Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Importante
Algumas informações neste artigo estão relacionadas com um produto pré-lançado que pode ser substancialmente modificado antes de ser lançado comercialmente. A Microsoft não concede garantias, expressas ou implícitas, relativamente às informações aqui fornecidas.
O esquema de investigação avançado é composto por várias tabelas que fornecem informações de eventos ou informações sobre dispositivos, alertas, identidades e outros tipos de entidade. Para criar consultas eficazmente que abrangem múltiplas tabelas, tem de compreender as tabelas e as colunas no esquema de investigação avançado.
Obter informações de esquema
Ao construir consultas, utilize a referência de esquema incorporada para obter rapidamente as seguintes informações sobre cada tabela no esquema:
- Descrição das tabelas — tipo de dados contidos na tabela e a origem desses dados.
- Colunas — todas as colunas na tabela.
-
Tipos de ação — valores possíveis na coluna que
ActionTyperepresentam os tipos de evento suportados pela tabela. Estas informações são fornecidas apenas para tabelas que contêm informações de eventos. - Consulta de exemplo — consultas de exemplo que apresentam a forma como a tabela pode ser utilizada.
Aceder à referência de esquema
Para aceder rapidamente à referência de esquema, selecione a ação Ver referência junto ao nome da tabela na representação do esquema. Também pode selecionar Referência de esquema para procurar uma tabela.
Conhecer as tabelas de esquema
A referência seguinte lista todas as tabelas no esquema. Cada nome de tabela liga a uma página que descreve os nomes das colunas dessa tabela. Os nomes de tabelas e colunas também estão listados no Microsoft Defender XDR como parte da representação do esquema no ecrã de investigação avançado.
| Nome da tabela | Descrição |
|---|---|
| AADSignInEventsBeta | Microsoft Entra inícios de sessão interativos e não interativos |
| AADSpnSignInEventsBeta | Microsoft Entra principal de serviço e inícios de sessão de identidade gerida |
| AlertEvidence | Ficheiros, endereços IP, URLs, utilizadores ou dispositivos associados a alertas |
| AlertInfo | Alertas de Microsoft Defender para Endpoint, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps e Microsoft Defender para Identidade, incluindo informações de gravidade e categorização de ameaças |
| BehaviorEntities (Pré-visualização) | Tipos de dados de comportamento no Microsoft Defender for Cloud Apps (não disponível para GCC) |
| BehaviorInfo (Pré-visualização) | Alertas de Microsoft Defender for Cloud Apps (não disponíveis para GCC) |
| CloudAppEvents | Eventos que envolvem contas e objetos no Office 365 e noutros serviços e aplicações na cloud |
| CloudAuditEvents (Pré-visualização) | Eventos de auditoria na cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para a Cloud |
| CloudProcessEvents (Pré-visualização) | Eventos de processo da cloud para várias plataformas na cloud protegidas pelo Microsoft Defender da organização para Contentores |
| CloudStorageAggregatedEvents (Pré-visualização) | Atividade de armazenamento na cloud e eventos relacionados |
| DataSecurityBehaviors (Pré-visualização) | Informações sobre comportamentos de utilizador potencialmente suspeitos que violam políticas predefinidas ou definidas pelo utilizador configuradas no conjunto de soluções do Microsoft Purview |
| DataSecurityEvents (Pré-visualização) | Informações sobre atividades de utilizador que violam políticas predefinidas ou definidas pelo utilizador no conjunto de soluções do Microsoft Purview |
| DeviceBaselineComplianceAssessment (Pré-visualização) | Instantâneo da avaliação de conformidade da linha de base, que indica o estado de várias configurações de segurança relacionadas com perfis de linha de base em dispositivos |
| DeviceBaselineComplianceAssessmentKB (Pré-visualização) | Informações sobre várias configurações de segurança utilizadas pela conformidade da linha de base para avaliar dispositivos |
| DeviceBaselineComplianceProfiles (Pré-visualização) | Perfis de linha de base utilizados para monitorizar a conformidade da linha de base do dispositivo |
| DeviceEvents | Vários tipos de eventos, incluindo eventos acionados por controlos de segurança, como o Antivírus Microsoft Defender e a proteção contra exploits |
| DeviceFileCertificateInfo | Informações de certificado de ficheiros assinados obtidos a partir de eventos de verificação de certificados em pontos finais |
| DeviceFileEvents | Criação de ficheiros, modificação e outros eventos do sistema de ficheiros |
| DeviceImageLoadEvents | Eventos de carregamento da DLL |
| DeviceInfo | Informações do computador, incluindo informações do SO |
| DeviceLogonEvents | Inícios de sessão e outros eventos de autenticação em dispositivos |
| DeviceNetworkEvents | Ligação de rede e eventos relacionados |
| DeviceNetworkInfo | Propriedades de rede de dispositivos, incluindo adaptadores físicos, endereços IP e MAC, bem como redes e domínios ligados |
| DeviceProcessEvents | Criação de processos e eventos relacionados |
| DeviceRegistryEvents | Criação e modificação de entradas de registo |
| DeviceTvmBrowserExtensions (Pré-visualização) | Instalações da extensão do browser encontradas em dispositivos de Gestão de vulnerabilidades do Microsoft Defender |
| DeviceTvmBrowserExtensionsKB (Pré-visualização) | Detalhes da extensão do browser e informações de permissão utilizadas na página Gestão de vulnerabilidades do Microsoft Defender extensões do browser |
| DeviceTvmCertificateInfo (Pré-visualização) | Informações de certificado para dispositivos na organização a partir de Gestão de vulnerabilidades do Microsoft Defender |
| DeviceTvmHardwareFirmware | Informações de hardware e firmware dos dispositivos conforme verificado pelo Gestão de vulnerabilidades do Defender |
| DeviceTvmInfoGathering | Gestão de vulnerabilidades do Defender eventos de avaliação, incluindo estados da superfície de configuração e ataque |
| DeviceTvmInfoGatheringKB | Metadados para eventos de avaliação recolhidos na DeviceTvmInfogathering tabela |
| DeviceTvmSecureConfigurationAssessment | Gestão de vulnerabilidades do Microsoft Defender eventos de avaliação, que indicam o estado de várias configurações de segurança nos dispositivos |
| DeviceTvmSecureConfigurationAssessmentKB | Base de dados de conhecimento de várias configurações de segurança utilizadas por Gestão de vulnerabilidades do Microsoft Defender para avaliar dispositivos; inclui mapeamentos para várias normas e referências |
| DeviceTvmSoftwareEvidenceBeta | Informações de provas sobre onde foi detetado um software específico num dispositivo |
| DeviceTvmSoftwareInventory | Inventário de software instalado em dispositivos, incluindo as informações da versão e o estado de fim do suporte |
| DeviceTvmSoftwareVulnerabilities | Vulnerabilidades de software encontradas em dispositivos e a lista de atualizações de segurança disponíveis que abordam cada vulnerabilidade |
| DeviceTvmSoftwareVulnerabilitiesKB | Base de dados de conhecimento de vulnerabilidades divulgadas publicamente, incluindo se o código de exploração está disponível publicamente |
| DisruptionAndResponseEvents (Pré-visualização) | Eventos de interrupção automática de ataques no Microsoft Defender XDR |
| EmailAttachmentInfo | Informações sobre ficheiros anexados a e-mails |
| EmailEvents | Eventos de e-mail do Microsoft 365, incluindo entrega de e-mail e eventos de bloqueio |
| EmailPostDeliveryEvents | Eventos de segurança que ocorrem após a entrega, após o Microsoft 365 entregar os e-mails à caixa de correio do destinatário |
| EmailUrlInfo | Informações sobre URLs em e-mails |
| ExposureGraphEdges | Gestão da exposição de segurança da Microsoft informações de limite do gráfico de exposição fornecem visibilidade sobre as relações entre entidades e recursos no gráfico |
| ExposureGraphNodes | Gestão da exposição de segurança da Microsoft informações do nó de gráfico de exposição, sobre entidades organizacionais e as respetivas propriedades |
| GraphApiAuditEvents (Pré-visualização) | Microsoft Entra ID pedidos de API feitos ao Microsoft Graph API para recursos no inquilino |
| IdentityDirectoryEvents | Eventos que envolvem um controlador de domínio no local a executar o Active Directory (AD). Esta tabela abrange uma variedade de eventos relacionados com identidades e eventos de sistema no controlador de domínio. |
| IdentityInfo | Informações de conta de várias origens, incluindo Microsoft Entra ID |
| IdentityLogonEvents | Eventos de autenticação no Active Directory e no Microsoft serviços online |
| IdentityQueryEvents | Consultas para objetos do Active Directory, tais como utilizadores, grupos, dispositivos e domínios |
| MessageEvents (Pré-visualização) | Mensagens enviadas e recebidas na sua organização no momento da entrega |
| MessagePostDeliveryEvents (Pré-visualização) | Eventos de segurança que ocorreram após a entrega de uma mensagem do Microsoft Teams na sua organização |
| MessageUrlInfo (Pré-visualização) | URLs enviados através de mensagens do Microsoft Teams na sua organização |
| OAuthAppInfo (Pré-visualização) | Aplicações OAuth ligadas ao Microsoft 365 registadas com Microsoft Entra ID e disponíveis na capacidade de governação de aplicações Defender for Cloud Apps |
| UrlClickEvents | Ligações Seguras clica a partir de mensagens de e-mail, Teams e aplicações Office 365 |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Trabalhar com resultados de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.