Delen via


IdentityQueryEvents

Van toepassing op:

  • Microsoft Defender XDR

De IdentityQueryEvents tabel in het geavanceerde opsporingsschema bevat informatie over query's die worden uitgevoerd op Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Tip

Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
ActionType string Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie
Application string Toepassing die de vastgelegde actie heeft uitgevoerd
QueryType string Type query, zoals QueryGroup, QueryUser of EnumerateUsers
QueryTarget string Naam van gebruiker, groep, apparaat, domein of een ander entiteitstype dat wordt opgevraagd
Query string Tekenreeks die wordt gebruikt om de query uit te voeren
Protocol string Protocol dat tijdens de communicatie wordt gebruikt
AccountName string Gebruikersnaam van het account
AccountDomain string Domein van het account
AccountUpn string UPN (User Principal Name) van het account
AccountSid string Beveiligings-id (SID) van het account
AccountObjectId string Unieke id voor het account in Microsoft Entra ID
AccountDisplayName string De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam.
DeviceName string Fully Qualified Domain Name (FQDN) van het apparaat
IPAddress string IP-adres dat is toegewezen aan het eindpunt en wordt gebruikt tijdens gerelateerde netwerkcommunicatie
Port int TCP-poort die wordt gebruikt tijdens communicatie
DestinationDeviceName string Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationIPAddress string IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationPort int Doelpoort van gerelateerde netwerkcommunicatie
TargetDeviceName string Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast
TargetAccountUpn string UPN (User Principal Name) van het account waarop de geregistreerde actie is toegepast
TargetAccountDisplayName string Weergavenaam van het account waarop de vastgelegde actie is toegepast
Location string Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld
ReportId string Unieke id voor de gebeurtenis
AdditionalFields dynamic Aanvullende informatie over de entiteit of gebeurtenis

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.