分享方式:


IdentityQueryEvents

適用於:

  • Microsoft Defender XDR

IdentityQueryEvents搜捕 架構中的數據表包含針對 Active Directory 物件執行之查詢的相關信息,例如使用者、群組、裝置和網域。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需數據表所支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中可用的內建架構參考。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ActionType string 觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考
Application string 執行已錄製動作的應用程式
QueryType string 查詢類型,例如 QueryGroup、QueryUser 或 EnumerateUsers
QueryTarget string 要查詢的使用者、群組、裝置、網域或任何其他實體類型的名稱
Query string 用來執行查詢的字串
Protocol string 通訊期間使用的通訊協定
AccountName string 帳戶的用戶名稱
AccountDomain string 帳戶的網域
AccountUpn string 帳戶的UPN) (用戶主體名稱
AccountSid string 帳戶 (SID) 的安全識別符
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountDisplayName string 通訊錄中顯示的帳戶用戶名稱。 通常是指定或名字、中間初始名稱和姓氏或姓氏的組合。
DeviceName string 裝置的 FQDN) (完整功能變數名稱
IPAddress string 指派給端點並在相關網路通訊期間使用的IP位址
Port int 通訊期間使用的 TCP 連接埠
DestinationDeviceName string 執行處理已錄製動作之伺服器應用程式的裝置名稱
DestinationIPAddress string 執行處理所錄製動作之伺服器應用程式的裝置IP位址
DestinationPort int 相關網路通訊的目的地埠
TargetDeviceName string 已記錄動作套用至之裝置的完整域名 (FQDN)
TargetAccountUpn string 套用記錄動作之帳戶的UPN) (用戶主體名稱
TargetAccountDisplayName string 已套用記錄動作的帳戶顯示名稱
Location string 與事件相關聯的城市、國家/地區或其他地理位置
ReportId string 事件的唯一標識碼
AdditionalFields dynamic 實體或事件的其他相關信息

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。