Jaa


IdentityQueryEvents

Koskee seuraavia:

  • Microsoft Defender XDR

IdentityQueryEvents Kehittyneen metsästysrakenteen taulukko sisältää tietoja Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille, suoritetuista kyselyistä. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Vihje

Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ActionType string Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa
Application string Sovellus, joka suoritti tallennetun toiminnon
QueryType string Kyselyn tyyppi, kuten QueryGroup, QueryUser tai EnumerateUsers
QueryTarget string Sen käyttäjän, ryhmän, laitteen, toimialueen tai minkä tahansa muun entiteettityypin nimi, jolle tehdään kysely
Query string Kyselyn suorittamiseen käytettävä merkkijono
Protocol string Tiedonsiirron aikana käytettävä protokolla
AccountName string Tilin käyttäjänimi
AccountDomain string Tilin toimialue
AccountUpn string Tilin täydellinen käyttäjätunnus (UPN)
AccountSid string Tilin suojaustunnus (SID)
AccountObjectId string Tilin yksilöllinen tunnus Microsoft Entra ID
AccountDisplayName string Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä.
DeviceName string Laitteen täydellinen toimialuenimi (FQDN)
IPAddress string Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana
Port int TCP-portti, jota käytetään viestinnän aikana
DestinationDeviceName string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi
DestinationIPAddress string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite
DestinationPort int Liittyvän verkkoliikenteen kohdeportti
TargetDeviceName string Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin
TargetAccountUpn string Sen tilin täydellinen käyttäjätunnus (UPN), johon tallennettu toiminto suoritettiin
TargetAccountDisplayName string Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin
Location string Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti
ReportId string Tapahtuman yksilöllinen tunnus
AdditionalFields dynamic Lisätietoja entiteetistä tai tapahtumasta

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.