IdentityQueryEvents
חל על:
- Microsoft Defender XDR
הטבלה IdentityQueryEventsבסכימת הציד המתקדמות מכילה מידע אודות שאילתות שבוצעו מול אובייקטי Active Directory, כגון משתמשים, קבוצות, מכשירים ותחום. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
QueryType |
string |
סוג השאילתה, כגון QueryGroup, QueryUser או EnumerateUsers |
QueryTarget |
string |
שם המשתמש, הקבוצה, המכשיר, התחום או כל סוג ישות אחר הנמצאת בשאילתה |
Query |
string |
מחרוזת המשמשת להפעלת השאילתה |
Protocol |
string |
הפרוטוקול המשמש במהלך התקשורת |
AccountName |
string |
שם המשתמש של החשבון |
AccountDomain |
string |
תחום החשבון |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
AccountDisplayName |
string |
שם משתמש החשבון המוצג בפנקס הכתובות. בדרך כלל שילוב של שם פרטי או נתון, שם פרטי אמצעי ושם משפחה או שם משפחה. |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
IPAddress |
string |
כתובת IP שהוקצתה ל נקודת הקצה ומשמשת במהלך תקשורת רשת קשורה |
Port |
int |
יציאת TCP המשמשת במהלך תקשורת |
DestinationDeviceName |
string |
שם המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationIPAddress |
string |
כתובת IP של המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationPort |
int |
יציאת היעד של תקשורת רשת קשורה |
TargetDeviceName |
string |
שם תחום מלא (FQDN) של המכשיר עליו הוחלה הפעולה המוקלטת |
TargetAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון עליו הוחלה הפעולה המוקלטת |
TargetAccountDisplayName |
string |
שם התצוגה של החשבון הפעולה המוקלטת הוחלה עליו |
Location |
string |
עיר, מדינה/אזור או מיקום גיאוגרפי אחר המשויך לאירוע |
ReportId |
string |
מזהה ייחודי עבור האירוע |
AdditionalFields |
dynamic |
מידע נוסף אודות הישות או האירוע |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.