IdentityQueryEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen i det avancerade sökschemat innehåller information om frågor som utförs mot Active Directory-objekt, till exempel IdentityQueryEvents användare, grupper, enheter och domäner. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
QueryType |
string |
Typ av fråga, till exempel QueryGroup, QueryUser eller EnumerateUsers |
QueryTarget |
string |
Namnet på användaren, gruppen, enheten, domänen eller någon annan enhetstyp som blir frågad |
Query |
string |
Sträng som används för att köra frågan |
Protocol |
string |
Protokoll som används under kommunikationen |
AccountName |
string |
Användarnamn för kontot |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarkontons huvudnamn (UPN) |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unikt ID för kontot i Azure AD |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för slutpunkten |
IPAddress |
string |
IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation |
Port |
string |
TCP-port som används under kommunikation |
DestinationDeviceName |
string |
Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationIPAddress |
string |
IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationPort |
string |
Målport för relaterad nätverkskommunikation |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den inspelade åtgärden tillämpats på |
TargetAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som den inspelade åtgärden tillämpats på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpats på |
Location |
string |
Stad, land eller annan geografisk plats som är kopplad till händelsen |
ReportId |
long |
Unikt ID för händelsen |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |