Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
IdentityQueryEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille, suoritetuista kyselyistä. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Tämä kehittynyt metsästystaulukko täytetään Microsoft Defender for Identity tai Microsoft Sentinel ja Mirosoft Entra ID -tunnus tietueilla. Jos organisaatiosi ei ole ottanut palvelua käyttöön Microsoft Defender XDR, taulukkoa käyttävät kyselyt eivät toimi tai palauta tuloksia. Lisätietoja Defender for Identityn käyttöönotosta Defender XDR on artikkelissa Tuettujen palveluiden käyttöönotto. Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
QueryType |
string |
Kyselyn tyyppi, kuten QueryGroup, QueryUser tai EnumerateUsers |
QueryTarget |
string |
Sen käyttäjän, ryhmän, laitteen, toimialueen tai minkä tahansa muun entiteettityypin nimi, jolle tehdään kysely |
Query |
string |
Kyselyn suorittamiseen käytettävä merkkijono |
Protocol |
string |
Tiedonsiirron aikana käytettävä protokolla |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain |
string |
Tilin toimialue |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountDisplayName |
string |
Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä. |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
IPAddress |
string |
Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana |
Port |
int |
TCP-portti, jota käytetään viestinnän aikana |
DestinationDeviceName |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi |
DestinationIPAddress |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite |
DestinationPort |
int |
Liittyvän verkkoliikenteen kohdeportti |
TargetDeviceName |
string |
Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin |
TargetAccountUpn |
string |
Sen tilin täydellinen käyttäjätunnus (UPN), johon tallennettu toiminto suoritettiin |
TargetAccountDisplayName |
string |
Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin |
Location |
string |
Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.