IdentityQueryEvents

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения:

  • Microsoft 365 Defender

Таблица в продвинутой схеме охоты содержит сведения о запросах, выполняемых в отношении объектов Active Directory, таких как IdentityQueryEvents пользователи, группы, устройства и домены. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (значениях), поддерживаемых таблицей, используйте встроенную ссылку на схему, доступную ActionType в центре безопасности.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
ActionType string Тип действий, которые вызвали событие. Подробные сведения см. в справке по схеме на портале
Application строка Приложение, которое выполнило записанную акцию
QueryType строка Тип запроса, например QueryGroup, QueryUser или EnumerateUsers
QueryTarget строка Имя пользователя, группы, устройства, домена или любого другого типа объекта, запрашиваемого
Query string Строка, используемая для выполнения запроса
Protocol строка Протокол, используемый во время связи
AccountName строка Имя пользователя учетной записи
AccountDomain строка Домен учетной записи
AccountUpn строка Основное имя пользователя (UPN) учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId строка Уникальный идентификатор учетной записи в Azure AD
AccountDisplayName строка Имя пользователя учетной записи, отображаемого в адресной книге. Как правило, сочетание данной или имени, среднего посвящения и фамилии или фамилии.
DeviceName string Полное доменное имя (FQDN) конечной точки
IPAddress строка IP-адрес, присвоенный конечной точке и используемый во время связанных сетевых коммуникаций
Port строка Порт TCP, используемый во время связи
DestinationDeviceName строка Имя устройства под управлением серверного приложения, обрабатываемого записанным действием
DestinationIPAddress строка IP-адрес устройства под управлением серверного приложения, обработав записанное действие
DestinationPort строка Порт назначения связанных сетевых коммуникаций
TargetDeviceName строка Полное доменное имя (FQDN) устройства, на которое было применено записанное действие
TargetAccountUpn строка Основное имя пользователя (UPN) учетной записи, к
TargetAccountDisplayName строка Отображение имени учетной записи, к которую было применено записанное действие
Location строка Город, страна или другое географическое расположение, связанное с событием
ReportId long Уникальный идентификатор события
AdditionalFields string Дополнительные сведения об объекте или событии