IdentityQueryEvents
Aplica-se a:
- Microsoft Defender XDR
A IdentityQueryEvents tabela no esquema de caça avançado contém informações sobre consultas executadas em objetos do Active Directory, como usuários, grupos, dispositivos e domínios. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicativo que executou a ação gravada |
QueryType |
string |
Tipo de consulta, como QueryGroup, QueryUser ou EnumerateUsers |
QueryTarget |
string |
Nome do usuário, grupo, dispositivo, domínio ou qualquer outro tipo de entidade que está sendo consultado |
Query |
string |
Cadeia de caracteres usada para executar a consulta |
Protocol |
string |
Protocolo usado durante a comunicação |
AccountName |
string |
Nome de usuário da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome. |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
IPAddress |
string |
Endereço IP atribuído ao ponto de extremidade e usado durante comunicações de rede relacionadas |
Port |
int |
Porta TCP usada durante a comunicação |
DestinationDeviceName |
string |
Nome do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationPort |
int |
Porta de destino das comunicações de rede relacionadas |
TargetDeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo ao qual a ação gravada foi aplicada |
TargetAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta à qual a ação registrada foi aplicada |
TargetAccountDisplayName |
string |
Nome de exibição da conta à qual a ação gravada foi aplicada |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
ReportId |
string |
Identificador exclusivo para o evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.