Compartilhar via


IdentityQueryEvents

Aplica-se a:

  • Microsoft Defender XDR

A IdentityQueryEvents tabela no esquema de caça avançado contém informações sobre consultas executadas em objetos do Active Directory, como usuários, grupos, dispositivos e domínios. Use essa referência para criar consultas que retornam informações dessa tabela.

Dica

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
ActionType string Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes
Application string Aplicativo que executou a ação gravada
QueryType string Tipo de consulta, como QueryGroup, QueryUser ou EnumerateUsers
QueryTarget string Nome do usuário, grupo, dispositivo, domínio ou qualquer outro tipo de entidade que está sendo consultado
Query string Cadeia de caracteres usada para executar a consulta
Protocol string Protocolo usado durante a comunicação
AccountName string Nome de usuário da conta
AccountDomain string Domínio da conta
AccountUpn string Nome da entidade de usuário (UPN) da conta
AccountSid string Sid (Identificador de Segurança) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountDisplayName string Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome.
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
IPAddress string Endereço IP atribuído ao ponto de extremidade e usado durante comunicações de rede relacionadas
Port int Porta TCP usada durante a comunicação
DestinationDeviceName string Nome do dispositivo que executa o aplicativo do servidor que processou a ação gravada
DestinationIPAddress string Endereço IP do dispositivo que executa o aplicativo do servidor que processou a ação gravada
DestinationPort int Porta de destino das comunicações de rede relacionadas
TargetDeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo ao qual a ação gravada foi aplicada
TargetAccountUpn string Nome da entidade de usuário (UPN) da conta à qual a ação registrada foi aplicada
TargetAccountDisplayName string Nome de exibição da conta à qual a ação gravada foi aplicada
Location string Cidade, país/região ou outra localização geográfica associada ao evento
ReportId string Identificador exclusivo para o evento
AdditionalFields dynamic Informações adicionais sobre a entidade ou evento

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.