Compreender o esquema de busca avançada
Aplica-se a:
- Microsoft Defender XDR
Importante
Algumas informações neste artigo estão relacionadas ao produto pré-lançado que pode ser modificado substancialmente antes de ser lançado comercialmente. A Microsoft não oferece garantias, expressas ou implícitas, com relação às informações aqui fornecidas.
O esquema de investigação avançado é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar efetivamente consultas que abrangem várias tabelas, você precisa entender as tabelas e as colunas no esquema de busca avançado.
Obter informações de esquema
Ao construir consultas, utilize a referência de esquema incorporada para obter rapidamente as seguintes informações sobre cada tabela no esquema:
- Descrição das tabelas — tipo de dados contidos na tabela e a origem desses dados.
- Colunas — todas as colunas na tabela.
-
Tipos de ação — valores possíveis na coluna que
ActionType
representam os tipos de evento suportados pela tabela. Essas informações são fornecidas apenas para tabelas que contêm informações de evento. - Consulta de exemplo — consultas de exemplo que apresentam a forma como a tabela pode ser utilizada.
Aceder à referência de esquema
Para aceder rapidamente à referência de esquema, selecione a ação Ver referência junto ao nome da tabela na representação do esquema. Também pode selecionar Referência de esquema para procurar uma tabela.
Conhecer as tabelas de esquema
A referência a seguir lista todas as tabelas no esquema. Cada nome de tabela se vincula a uma página que descreve os nomes das colunas da tabela. Os nomes de tabelas e colunas também estão listados no Microsoft Defender XDR como parte da representação do esquema no ecrã de investigação avançado.
Nome da tabela | Descrição |
---|---|
AADSignInEventsBeta | Microsoft Entra inícios de sessão interativos e não interativos |
AADSpnSignInEventsBeta | Microsoft Entra principal de serviço e inícios de sessão de identidade gerida |
AlertEvidence | Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas |
AlertInfo | Alertas de Microsoft Defender para Ponto de Extremidade, Microsoft Defender para Office 365, Microsoft Defender para Aplicativos de Nuvem e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças |
BehaviorEntities (Pré-visualização) | Tipos de dados de comportamento no Microsoft Defender para Aplicativos de Nuvem (não disponível para GCC) |
BehaviorInfo (Pré-visualização) | Alertas de Microsoft Defender para Aplicativos de Nuvem (não disponíveis para GCC) |
CloudAppEvents | Eventos envolvendo contas e objetos no Office 365 e outros aplicativos e serviços de nuvem |
CloudAuditEvents (Pré-visualização) | Eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud |
CloudProcessEvents (Pré-visualização) | Eventos de processo da cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para Contentores |
DeviceBaselineComplianceAssessment (Pré-visualização) | Snapshot de avaliação de conformidade da linha de base, que indica a status de várias configurações de segurança relacionadas com perfis de linha de base em dispositivos |
DeviceBaselineComplianceAssessmentKB (Pré-visualização) | Informações sobre várias configurações de segurança utilizadas pela conformidade da linha de base para avaliar dispositivos |
DeviceBaselineComplianceProfiles (Pré-visualização) | Perfis de linha de base utilizados para monitorizar a conformidade da linha de base do dispositivo |
Eventos do dispositivo | Vários tipos de eventos, incluindo eventos acionados por controlos de segurança, como o Antivírus Microsoft Defender e a proteção contra exploits |
DeviceFileCertificateInfo | Informações de certificado de arquivos assinados obtidos de eventos de verificação de certificado em pontos de extremidade |
DeviceFileEvents | Criação de arquivos, modificação e outros eventos do sistema de arquivos |
DeviceImageLoadEvents | Carregamento de eventos DLL |
DeviceInfo | Informações do computador, incluindo informações do sistema operacional |
DeviceLogonEvents | Entradas e outros eventos de autenticação em dispositivos |
DeviceNetworkEvents | Conexão de rede e eventos relacionados |
DeviceNetworkInfo | Propriedades de rede dos dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes e domínios conectados |
DeviceProcessEvents | Criação de processos e eventos relacionados |
DeviceRegistryEvents | Criação e modificação de entradas do registro |
DeviceTvmBrowserExtensions (Pré-visualização) | Instalações da extensão do browser encontradas em dispositivos de Gerenciamento de Vulnerabilidades do Microsoft Defender |
DeviceTvmBrowserExtensionsKB (Pré-visualização) | Detalhes da extensão do browser e informações de permissão utilizadas na página Gerenciamento de Vulnerabilidades do Microsoft Defender extensões do browser |
DeviceTvmCertificateInfo (Pré-visualização) | Informações de certificado para dispositivos na organização a partir de Gerenciamento de Vulnerabilidades do Microsoft Defender |
DeviceTvmHardwareFirmware | Informações de hardware e firmware dos dispositivos conforme verificado pelo Gerenciamento de Vulnerabilidades do Defender |
DeviceTvmInfoGathering | Gerenciamento de Vulnerabilidades do Defender eventos de avaliação, incluindo estados da superfície de configuração e ataque |
DeviceTvmInfoGatheringKB | Metadados para eventos de avaliação recolhidos na DeviceTvmInfogathering tabela |
DeviceTvmSecureConfigurationAssessment | Gerenciamento de Vulnerabilidades do Microsoft Defender eventos de avaliação, que indicam a status de várias configurações de segurança em dispositivos |
DeviceTvmSecureConfigurationAssessmentKB | Base de dados de conhecimento de várias configurações de segurança utilizadas por Gerenciamento de Vulnerabilidades do Microsoft Defender para avaliar dispositivos; inclui mapeamentos para várias normas e referências |
DeviceTvmSoftwareEvidenceBeta | Informações de provas sobre onde foi detetado um software específico num dispositivo |
DeviceTvmSoftwareInventory | Inventário de software instalado em dispositivos, incluindo suas informações de versão e status de fim de suporte |
DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade |
DeviceTvmSoftwareVulnerabilitiesKB | Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente |
EmailAttachmentInfo | Informações sobre arquivos anexados a emails |
EmailEvents | Eventos de email do Microsoft 365, incluindo a entrega de email e eventos de bloqueio |
EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário |
EmailUrlInfo | Informações sobre URLs nos emails |
ExposureGraphEdges | Gerenciamento de Exposição da Segurança da Microsoft informações do edge do gráfico de exposição fornecem visibilidade sobre as relações entre entidades e recursos no gráfico |
ExposureGraphNodes | Gerenciamento de Exposição da Segurança da Microsoft informações do nó de gráfico de exposição, sobre entidades organizacionais e as respetivas propriedades |
IdentityDirectoryEvents | Eventos envolvendo um controlador de domínio local executando o AD (Active Directory). Essa tabela abrange um intervalo de eventos relacionados à identidade, bem como eventos do sistema no controlador de domínio. |
IdentityInfo | Informações de conta de várias origens, incluindo Microsoft Entra ID |
IdentityLogonEvents | Eventos de autenticação no Active Directory e serviços online da Microsoft |
IdentityQueryEvents | Consultas para objetos do Active Directory, como usuários, grupos, dispositivos e domínios |
UrlClickEvents | Ligações Seguras clica a partir de mensagens de e-mail, Teams e aplicações Office 365 |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Trabalhar com os resultados da consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.