Gelişmiş tehdit avcılığı şemasını anlama
Şunlar için geçerlidir:
- Microsoft Defender XDR
Önemli
Bu makaledeki bazı bilgiler önceden yayımlanmış bir ürünle ilgilidir ve ticari olarak piyasaya sürülmeden önce önemli ölçüde değiştirilmiş olabilir. Microsoft, burada sağlanan bilgilerle ilgili olarak açık veya zımni hiçbir garanti vermez.
Gelişmiş tehdit avcılığı şeması, cihazlar, uyarılar, kimlikler ve diğer varlık türleri hakkında olay bilgileri veya bilgi sağlayan birden çok tablodan oluşur. Birden çok tabloya yayılan sorguları etkili bir şekilde oluşturmak için gelişmiş tehdit avcılığı şemasındaki tabloları ve sütunları anlamanız gerekir.
Şema bilgilerini alma
Sorgu oluştururken, şemadaki her tablo hakkında hızla aşağıdaki bilgileri almak için yerleşik şema başvurularını kullanın:
- Tablo açıklaması: Tabloda yer alan verilerin türü ve bu verilerin kaynağı.
- Sütunlar— tablodaki tüm sütunlar.
-
Eylem türleri— tablo tarafından desteklenen olay türlerini temsil eden sütundaki
ActionTypeolası değerler. Bu bilgiler yalnızca olay bilgilerini içeren tablolar için sağlanır. - Örnek sorgu; tablonun nasıl kullanılabilmesini sağlayan örnek sorgular.
Şema başvurusuna erişme
Şema başvurusuna hızla erişmek için, şema gösteriminde tablo adının yanındaki Başvuruyu görüntüle eylemini seçin. Tablo aramak için Şema başvurusu'nu da seçebilirsiniz.
Şema tablolarını öğrenme
Aşağıdaki başvuru şemadaki tüm tabloları listeler. Her tablo adı, o tablonun sütun adlarını açıklayan bir sayfaya bağlanır. Tablo ve sütun adları, gelişmiş tehdit avcılığı ekranındaki şema gösteriminin bir parçası olarak Microsoft Defender XDR'da da listelenir.
| Tablo adı | Açıklama |
|---|---|
| AADSignInEventsBeta | Etkileşimli ve etkileşimli olmayan oturum açma işlemleri Microsoft Entra |
| AADSpnSignInEventsBeta | Hizmet sorumlusu ve yönetilen kimlik oturum açmalarını Microsoft Entra |
| AlertEvidence | Uyarılarla ilişkili dosyalar, IP adresleri, URL'ler, kullanıcılar veya cihazlar |
| AlertInfo | Uç Nokta için Microsoft Defender, Office 365 için Microsoft Defender, Microsoft Defender for Cloud Apps ve Kimlik için Microsoft Defender uyarıları, önem derecesi bilgileri ve tehdit kategorisi dahil |
| Davranış Varlıkları (Önizleme) | Microsoft Defender for Cloud Apps davranış veri türleri (GCC için kullanılamaz) |
| BehaviorInfo (Önizleme) | Microsoft Defender for Cloud Apps uyarıları (GCC için kullanılamaz) |
| CloudAppEvents | Office 365 ve diğer bulut uygulamaları ve hizmetlerindeki hesapları ve nesneleri içeren olaylar |
| CloudAuditEvents | Kuruluşun Bulut için Microsoft Defender tarafından korunan çeşitli bulut platformları için bulut denetim olayları |
| DeviceEvents | Microsoft Defender Virüsten Koruma ve yararlanma koruması gibi güvenlik denetimleri tarafından tetiklenen olaylar da dahil olmak üzere birden çok olay türü |
| DeviceFileCertificateInfo | Uç noktalarda sertifika doğrulama olaylarından alınan imzalı dosyaların sertifika bilgileri |
| DeviceFileEvents | Dosya oluşturma, değiştirme ve diğer dosya sistemi olayları |
| DeviceImageLoadEvents | DLL yükleme olayları |
| DeviceInfo | İşletim sistemi bilgileri de dahil olmak üzere makine bilgileri |
| DeviceLogonEvents | Cihazlarda oturum açma işlemleri ve diğer kimlik doğrulama olayları |
| DeviceNetworkEvents | Ağ bağlantısı ve ilgili olaylar |
| DeviceNetworkInfo | Fiziksel bağdaştırıcılar, IP ve MAC adreslerinin yanı sıra bağlı ağlar ve etki alanları da dahil olmak üzere cihazların ağ özellikleri |
| DeviceProcessEvents | İşlem oluşturma ve ilgili olaylar |
| DeviceRegistryEvents | Kayıt defteri girdilerinin oluşturulması ve değiştirilmesi |
| DeviceTvmHardwareFirmware | Defender Güvenlik Açığı Yönetimi tarafından denetlendiği şekilde cihazların donanım ve üretici yazılımı bilgileri |
| DeviceTvmInfoGathering | Yapılandırma ve saldırı yüzeyi alan durumları da dahil olmak üzere Defender Güvenlik Açığı Yönetimi değerlendirme olayları |
| DeviceTvmInfoGatheringKB | Tabloda toplanan DeviceTvmInfogathering değerlendirme olayları için meta veriler |
| DeviceTvmSecureConfigurationAssessment | Cihazlardaki çeşitli güvenlik yapılandırmalarının durumunu gösteren değerlendirme olaylarını Microsoft Defender Güvenlik Açığı Yönetimi |
| DeviceTvmSecureConfigurationAssessmentKB | cihazları değerlendirmek için Microsoft Defender Güvenlik Açığı Yönetimi tarafından kullanılan çeşitli güvenlik yapılandırmalarının bilgi bankası; çeşitli standartlara ve karşılaştırmalara yönelik eşlemeleri içerir |
| DeviceTvmSoftwareEvidenceBeta | Belirli bir yazılımın bir cihazda nerede algılandığı hakkında kanıt bilgileri |
| DeviceTvmSoftwareInventory | Sürüm bilgileri ve destek sonu durumu da dahil olmak üzere cihazlarda yüklü yazılımların envanteri |
| DeviceTvmSoftwareVulnerabilities | Cihazlarda bulunan yazılım güvenlik açıkları ve her güvenlik açığını gideren kullanılabilir güvenlik güncelleştirmelerinin listesi |
| DeviceTvmSoftwareVulnerabilitiesKB | Açıklardan yararlanma kodunun genel kullanıma açık olup olmadığı da dahil olmak üzere genel olarak açıklanmış güvenlik açıklarının bilgi bankası |
| EmailAttachmentInfo | E-postalara eklenen dosyalar hakkında bilgi |
| EmailEvents | E-posta teslimi ve engelleyici olaylar da dahil olmak üzere Microsoft 365 e-posta olayları |
| EmailPostDeliveryEvents | Microsoft 365 e-postaları alıcı posta kutusuna teslim ettikten sonra teslim sonrasında gerçekleşen güvenlik olayları |
| EmailUrlInfo | E-postalardaki URL'ler hakkında bilgi |
| ExposureGraphEdges | Microsoft Güvenlik Korunma Düzeyi Yönetimi maruz kalma grafiği uç bilgileri, grafikteki varlıklar ve varlıklar arasındaki ilişkilere görünürlük sağlar |
| ExposureGraphNodes | Microsoft Güvenlik Korunma Düzeyi Yönetimi açığa çıkarma grafiği düğümü bilgileri, kuruluş varlıkları ve özellikleri hakkında |
| IdentityDirectoryEvents | Active Directory (AD) çalıştıran bir şirket içi etki alanı denetleyicisini içeren olaylar. Bu tablo, etki alanı denetleyicisindeki kimlikle ilgili olayları ve sistem olaylarını kapsar. |
| IdentityInfo | Microsoft Entra ID dahil olmak üzere çeşitli kaynaklardan gelen hesap bilgileri |
| IdentityLogonEvents | Active Directory ve Microsoft çevrimiçi hizmetler kimlik doğrulama olayları |
| IdentityQueryEvents | Kullanıcılar, gruplar, cihazlar ve etki alanları gibi Active Directory nesneleri için sorgular |
| UrlClickEvents | E-posta iletilerinden, Teams'den ve Office 365 uygulamalarından Güvenli Bağlantılar tıklamaları |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Sorgu sonuçlarıyla çalışın
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.