IdentityQueryEvents
Aplica-se a:
- Microsoft Defender XDR
A IdentityQueryEvents tabela no esquema de investigação avançada contém informações sobre consultas realizadas em objetos do Active Directory, como utilizadores, grupos, dispositivos e domínios. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicação que executou a ação gravada |
QueryType |
string |
Tipo de consulta, como QueryGroup, QueryUser ou EnumerateUsers |
QueryTarget |
string |
Nome do utilizador, grupo, dispositivo, domínio ou qualquer outro tipo de entidade que esteja a ser consultado |
Query |
string |
Cadeia utilizada para executar a consulta |
Protocol |
string |
Protocolo utilizado durante a comunicação |
AccountName |
string |
Nome de utilizador da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do utilizador da conta apresentado no livro de endereços. Normalmente, uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido. |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
IPAddress |
string |
Endereço IP atribuído ao ponto final e utilizado durante comunicações de rede relacionadas |
Port |
int |
Porta TCP utilizada durante a comunicação |
DestinationDeviceName |
string |
Nome do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationPort |
int |
Porta de destino de comunicações de rede relacionadas |
TargetDeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo ao qual a ação registada foi aplicada |
TargetAccountUpn |
string |
Nome principal de utilizador (UPN) da conta à qual a ação registada foi aplicada |
TargetAccountDisplayName |
string |
Nome a apresentar da conta à qual a ação gravada foi aplicada |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
ReportId |
string |
Identificador exclusivo do evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.