了解 Microsoft Defender XDR 表
Microsoft Defender XDR Sentinel 数据连接器可以使用从 Microsoft Defender XDR 解决方案收集的原始数据来填充表。
| 表名称 | 说明 |
|---|---|
AlertEvidence |
与警报关联的文件、IP 地址、URL、用户或设备 |
CloudAppEvents |
涉及 Office 365 以及其他云应用和服务中的帐户和对象的事件 |
DeviceEvents |
多个事件类型,包括由安全控制(例如 Windows Defender 防病毒和攻击保护)触发的事件 |
DeviceFileCertificateInfo |
从终结点上的证书验证事件获取的签名文件的证书信息 |
DeviceFileEvents |
文件创建、修改和其他文件系统事件 |
DeviceImageLoadEvents |
DLL 加载事件 |
DeviceInfo |
计算机信息,包括操作系统信息 |
DeviceLogonEvents |
设备上的登录和其他身份验证事件 |
DeviceNetworkEvents |
网络连接及相关事件 |
DeviceNetworkInfo |
设备的网络属性,包括物理适配器、IP 和 MAC 地址,以及连接的网络和域 |
DeviceProcessEvents |
进程创建及相关事件 |
DeviceRegistryEvents |
注册表项的创建和修改 |
EmailEvents |
Microsoft 365 电子邮件事件,包括电子邮件传递和阻止事件 |
EmailPostDeliveryEvents |
Microsoft 365 将电子邮件传送到收件人邮箱后发生的安全事件 |
EmailUrlInfo |
有关电子邮件中的 URL 的信息 |
EmailAttachmentInfo |
有关 Office 365 电子邮件中所附文件的信息 |
IdentityDirectoryEvents |
涉及运行 Active Directory (AD) 的本地域控制器的事件。 此表涵盖了域控制器上的一系列与标识相关的事件和系统事件。 |
IdentityLogonEvents |
Active Directory 和 Microsoft 联机服务上的身份验证事件 |
IdentityQueryEvents |
对用户、组、设备和域等 Active Directory 对象的查询 |