IdentityQueryEvents
Nota:
¿Quieres experimentar Microsoft Defender XDR? Obtenga más información sobre cómo puede evaluar y probar Microsoft Defender XDR.
Se aplica a:
- Microsoft Defender XDR
La IdentityQueryEvents tabla del esquema de búsqueda avanzada contiene información sobre las consultas realizadas en objetos de Active Directory, como usuarios, grupos, dispositivos y dominios. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
Application |
string |
Aplicación que realizó la acción registrada |
QueryType |
string |
Tipo de consulta, como QueryGroup, QueryUser o EnumerateUsers |
QueryTarget |
string |
Nombre del usuario, grupo, dispositivo, dominio o cualquier otro tipo de entidad que se va a consultar |
Query |
string |
Cadena usada para ejecutar la consulta |
Protocol |
string |
Protocolo usado durante la comunicación |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountDomain |
string |
Dominio de la cuenta |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountDisplayName |
string |
Nombre del usuario de la cuenta que se muestra en la libreta de direcciones. Normalmente es una combinación de un nombre o nombre determinado, un inicial intermedio y un apellido o apellido. |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
IPAddress |
string |
Dirección IP asignada al punto de conexión y usada durante las comunicaciones de red relacionadas |
Port |
int |
Puerto TCP usado durante la comunicación |
DestinationDeviceName |
string |
Nombre del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationIPAddress |
string |
Dirección IP del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationPort |
int |
Puerto de destino de las comunicaciones de red relacionadas |
TargetDeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo al que se aplicó la acción registrada |
TargetAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta a la que se aplicó la acción registrada |
TargetAccountDisplayName |
string |
Nombre para mostrar de la cuenta a la que se aplicó la acción registrada |
Location |
string |
Ciudad, país o región u otra ubicación geográfica asociada al evento |
ReportId |
string |
Identificador único del evento |
AdditionalFields |
dynamic |
Información adicional sobre la entidad o el evento |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de