IdentityQueryEvents

  • [アーティクル]

適用対象:

  • Microsoft Defender XDR

IdentityQueryEvents高度なハンティング スキーマのテーブルには、ユーザー、グループ、デバイス、ドメインなど、Active Directory オブジェクトに対して実行されるクエリに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

ヒント

テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
ActionType string イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください
Application string 記録されたアクションを実行したアプリケーション
QueryType string QueryGroup、QueryUser、EnumerateUsers などのクエリの種類
QueryTarget string クエリ対象のユーザー、グループ、デバイス、ドメイン、またはその他のエンティティの種類の名前
Query string クエリの実行に使用される文字列
Protocol string 通信中に使用されるプロトコル
AccountName string アカウントのユーザー名
AccountDomain string アカウントのドメイン
AccountUpn string アカウントのユーザー プリンシパル名 (UPN)
AccountSid string アカウントのセキュリティ識別子 (SID)
AccountObjectId string Microsoft Entra IDのアカウントの一意識別子
AccountDisplayName string アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)
IPAddress string エンドポイントに割り当てられ、関連するネットワーク通信中に使用される IP アドレス
Port int 通信中に使用される TCP ポート
DestinationDeviceName string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前
DestinationIPAddress string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレス
DestinationPort int 関連するネットワーク通信の宛先ポート
TargetDeviceName string 記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN)
TargetAccountUpn string 記録されたアクションが適用されたアカウントのユーザー プリンシパル名 (UPN)
TargetAccountDisplayName string 記録されたアクションが適用されたアカウントの表示名
Location string イベントに関連付けられている市区町村、国/地域、またはその他の地理的な場所
ReportId string イベントの一意識別子
AdditionalFields dynamic エンティティまたはイベントに関する追加情報

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします