IdentityQueryEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen IdentityQueryEvents
i det avanserte jaktskjemaet inneholder informasjon om spørringer utført mot Active Directory-objekter, for eksempel brukere, grupper, enheter og domener. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionType
verdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon |
Application |
string |
Program som utførte den registrerte handlingen |
QueryType |
string |
Spørringstype, for eksempel QueryGroup, QueryUser eller EnumerateUsers |
QueryTarget |
string |
Navnet på brukeren, gruppen, enheten, domenet eller en annen enhetstype som spørres |
Query |
string |
Streng som brukes til å kjøre spørringen |
Protocol |
string |
Protokollen som brukes under kommunikasjonen |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain |
string |
Domene for kontoen |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountDisplayName |
string |
Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn. |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
IPAddress |
string |
IP-adresse tilordnet til endepunktet og brukt under relatert nettverkskommunikasjon |
Port |
int |
TCP-port som brukes under kommunikasjon |
DestinationDeviceName |
string |
Navnet på enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationIPAddress |
string |
IP-adressen til enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationPort |
int |
Målport for relatert nettverkskommunikasjon |
TargetDeviceName |
string |
Fullstendig domenenavn (FQDN) for enheten som den registrerte handlingen ble brukt på |
TargetAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som den registrerte handlingen ble brukt på |
TargetAccountDisplayName |
string |
Visningsnavn for kontoen som den registrerte handlingen ble brukt på |
Location |
string |
By, land/område eller annen geografisk plassering knyttet til hendelsen |
ReportId |
string |
Unik identifikator for hendelsen |
AdditionalFields |
dynamic |
Tilleggsinformasjon om enheten eller hendelsen |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.