Descripción del esquema de búsqueda avanzada

Se aplica a:

  • Microsoft Defender XDR

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

El esquema de búsqueda avanzada se compone de varias tablas que proporcionan información de eventos o información sobre dispositivos, alertas, identidades y otros tipos de entidad. Para crear consultas eficaces que abarquen varias tablas, debe comprender las tablas y las columnas del esquema de búsqueda avanzada.

Obtener información de esquema

Al crear consultas, use la referencia de esquema integrada para obtener rápidamente la siguiente información sobre cada tabla del esquema:

  • Descripción de las tablas: tipo de datos contenidos en la tabla y el origen de esos datos.
  • Columnas: todas las columnas de la tabla.
  • Tipos de acción: valores posibles en la ActionType columna que representan los tipos de evento admitidos por la tabla. Esta información solo se proporciona para las tablas que contienen información de eventos.
  • Consulta de ejemplo: consultas de ejemplo que incluyen cómo se puede usar la tabla.

Acceso a la referencia de esquema

Para acceder rápidamente a la referencia de esquema, seleccione la acción Ver referencia junto al nombre de la tabla en la representación del esquema. También puede seleccionar Referencia de esquema para buscar una tabla.

La página Referencia de esquema de la página Búsqueda avanzada del portal de Microsoft Defender

Obtenga información sobre las tablas de esquema

A continuación se enumeran todas las tablas del esquema. Cada nombre de tabla está vinculado a una página donde se describen los nombres de las columnas de esa tabla. Los nombres de tabla y columna también se enumeran en Microsoft Defender XDR como parte de la representación de esquema en la pantalla de búsqueda avanzada.

Nombre de tabla Descripción
AADSignInEventsBeta Microsoft Entra inicios de sesión interactivos y no interactivos
AADSpnSignInEventsBeta Microsoft Entra entidad de servicio e inicios de sesión de identidad administrada
AlertEvidence Archivos, direcciones IP, direcciones URL, usuarios o dispositivos asociados a alertas
AlertInfo Alertas de Microsoft Defender para punto de conexión, Microsoft Defender para Office 365, Microsoft Defender for Cloud Apps y Microsoft Defender for Identity, incluida la información de gravedad y la categorización de amenazas
BehaviorEntities (versión preliminar) Tipos de datos de comportamiento en Microsoft Defender for Cloud Apps (no disponible para GCC)
BehaviorInfo (versión preliminar) Alertas de Microsoft Defender for Cloud Apps (no disponible para GCC)
CloudAppEvents Eventos relacionados con cuentas y objetos en Office 365 y otras aplicaciones y servicios en la nube
CloudAuditEvents Eventos de auditoría en la nube para varias plataformas en la nube protegidas por la Microsoft Defender de la organización para la nube
DeviceEvents Varios tipos de eventos, incluidos los eventos desencadenados por controles de seguridad, como Microsoft Defender Antivirus y protección contra vulnerabilidades de seguridad
DeviceFileCertificateInfo Información de certificados de archivos firmados obtenidos de los eventos de comprobación de certificados en puntos de conexión
DeviceFileEvents Creación y modificación de archivos y otros eventos del sistema de archivos
DeviceImageLoadEvents Eventos de carga de DLL
DeviceInfo Información del equipo, incluida la información del sistema operativo
DeviceLogonEvents Inicios de sesión y otros eventos de autenticación en dispositivos
DeviceNetworkEvents Conexión de red y eventos relacionados
DeviceNetworkInfo Propiedades de red de dispositivos, incluyendo adaptadores físicos, direcciones IP y MAC, así como redes y dominios conectados
DeviceProcessEvents Creación de procesos y eventos relacionados
DeviceRegistryEvents Creación y modificación de entradas de Registro
DeviceTvmHardwareFirmware Información de hardware y firmware de los dispositivos según lo comprobado por Administración de vulnerabilidades de Defender
DeviceTvmInfoGathering Administración de vulnerabilidades de Defender eventos de evaluación, incluidos los estados de área expuesta a ataques y configuración
DeviceTvmInfoGatheringKB Metadatos para eventos de evaluación recopilados en la DeviceTvmInfogathering tabla
DeviceTvmSecureConfigurationAssessment Administración de vulnerabilidades de Microsoft Defender eventos de evaluación, que indican el estado de varias configuraciones de seguridad en los dispositivos
DeviceTvmSecureConfigurationAssessmentKB Base de conocimiento de varias configuraciones de seguridad usadas por Administración de vulnerabilidades de Microsoft Defender para evaluar dispositivos; incluye asignaciones a diversos estándares y pruebas comparativas
DeviceTvmSoftwareEvidenceBeta Información de evidencia sobre dónde se detectó un software específico en un dispositivo
DeviceTvmSoftwareInventory Inventario del software instalado en dispositivos, incluida la información de la versión y el estado de finalización del soporte técnico
DeviceTvmSoftwareVulnerabilities Vulnerabilidades de software encontradas en los dispositivos y lista de actualizaciones de seguridad disponibles que abordan cada vulnerabilidad
DeviceTvmSoftwareVulnerabilitiesKB La base de conocimiento de vulnerabilidades de la que se ha informado públicamente, incluyendo si el código que aprovecha la vulnerabilidad está disponible para el público
EmailAttachmentInfo Información sobre los archivos adjuntos a los correos electrónicos
EmailEvents Eventos de correo electrónico de Microsoft 365, incluidos los eventos de bloqueo y entrega de correo electrónico
EmailPostDeliveryEvents Eventos de seguridad que se producen después de la entrega, después de que Microsoft 365 entregue los correos electrónicos al buzón de correo del destinatario.
EmailUrlInfo Información sobre las direcciones URL de los correos electrónicos
ExposureGraphEdges Administración de exposición de seguridad Microsoft información perimetral del gráfico de exposición proporciona visibilidad sobre las relaciones entre entidades y recursos en el gráfico
ExposureGraphNodes Administración de exposición de seguridad Microsoft información del nodo del gráfico de exposición, sobre las entidades organizativas y sus propiedades
IdentityDirectoryEvents Eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). En esta tabla se describen una serie de eventos relacionados con la identidad y eventos del sistema en el controlador de dominio.
IdentityInfo Información de la cuenta de varios orígenes, incluidos los Microsoft Entra ID
IdentityLogonEvents Eventos de autenticación en Active Directory y en servicios en línea de Microsoft
IdentityQueryEvents Consultas sobree objetos de Active Directory, como usuarios, grupos, dispositivos y dominios
UrlClickEvents Vínculos seguros hace clic desde mensajes de correo electrónico, Teams y aplicaciones Office 365

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.