Partager via


IdentityQueryEvents

S’applique à :

  • Microsoft Defender XDR

Le IdentityQueryEvents tableau du schéma de repérage avancé contient des informations sur les requêtes effectuées sur des objets Active Directory, tels que des utilisateurs, des groupes, des appareils et des domaines. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail
Application string Application qui a effectué l’action enregistrée
QueryType string Type de requête, tel que QueryGroup, QueryUser ou EnumerateUsers
QueryTarget string Nom de l’utilisateur, du groupe, de l’appareil, du domaine ou de tout autre type d’entité interrogé
Query string Chaîne utilisée pour exécuter la requête
Protocol string Protocole utilisé pendant la communication
AccountName string Nom d’utilisateur du compte
AccountDomain string Domaine du compte
AccountUpn string Nom d’utilisateur principal (UPN) du compte
AccountSid string Identificateur de sécurité (SID) du compte
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountDisplayName string Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille.
DeviceName string Nom de domaine complet (FQDN) de l’appareil
IPAddress string Adresse IP affectée au point de terminaison et utilisée pendant les communications réseau associées
Port int Port TCP utilisé pendant la communication
DestinationDeviceName string Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationIPAddress string Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationPort int Port de destination des communications réseau associées
TargetDeviceName string Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée
TargetAccountUpn string Nom d’utilisateur principal (UPN) du compte auquel l’action enregistrée a été appliquée
TargetAccountDisplayName string Nom d’affichage du compte auquel l’action enregistrée a été appliquée
Location string Ville, pays/région ou autre emplacement géographique associé à l’événement
ReportId string Identificateur unique de l’événement
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.