Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Importante
Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.
El esquema de búsqueda avanzada se actualiza periódicamente para agregar nuevas tablas y columnas. En algunos casos, se cambia el nombre de las columnas existentes o se reemplazan para mejorar la experiencia del usuario. Consulte este artículo para revisar los cambios de nomenclatura que podrían afectar a las consultas.
Los cambios de nomenclatura se aplican automáticamente a las consultas que se guardan en Microsoft Defender XDR, incluidas las consultas usadas por las reglas de detección personalizadas. No es necesario actualizar estas consultas manualmente. Sin embargo, deberá actualizar las siguientes consultas:
- Consultas que se ejecutan mediante la API
- Consultas que se guardan en otro lugar fuera de Microsoft Defender XDR
Junio de 2026
La
AIAgentsInfotabla está realizando la transición a laAgentsInfotabla. LaAIAgentsInfotabla se creó originalmente para escenarios de Copilot Studio y muchas de sus columnas eran específicas de esa plataforma. La nuevaAgentsInfotabla proporciona un esquema unificado que admite el inventario y la gobernanza de agentes para todos los tipos de agente, incluidos Copilot Studio, Microsoft Foundry, Microsoft 365 Copilot, agentes de terceros y agentes detectados por puntos de conexión. Microsoft Agent 365 los clientes deben usar laAgentsInfotabla hoy en día.Los cambios clave de la nueva tabla incluyen una cobertura ampliada para la identidad del agente, la autenticación, los permisos, el ciclo de vida y la configuración. El nuevo esquema también incluye una
RawAgentInfocolumna que almacena datos de agente adicionales en formato JSON, lo que garantiza que no se pierdan datos a medida que evoluciona el esquema.Para prepararse para este cambio:
- Actualice las consultas de búsqueda avanzadas para usar la
AgentsInfotabla en lugar deAIAgentsInfo. - Revise y actualice los filtros, proyecciones o combinaciones que hagan referencia
AIAgentsInfoa los nombres de columna, ya que los nombres de columna han cambiado en la nueva tabla. - Actualice las consultas que se ejecuten a través de la API o se guarden fuera de Microsoft Defender XDR. Las consultas guardadas en Microsoft Defender XDR, incluidas las reglas de detección personalizadas, se actualizan automáticamente.
La
AIAgentsInfotabla permanece accesible hasta el 1 de julio de 2026 para permitir el tiempo de migración.- Actualice las consultas de búsqueda avanzadas para usar la
Noviembre de 2025
Los valores de campo booleano de los resultados de búsqueda avanzada cambiarán de numéricos (
1y0) a textuales (TrueyFalse) el 25 de febrero de 2026. Aunque las consultas y las reglas de detección personalizadas no se verán afectadas por este cambio, es posible que quiera actualizar los procesos automatizados (por ejemplo, scripts, cuadernos de estrategias o integraciones) analizando estos valores.Las
AADSignInEventsBetatablas yAADSpnSignInEventsBetase reemplazan porEntraIdSignInEventsyEntraIdSpnSignInEvents, respectivamente. Estos cambios se están realizando para quitar el estado de vista previa de las tablas anteriores y para alinearlas con la personalización de marca del producto existente.Las
EntraIdSignInEventstablas yEntraIdSpnSignInEventsya están disponibles.AADSignInEventsBetaLas tablas heredadas yAADSpnSignInEventsBetapermanecerán en el esquema durante 30 días para permitir el tiempo necesario para actualizar las consultas. Las detecciones personalizadas se actualizarán automáticamente y no requerirán cambios. El 9 de diciembre de 2025 seAADSignInEventsBetaAADSpnSignInEventsBetaquitará del esquema.
Septiembre de 2025
En la tabla AADSignInEventsBeta , la AadDeviceId columna se reemplaza por una nueva columna, denominada EntraIdDeviceId, para alinearse con la personalización de marca del producto actual. La columna heredada AadDeviceId permanecerá en el esquema durante 30 días para dar tiempo a la actualización en las consultas. Después de este período de 30 días, AadDeviceId se quitará del esquema.
Mayo de 2025
En la IdentityInfo tabla, la SourceProvider columna se reemplazó por la IdentityEnvironment columna . Este cambio se realizó para simplificar la tabla unificada IdentityInfo con una tabla similar en Microsoft Sentinel log analytics. Tenga en cuenta que se agregó una nueva columna ( SourceProviders con s) en la tabla unificada. Esta columna hace referencia a los proveedores de origen de las cuentas de la identidad.
Mayo de 2021
La AppFileEvents tabla ha quedado en desuso. La CloudAppEvents tabla incluye información que solía estar en la tabla, junto con otras actividades de servicios en la AppFileEvents nube.
Marzo de 2021
La DeviceTvmSoftwareInventoryVulnerabilities tabla ha quedado en desuso. Reemplazarlo son las DeviceTvmSoftwareInventory tablas y DeviceTvmSoftwareVulnerabilities .
Febrero de 2021
En las tablas EmailAttachmentInfo y EmailEvents , las
MalwareFilterVerdictcolumnas yPhishFilterVerdictse han reemplazado por laThreatTypescolumna . LasMalwareDetectionMethodcolumnas yPhishDetectionMethodtambién se reemplazaron por laDetectionMethodscolumna . Esta simplificación nos permite proporcionar más información en las nuevas columnas. La asignación se proporciona a continuación.Nombre de tabla Nombre de columna original Nuevo nombre de columna Motivo del cambio EmailAttachmentInfoMalwareDetectionMethod
PhishDetectionMethodDetectionMethodsIncluir más métodos de detección EmailAttachmentInfoMalwareFilterVerdictPhishFilterVerdictThreatTypesIncluir más tipos de amenazas EmailEventsMalwareDetectionMethod
PhishDetectionMethodDetectionMethodsIncluir más métodos de detección EmailEventsMalwareFilterVerdictPhishFilterVerdictThreatTypesIncluir más tipos de amenazas En las
EmailAttachmentInfotablas yEmailEvents, se agregó laThreatNamescolumna para proporcionar más información sobre la amenaza de correo electrónico. Esta columna contiene valores como Spam o Phish.En la tabla DeviceInfo , la
DeviceObjectIdcolumna se reemplazó por la columna en función de losAadDeviceIdcomentarios del cliente.En la tabla DeviceEvents , se modificaron varios nombres ActionType para reflejar mejor la descripción de la acción. Los detalles de los cambios se pueden encontrar a continuación.
Nombre de tabla Nombre original de ActionType Nuevo nombre de ActionType Motivo del cambio DeviceEventsUsbDriveMountUsbDriveMountedComentarios del cliente DeviceEventsUsbDriveUnmountUsbDriveUnmountedComentarios del cliente DeviceEventsWriteProcessMemoryApiCallWriteToLsassProcessMemoryComentarios del cliente
Enero de 2021
| Nombre de columna | Nombre del valor original | Nuevo nombre de valor | Motivo del cambio |
|---|---|---|---|
DetectionSource |
Defender for Cloud Apps | Microsoft Defender for Cloud Apps | Cambio de marca |
DetectionSource |
WindowsDefenderAtp | EDR | Cambio de marca |
DetectionSource |
WindowsDefenderAv | Antivirus | Cambio de marca |
DetectionSource |
WindowsDefenderSmartScreen | SmartScreen | Cambio de marca |
DetectionSource |
CustomerTI | TI personalizado | Cambio de marca |
DetectionSource |
OfficeATP | Microsoft Defender para Office 365 | Cambio de marca |
DetectionSource |
MTP | Microsoft Defender XDR | Cambio de marca |
DetectionSource |
AzureATP | Microsoft Defender for Identity | Cambio de marca |
DetectionSource |
CustomDetection | Detección personalizada | Cambio de marca |
DetectionSource |
AutomatedInvestigation | Investigación automatizada | Cambio de marca |
DetectionSource |
ThreatExperts | Expertos en amenazas de Microsoft | Cambio de marca |
DetectionSource |
TI de terceros | Sensores de terceros | Cambio de marca |
ServiceSource |
ATP de Microsoft Defender | Microsoft Defender para punto de conexión | Cambio de marca |
ServiceSource |
Protección contra amenazas de Microsoft | Microsoft Defender XDR | Cambio de marca |
ServiceSource |
ATP de Office 365 | Microsoft Defender para Office 365 | Cambio de marca |
ServiceSource |
Azure ATP | Microsoft Defender for Identity | Cambio de marca |
DetectionSource está disponible en la tabla AlertInfo .
ServiceSource está disponible en las tablas AlertEvidence y AlertInfo .
Diciembre de 2020
| Nombre de tabla | Nombre de columna original | Nuevo nombre de columna | Motivo del cambio |
|---|---|---|---|
| EmailEvents | FinalEmailAction |
EmailAction |
Comentarios del cliente |
| EmailEvents | FinalEmailActionPolicy |
EmailActionPolicy |
Comentarios del cliente |
| EmailEvents | FinalEmailActionPolicyGuid |
EmailActionPolicyGuid |
Comentarios del cliente |
Temas relacionados
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.