Microsoft a communiqué qu’une série de changement est prévu sur le nom des entités dans le schéma de données Advanced Hunting de Microsoft Defender Advanced Threat Protection. Les requêtes enregistrées seront automatiquement mises à jour. De plus, les noms existants continueront de fonctionner pendant au moins un mois après la transition.
|
Fournisseur de données |
Prefixe |
Exemple de nom de tables |
Date |
|
Microsoft Defender ATP |
Device |
DeviceProccessCreationEvents DeviceFileEvents |
22 Dec 2019 |
|
Office 365 ATP |
|
EmailEvents EmailAttachmentInfo |
A déterminer |
|
Identity Threat Protection (Microsoft Cloud App Security + Azure ATP) |
App |
IdentityQueryEvents AppFileEvents |
A déterminer |
Le premier changement concerne donc les tables Microsoft Defender ATP avec la correspondance :
|
Ancien nom de table |
Nouveau nom de table |
|
AlertEvents |
AlertEvents (inchangé) |
|
MachineInfo |
DeviceInfo |
|
MachineNetworkInfo |
DeviceNetworkInfo |
|
ProcessCreationEvents |
DeviceProcessEvents |
|
NetworkCommunicationEvents |
DeviceNetworkEvents |
|
FileCreationEvents |
DeviceFileEvents |
|
RegistryEvents |
DeviceRegistryEvents |
|
LogonEvents |
DeviceLogonEvents |
|
ImageLoadEvents |
DeviceImageLoadEvents |
|
MiscEvents |
DeviceEvents |
En outre, les noms de colonnes suivants vont être modifié :
|
Ancien nom de colonne |
Nouveau nom de colonne |
|
EventTime |
Timestamp |
|
MachineId |
DeviceId |
|
ComputerName |
DeviceName |
|
RegistryMachineTag |
RegistryDeviceTag |
|
RemoteComputerName |
RemoteDeviceName |
Source : Advanced hunting data schema changes
