Jean-Sébastien DUCHENE Blog's

Actualité, Tips, Articles sur l'ensemble des Technologies Microsoft (SCCM/SMS, EMS, Microsoft Intune, Microsoft Azure, Windows 10, SCOM, MDOP...)

Microsoft a communiqué qu’une série de changement est prévu sur le nom des entités dans le schéma de données Advanced Hunting de Microsoft Defender Advanced Threat Protection. Les requêtes enregistrées seront automatiquement mises à jour. De plus, les noms existants continueront de fonctionner pendant au moins un mois après la transition.

Fournisseur de données 

Prefixe

Exemple de nom de tables 

Date 

Microsoft Defender ATP 

Device 

DeviceProccessCreationEvents 

DeviceFileEvents 

22 Dec 2019 

Office 365 ATP 

Email 

EmailEvents 

EmailAttachmentInfo 

A déterminer 

Identity Threat Protection (Microsoft Cloud App Security + Azure ATP) 

App 

IdentityQueryEvents 

AppFileEvents 

A déterminer 

 

Le premier changement concerne donc les tables Microsoft Defender ATP avec la correspondance :

Ancien nom de table 

Nouveau nom de table 

AlertEvents 

AlertEvents (inchangé) 

MachineInfo 

DeviceInfo 

MachineNetworkInfo 

DeviceNetworkInfo 

ProcessCreationEvents 

DeviceProcessEvents 

NetworkCommunicationEvents 

DeviceNetworkEvents 

FileCreationEvents 

DeviceFileEvents 

RegistryEvents 

DeviceRegistryEvents 

LogonEvents 

DeviceLogonEvents 

ImageLoadEvents 

DeviceImageLoadEvents 

MiscEvents 

DeviceEvents 

 

En outre, les noms de colonnes suivants vont être modifié :

Ancien nom de colonne 

Nouveau nom de colonne 

EventTime 

Timestamp 

MachineId 

DeviceId 

ComputerName 

DeviceName 

RegistryMachineTag 

RegistryDeviceTag 

RemoteComputerName 

RemoteDeviceName 

 

Source : Advanced hunting data schema changes

Facebook Like
Anonymous