IdentityQueryEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
IdentityQueryEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, kullanıcılar, gruplar, cihazlar ve etki alanları gibi Active Directory nesnelerine karşı gerçekleştirilen sorgular hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
ActionType |
string |
Olayı tetikleyen etkinlik türü. Ayrıntılar için bkz. portal içi şema başvurusu |
Application |
string |
Kaydedilen eylemi gerçekleştiren uygulama |
QueryType |
string |
QueryGroup, QueryUser veya EnumerateUsers gibi sorgu türü |
QueryTarget |
string |
Sorgulanan kullanıcı, grup, cihaz, etki alanı veya başka bir varlık türünün adı |
Query |
string |
Sorguyu çalıştırmak için kullanılan dize |
Protocol |
string |
İletişim sırasında kullanılan protokol |
AccountName |
string |
Hesabın kullanıcı adı |
AccountDomain |
string |
Hesabın etki alanı |
AccountUpn |
string |
Hesabın kullanıcı asıl adı (UPN) |
AccountSid |
string |
Hesabın Güvenlik Tanımlayıcısı (SID) |
AccountObjectId |
string |
Microsoft Entra ID'deki hesabın benzersiz tanımlayıcısı |
AccountDisplayName |
string |
Adres defterinde görüntülenen hesap kullanıcısının adı. Genellikle belirli bir adın veya adın, ikinci bir adın ve soyadının veya soyadının birleşimidir. |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
IPAddress |
string |
Uç noktaya atanan ve ilgili ağ iletişimleri sırasında kullanılan IP adresi |
Port |
int |
İletişim sırasında kullanılan TCP bağlantı noktası |
DestinationDeviceName |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın adı |
DestinationIPAddress |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın IP adresi |
DestinationPort |
int |
İlgili ağ iletişimlerinin hedef bağlantı noktası |
TargetDeviceName |
string |
Kaydedilen eylemin uygulandığı cihazın tam etki alanı adı (FQDN) |
TargetAccountUpn |
string |
Kaydedilen eylemin uygulandığı hesabın kullanıcı asıl adı (UPN) |
TargetAccountDisplayName |
string |
Kaydedilen eylemin uygulandığı hesabın görünen adı |
Location |
string |
Olayla ilişkili şehir, ülke/bölge veya diğer coğrafi konum |
ReportId |
string |
Olayın benzersiz tanımlayıcısı |
AdditionalFields |
dynamic |
Varlık veya olay hakkında ek bilgi |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.