IdentityQueryEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen i det avancerade sökschemat innehåller information om frågor som utförs mot Active Directory-objekt, till exempel IdentityQueryEvents användare, grupper, enheter och domäner. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
ActionType string Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen
Application string Program som utförde den inspelade åtgärden
QueryType string Typ av fråga, till exempel QueryGroup, QueryUser eller EnumerateUsers
QueryTarget string Namnet på användaren, gruppen, enheten, domänen eller någon annan enhetstyp som blir frågad
Query string Sträng som används för att köra frågan
Protocol string Protokoll som används under kommunikationen
AccountName string Användarnamn för kontot
AccountDomain string Domän för kontot
AccountUpn string Användarkontons huvudnamn (UPN)
AccountSid string Säkerhetsidentifierare (SID) för kontot
AccountObjectId string Unikt ID för kontot i Azure AD
AccountDisplayName string Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn.
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för slutpunkten
IPAddress string IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation
Port string TCP-port som används under kommunikation
DestinationDeviceName string Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden
DestinationIPAddress string IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden
DestinationPort string Målport för relaterad nätverkskommunikation
TargetDeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten som den inspelade åtgärden tillämpats på
TargetAccountUpn string Användarens huvudnamn (UPN) för det konto som den inspelade åtgärden tillämpats på
TargetAccountDisplayName string Visningsnamn för det konto som den inspelade åtgärden tillämpats på
Location string Stad, land eller annan geografisk plats som är kopplad till händelsen
ReportId long Unikt ID för händelsen
AdditionalFields string Ytterligare information om entiteten eller händelsen