IdentityQueryEvents
Gäller för:
- Microsoft Defender XDR
Tabellen IdentityQueryEvents i det avancerade jaktschemat innehåller information om frågor som utförs mot Active Directory-objekt, till exempel användare, grupper, enheter och domäner. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
QueryType |
string |
Typ av fråga, till exempel QueryGroup, QueryUser eller EnumerateUsers |
QueryTarget |
string |
Namn på användare, grupp, enhet, domän eller någon annan entitetstyp som efterfrågas |
Query |
string |
Sträng som används för att köra frågan |
Protocol |
string |
Protokoll som används under kommunikationen |
AccountName |
string |
Användarkontots användarnamn |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Vanligtvis en kombination av ett givet eller förnamn, en mellan initial och ett efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
IPAddress |
string |
IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation |
Port |
int |
TCP-port som används under kommunikation |
DestinationDeviceName |
string |
Namnet på den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationIPAddress |
string |
IP-adressen för den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationPort |
int |
Målport för relaterad nätverkskommunikation |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den registrerade åtgärden tillämpades på |
TargetAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som den registrerade åtgärden tillämpades på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpades på |
Location |
string |
Ort, land/region eller annan geografisk plats som är associerad med händelsen |
ReportId |
string |
Unik identifierare för händelsen |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.