IdentityQueryEvents
ينطبق على:
- Microsoft Defender XDR
IdentityQueryEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول الاستعلامات التي يتم إجراؤها مقابل عناصر Active Directory، مثل المستخدمين والمجموعات والأجهزة والمجالات. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل |
Application |
string |
التطبيق الذي نفذ الإجراء المسجل |
QueryType |
string |
نوع الاستعلام، مثل QueryGroup أو QueryUser أو EnumerateUsers |
QueryTarget |
string |
اسم المستخدم أو المجموعة أو الجهاز أو المجال أو أي نوع كيان آخر يتم الاستعلام عليه |
Query |
string |
السلسلة المستخدمة لتشغيل الاستعلام |
Protocol |
string |
البروتوكول المستخدم أثناء الاتصال |
AccountName |
string |
اسم المستخدم للحساب |
AccountDomain |
string |
مجال الحساب |
AccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب |
AccountSid |
string |
معرف الأمان (SID) للحساب |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
AccountDisplayName |
string |
اسم مستخدم الحساب المعروض في دفتر العناوين. عادة ما يكون مزيجا من اسم معين أو أول، وأحرف أولية متوسطة، واسم عائلة أو اسم عائلة. |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
IPAddress |
string |
عنوان IP المعين لنقطة النهاية والمستخدم أثناء اتصالات الشبكة ذات الصلة |
Port |
int |
منفذ TCP المستخدم أثناء الاتصال |
DestinationDeviceName |
string |
اسم الجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationIPAddress |
string |
عنوان IP للجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationPort |
int |
منفذ الوجهة لاتصالات الشبكة ذات الصلة |
TargetDeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز الذي تم تطبيق الإجراء المسجل عليه |
TargetAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي تم تطبيق الإجراء المسجل عليه |
TargetAccountDisplayName |
string |
عرض اسم الحساب الذي تم تطبيق الإجراء المسجل عليه |
Location |
string |
المدينة أو البلد/المنطقة أو الموقع الجغرافي الآخر المرتبط بالحدث |
ReportId |
string |
معرف فريد للحدث |
AdditionalFields |
dynamic |
معلومات إضافية حول الكيان أو الحدث |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.