IdentityQueryEvents
Platí pro:
- Microsoft Defender XDR
Tabulka IdentityQueryEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o dotazech prováděných s objekty služby Active Directory, jako jsou uživatelé, skupiny, zařízení a domény. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu . |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
QueryType |
string |
Typ dotazu, například QueryGroup, QueryUser nebo EnumerateUsers |
QueryTarget |
string |
Název uživatele, skupiny, zařízení, domény nebo jiného typu entity, který se dotazuje |
Query |
string |
Řetězec použitý ke spuštění dotazu |
Protocol |
string |
Protokol použitý během komunikace |
AccountName |
string |
Uživatelské jméno účtu |
AccountDomain |
string |
Doména účtu |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
AccountSid |
string |
Identifikátor zabezpečení (SID) účtu |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountDisplayName |
string |
Jméno uživatele účtu zobrazeného v adresáři Obvykle se jedná o kombinaci křestního jména nebo jména, prostřední iniciály a příjmení nebo příjmení. |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
IPAddress |
string |
IP adresa přiřazená koncovému bodu a použitá při související síťové komunikaci |
Port |
int |
Port TCP používaný během komunikace |
DestinationDeviceName |
string |
Název zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationIPAddress |
string |
IP adresa zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationPort |
int |
Cílový port související síťové komunikace |
TargetDeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení, na které se zaznamenaná akce použila |
TargetAccountUpn |
string |
Hlavní název uživatele (UPN) účtu, u kterého byla zaznamenaná akce použita |
TargetAccountDisplayName |
string |
Zobrazovaný název účtu, na který se zaznamenaná akce použila |
Location |
string |
Město, země/oblast nebo jiné zeměpisné umístění přidružené k události |
ReportId |
string |
Jedinečný identifikátor události |
AdditionalFields |
dynamic |
Další informace o entitě nebo události |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.