IdentityQueryEvents
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
고급 IdentityQueryEvents 헌팅 schema의 표에는 사용자, 그룹, 장치 및 도메인과 같은 Active Directory 개체에 대해 수행되는 쿼리에 대한 정보가 포함되어 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(값)에 대한 자세한 내용은 클라우드용 Defender에서 사용할 수 있는 기본 제공 ActionType Schema 참조를 사용합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 Schema 참조를 참조합니다. |
Application |
string |
기록된 작업을 수행한 응용 프로그램 |
QueryType |
string |
QueryGroup, QueryUser 또는 EnumerateUsers와 같은 쿼리 유형 |
QueryTarget |
string |
사용자, 그룹, 장치, 도메인 또는 다른 엔터티 유형이 검색되는 이름 |
Query |
string |
쿼리를 실행하는 데 사용되는 문자열 |
Protocol |
string |
통신 중에 사용되는 프로토콜 |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
AccountSid |
string |
계정의 SID(보안 식별자)입니다. |
AccountObjectId |
string |
Azure AD에서 계정의 고유 식별자 |
AccountDisplayName |
string |
주소부에 표시된 계정 사용자의 이름입니다. 일반적으로 지정한 이름이나 이름, 중간 시작, 성 또는 성의 조합입니다. |
DeviceName |
string |
끝점의 FQDN(FQDN) |
IPAddress |
string |
끝점에 할당되어 관련 네트워크 통신 중에 사용되는 IP 주소 |
Port |
string |
통신 중에 사용되는 TCP 포트 |
DestinationDeviceName |
string |
기록된 작업을 처리한 서버 응용 프로그램을 실행하는 장치의 이름입니다. |
DestinationIPAddress |
string |
기록된 작업을 처리한 서버 응용 프로그램을 실행하는 장치의 IP 주소 |
DestinationPort |
string |
관련 네트워크 통신의 대상 포트 |
TargetDeviceName |
string |
기록된 작업이 적용된 장치의 FQDN(FQDN) |
TargetAccountUpn |
string |
기록된 작업이 적용된 계정의 UPN(사용자 계정 이름) |
TargetAccountDisplayName |
string |
기록된 작업이 적용된 계정의 표시 이름 |
Location |
string |
이벤트와 관련된 도시, 국가 또는 기타 지리적 위치 |
ReportId |
long |
이벤트의 고유 식별자 |
AdditionalFields |
string |
엔터티 또는 이벤트에 대한 추가 정보 |