IdentityQueryEvents
Koskee seuraavia:
- Microsoft Defender XDR
IdentityQueryEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja Active Directory -objekteille, kuten käyttäjille, ryhmille, laitteille ja toimialueille, suoritetuista kyselyistä. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
QueryType |
string |
Kyselyn tyyppi, kuten QueryGroup, QueryUser tai EnumerateUsers |
QueryTarget |
string |
Sen käyttäjän, ryhmän, laitteen, toimialueen tai minkä tahansa muun entiteettityypin nimi, jolle tehdään kysely |
Query |
string |
Kyselyn suorittamiseen käytettävä merkkijono |
Protocol |
string |
Tiedonsiirron aikana käytettävä protokolla |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain |
string |
Tilin toimialue |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountDisplayName |
string |
Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä. |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
IPAddress |
string |
Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana |
Port |
int |
TCP-portti, jota käytetään viestinnän aikana |
DestinationDeviceName |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi |
DestinationIPAddress |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite |
DestinationPort |
int |
Liittyvän verkkoliikenteen kohdeportti |
TargetDeviceName |
string |
Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin |
TargetAccountUpn |
string |
Sen tilin täydellinen käyttäjätunnus (UPN), johon tallennettu toiminto suoritettiin |
TargetAccountDisplayName |
string |
Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin |
Location |
string |
Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.