IdentityQueryEvents
S’applique à :
- Microsoft Defender XDR
Le IdentityQueryEvents
tableau du schéma de repérage avancé contient des informations sur les requêtes effectuées sur des objets Active Directory, tels que des utilisateurs, des groupes, des appareils et des domaines. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionType
valeurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
Nom de colonne | Type de données | Description |
---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail |
Application |
string |
Application qui a effectué l’action enregistrée |
QueryType |
string |
Type de requête, tel que QueryGroup, QueryUser ou EnumerateUsers |
QueryTarget |
string |
Nom de l’utilisateur, du groupe, de l’appareil, du domaine ou de tout autre type d’entité interrogé |
Query |
string |
Chaîne utilisée pour exécuter la requête |
Protocol |
string |
Protocole utilisé pendant la communication |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain |
string |
Domaine du compte |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountDisplayName |
string |
Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille. |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
IPAddress |
string |
Adresse IP affectée au point de terminaison et utilisée pendant les communications réseau associées |
Port |
int |
Port TCP utilisé pendant la communication |
DestinationDeviceName |
string |
Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationIPAddress |
string |
Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationPort |
int |
Port de destination des communications réseau associées |
TargetDeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée |
TargetAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte auquel l’action enregistrée a été appliquée |
TargetAccountDisplayName |
string |
Nom d’affichage du compte auquel l’action enregistrée a été appliquée |
Location |
string |
Ville, pays/région ou autre emplacement géographique associé à l’événement |
ReportId |
string |
Identificateur unique de l’événement |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.