IdentityQueryEvents
Область применения:
- Microsoft Defender XDR
Таблица IdentityQueryEvents в схеме расширенной охоты содержит сведения о запросах, выполняемых к объектам Active Directory, таким как пользователи, группы, устройства и домены. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале. |
Application |
string |
Приложение, выполняющее записанное действие |
QueryType |
string |
Тип запроса, например QueryGroup, QueryUser или EnumerateUsers |
QueryTarget |
string |
Имя пользователя, группы, устройства, домена или любого другого типа сущности, запрашиваемой |
Query |
string |
Строка, используемая для выполнения запроса |
Protocol |
string |
Протокол, используемый во время обмена данными |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountDisplayName |
string |
Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии. |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
IPAddress |
string |
IP-адрес, назначенный конечной точке и используемый во время связанных сетевых подключений |
Port |
int |
TCP-порт, используемый во время обмена данными |
DestinationDeviceName |
string |
Имя устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationIPAddress |
string |
IP-адрес устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationPort |
int |
Порт назначения связанных сетевых подключений |
TargetDeviceName |
string |
Полное доменное имя (FQDN) устройства, к которому было применено записанное действие |
TargetAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, к которому было применено записанное действие. |
TargetAccountDisplayName |
string |
Отображаемое имя учетной записи, к которому было применено записанное действие |
Location |
string |
Город, страна или регион или другое географическое расположение, связанное с событием |
ReportId |
string |
Уникальный идентификатор события |
AdditionalFields |
dynamic |
Дополнительные сведения о сущности или событии |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.