

Obter informações de esquema

Ao construir consultas, utilize a referência de esquema incorporada para obter rapidamente as seguintes informações sobre cada tabela no esquema:

  • Descrição das tabelas — tipo de dados contidos na tabela e a origem desses dados.
  • Colunas — todas as colunas na tabela.
  • Tipos de ação — valores possíveis na coluna que ActionType representam os tipos de evento suportados pela tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de evento.
  • Consulta de exemplo — consultas de exemplo que apresentam a forma como a tabela pode ser utilizada.

Aceder à referência de esquema

Para aceder rapidamente à referência de esquema, selecione a ação Ver referência junto ao nome da tabela na representação do esquema. Também pode selecionar Referência de esquema para procurar uma tabela.

A página Referência de Esquema na página Investigação Avançada no portal do Microsoft Defender

Conhecer as tabelas de esquema

A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela se vincula a uma página que descreve os nomes das colunas da tabela. Os nomes de tabelas e colunas também estão listados no Microsoft Defender XDR como parte da representação do esquema no ecrã de investigação avançado.

Nome da tabela Descrição
AADSignInEventsBeta Microsoft Entra inícios de sessão interativos e não interativos
AADSpnSignInEventsBeta Microsoft Entra principal de serviço e inícios de sessão de identidade gerida
AlertEvidence Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas
AlertInfo Alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças
BehaviorEntities (Pré-visualização) Tipos de dados de comportamento no Microsoft Defender para Aplicativos de Nuvem (não disponível para GCC)
BehaviorInfo (Pré-visualização) Alertas de Microsoft Defender para Aplicativos de Nuvem (não disponíveis para GCC)
CloudAppEvents Eventos envolvendo contas e objetos no Office 365 e outros aplicativos e serviços de nuvem
CloudAuditEvents (Pré-visualização) Eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud
CloudProcessEvents (Pré-visualização) Eventos de processo da cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para Contentores
DeviceBaselineComplianceAssessment (Pré-visualização) Snapshot de avaliação de conformidade da linha de base, que indica a status de várias configurações de segurança relacionadas com perfis de linha de base em dispositivos
DeviceBaselineComplianceAssessmentKB (Pré-visualização) Informações sobre várias configurações de segurança utilizadas pela conformidade da linha de base para avaliar dispositivos
DeviceBaselineComplianceProfiles (Pré-visualização) Perfis de linha de base utilizados para monitorizar a conformidade da linha de base do dispositivo
Eventos do dispositivo Vários tipos de eventos, incluindo eventos acionados por controlos de segurança, como o Antivírus Microsoft Defender e a proteção contra exploits
DeviceFileCertificateInfo Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos de extremidade
DeviceFileEvents Criação de arquivos, modificação e outros eventos do sistema de arquivos
DeviceImageLoadEvents Carregamento de eventos DLL
DeviceInfo Informações do computador, incluindo informações do sistema operacional
DeviceLogonEvents Entradas e outros eventos de autenticação em dispositivos
DeviceNetworkEvents Conexão de rede e eventos relacionados
DeviceNetworkInfo Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes e domínios conectados
DeviceProcessEvents Criação de processos e eventos relacionados
DeviceRegistryEvents Criação e modificação de entradas do registro
DeviceTvmBrowserExtensions (Pré-visualização) Instalações da extensão do browser encontradas em dispositivos de Gerenciamento de Vulnerabilidades do Microsoft Defender
DeviceTvmBrowserExtensionsKB (Pré-visualização) Detalhes da extensão do browser e informações de permissão utilizadas na página Gerenciamento de Vulnerabilidades do Microsoft Defender extensões do browser
DeviceTvmCertificateInfo (Pré-visualização) Informações de certificado para dispositivos na organização a partir de Gerenciamento de Vulnerabilidades do Microsoft Defender
DeviceTvmHardwareFirmware Informações de hardware e firmware dos dispositivos conforme verificado pelo Gerenciamento de Vulnerabilidades do Defender
DeviceTvmInfoGathering Gerenciamento de Vulnerabilidades do Defender eventos de avaliação, incluindo estados da superfície de configuração e ataque
DeviceTvmInfoGatheringKB Metadados para eventos de avaliação recolhidos na DeviceTvmInfogathering tabela
DeviceTvmSecureConfigurationAssessment Gerenciamento de Vulnerabilidades do Microsoft Defender eventos de avaliação, que indicam a status de várias configurações de segurança em dispositivos
DeviceTvmSecureConfigurationAssessmentKB Base de dados de conhecimento de várias configurações de segurança utilizadas por Gerenciamento de Vulnerabilidades do Microsoft Defender para avaliar dispositivos; inclui mapeamentos para várias normas e referências
DeviceTvmSoftwareEvidenceBeta Informações de provas sobre onde foi detetado um software específico num dispositivo
DeviceTvmSoftwareInventory Inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim de suporte
DeviceTvmSoftwareVulnerabilities Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade
DeviceTvmSoftwareVulnerabilitiesKB Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente
EmailAttachmentInfo Informações sobre arquivos anexados a emails
EmailEvents Eventos de email do Microsoft 365, incluindo a entrega de email e eventos de bloqueio
EmailPostDeliveryEvents Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário
EmailUrlInfo Informações sobre URLs nos emails
ExposureGraphEdges Gerenciamento de Exposição da Segurança da Microsoft informações do edge do gráfico de exposição fornecem visibilidade sobre as relações entre entidades e recursos no gráfico
ExposureGraphNodes Gerenciamento de Exposição da Segurança da Microsoft informações do nó de gráfico de exposição, sobre entidades organizacionais e as respetivas propriedades
IdentityDirectoryEvents Eventos envolvendo um controlador de domínio local executando o AD (Active Directory). Essa tabela abrange um intervalo de eventos relacionados à identidade, bem como eventos do sistema no controlador de domínio.
IdentityInfo Informações de conta de várias origens, incluindo Microsoft Entra ID
IdentityLogonEvents Eventos de autenticação no Active Directory e serviços online da Microsoft
IdentityQueryEvents Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios
UrlClickEvents Ligações Seguras clica a partir de mensagens de e-mail, Teams e aplicações Office 365

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.