IdentityQueryEvents
Dotyczy:
- Microsoft Defender XDR
Tabela IdentityQueryEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o zapytaniach wykonywanych względem obiektów usługi Active Directory, takich jak użytkownicy, grupy, urządzenia i domeny. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
QueryType |
string |
Typ zapytania, taki jak QueryGroup, QueryUser lub EnumerateUsers |
QueryTarget |
string |
Nazwa użytkownika, grupy, urządzenia, domeny lub dowolnego innego typu jednostki, którego dotyczą zapytania |
Query |
string |
Ciąg używany do uruchamiania zapytania |
Protocol |
string |
Protokół używany podczas komunikacji |
AccountName |
string |
Nazwa użytkownika konta |
AccountDomain |
string |
Domena konta |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountDisplayName |
string |
Nazwa użytkownika konta wyświetlanego w książce adresowej. Zazwyczaj kombinacja danego lub imienia, środkowego inicjała i nazwiska lub nazwiska. |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
IPAddress |
string |
Adres IP przypisany do punktu końcowego i używany podczas powiązanej komunikacji sieciowej |
Port |
int |
Port TCP używany podczas komunikacji |
DestinationDeviceName |
string |
Nazwa urządzenia z uruchomioną aplikacją serwera, która przetworzła zarejestrowaną akcję |
DestinationIPAddress |
string |
Adres IP urządzenia z uruchomioną aplikacją serwera, która przetworyła zarejestrowaną akcję |
DestinationPort |
int |
Port docelowy powiązanej komunikacji sieciowej |
TargetDeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia, do którego zastosowano zarejestrowaną akcję |
TargetAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, do którego zastosowano zarejestrowaną akcję |
TargetAccountDisplayName |
string |
Nazwa wyświetlana konta, do którego została zastosowana zarejestrowana akcja |
Location |
string |
Miasto, kraj/region lub inna lokalizacja geograficzna skojarzona ze zdarzeniem |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
AdditionalFields |
dynamic |
Dodatkowe informacje o jednostce lub zdarzeniu |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.