IdentityQueryEvents
Van toepassing op:
- Microsoft Defender XDR
De IdentityQueryEvents tabel in het geavanceerde opsporingsschema bevat informatie over query's die worden uitgevoerd op Active Directory-objecten, zoals gebruikers, groepen, apparaten en domeinen. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
QueryType |
string |
Type query, zoals QueryGroup, QueryUser of EnumerateUsers |
QueryTarget |
string |
Naam van gebruiker, groep, apparaat, domein of een ander entiteitstype dat wordt opgevraagd |
Query |
string |
Tekenreeks die wordt gebruikt om de query uit te voeren |
Protocol |
string |
Protocol dat tijdens de communicatie wordt gebruikt |
AccountName |
string |
Gebruikersnaam van het account |
AccountDomain |
string |
Domein van het account |
AccountUpn |
string |
UPN (User Principal Name) van het account |
AccountSid |
string |
Beveiligings-id (SID) van het account |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountDisplayName |
string |
De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam. |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
IPAddress |
string |
IP-adres dat is toegewezen aan het eindpunt en wordt gebruikt tijdens gerelateerde netwerkcommunicatie |
Port |
int |
TCP-poort die wordt gebruikt tijdens communicatie |
DestinationDeviceName |
string |
Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationIPAddress |
string |
IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationPort |
int |
Doelpoort van gerelateerde netwerkcommunicatie |
TargetDeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast |
TargetAccountUpn |
string |
UPN (User Principal Name) van het account waarop de geregistreerde actie is toegepast |
TargetAccountDisplayName |
string |
Weergavenaam van het account waarop de vastgelegde actie is toegepast |
Location |
string |
Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld |
ReportId |
string |
Unieke id voor de gebeurtenis |
AdditionalFields |
dynamic |
Aanvullende informatie over de entiteit of gebeurtenis |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.