Megosztás a következőn keresztül:


IdentityQueryEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR

A IdentityQueryEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz az Active Directory-objektumokon, például felhasználókon, csoportokon, eszközökön és tartományokon végrehajtott lekérdezésekről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
ActionType string Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát
Application string A rögzített műveletet végrehajtó alkalmazás
QueryType string A lekérdezés típusa, például QueryGroup, QueryUser vagy EnumerateUsers
QueryTarget string A lekérdezett felhasználó, csoport, eszköz, tartomány vagy bármely más entitástípus neve
Query string A lekérdezés futtatásához használt sztring
Protocol string A kommunikáció során használt protokoll
AccountName string A fiók felhasználóneve
AccountDomain string A fiók tartománya
AccountUpn string A fiók egyszerű felhasználóneve (UPN)
AccountSid string A fiók biztonsági azonosítója (SID)
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra ID
AccountDisplayName string A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja.
DeviceName string Az eszköz teljes tartományneve (FQDN)
IPAddress string A végponthoz rendelt ÉS a kapcsolódó hálózati kommunikáció során használt IP-cím
Port int Kommunikáció során használt TCP-port
DestinationDeviceName string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz neve
DestinationIPAddress string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz IP-címe
DestinationPort int Kapcsolódó hálózati kommunikáció célportja
TargetDeviceName string Annak az eszköznek a teljes tartományneve (FQDN), amelyekre a rögzített műveletet alkalmazták
TargetAccountUpn string Annak a fióknak az egyszerű felhasználóneve (UPN), amellyel a rögzített műveletet alkalmazták
TargetAccountDisplayName string Annak a fióknak a megjelenítendő neve, amelyen a rögzített műveletet alkalmazták
Location string Az eseményhez társított város, ország/régió vagy más földrajzi hely
ReportId string Az esemény egyedi azonosítója
AdditionalFields dynamic További információ az entitásról vagy eseményről

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.