Поделиться через


IdentityQueryEvents

Область применения:

  • Microsoft Defender XDR

Таблица IdentityQueryEvents в схеме расширенной охоты содержит сведения о запросах, выполняемых к объектам Active Directory, таким как пользователи, группы, устройства и домены. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале.
Application string Приложение, выполняющее записанное действие
QueryType string Тип запроса, например QueryGroup, QueryUser или EnumerateUsers
QueryTarget string Имя пользователя, группы, устройства, домена или любого другого типа сущности, запрашиваемой
Query string Строка, используемая для выполнения запроса
Protocol string Протокол, используемый во время обмена данными
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountUpn string Имя участника-пользователя (UPN) учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountDisplayName string Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии.
DeviceName string Полное доменное имя (FQDN) устройства
IPAddress string IP-адрес, назначенный конечной точке и используемый во время связанных сетевых подключений
Port int TCP-порт, используемый во время обмена данными
DestinationDeviceName string Имя устройства, на котором запущено серверное приложение, обрабатывающее записанное действие
DestinationIPAddress string IP-адрес устройства, на котором запущено серверное приложение, обрабатывающее записанное действие
DestinationPort int Порт назначения связанных сетевых подключений
TargetDeviceName string Полное доменное имя (FQDN) устройства, к которому было применено записанное действие
TargetAccountUpn string Имя участника-пользователя (UPN) учетной записи, к которому было применено записанное действие.
TargetAccountDisplayName string Отображаемое имя учетной записи, к которому было применено записанное действие
Location string Город, страна или регион или другое географическое расположение, связанное с событием
ReportId string Уникальный идентификатор события
AdditionalFields dynamic Дополнительные сведения о сущности или событии

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.