IdentityQueryEvents
适用于:
- Microsoft Defender XDR
IdentityQueryEvents高级搜寻架构中的表包含有关对 Active Directory 对象(例如用户、组、设备和域)执行的查询的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅门户内架构参考 |
Application |
string |
执行录制操作的应用程序 |
QueryType |
string |
查询类型,例如 QueryGroup、QueryUser 或 EnumerateUsers |
QueryTarget |
string |
正在查询的用户、组、设备、域或任何其他实体类型的名称 |
Query |
string |
用于运行查询的字符串 |
Protocol |
string |
通信期间使用的协议 |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
IPAddress |
string |
分配给终结点并在相关网络通信期间使用的 IP 地址 |
Port |
int |
通信期间使用的 TCP 端口 |
DestinationDeviceName |
string |
运行处理记录操作的服务器应用程序的设备的名称 |
DestinationIPAddress |
string |
运行处理记录操作的服务器应用程序的设备的 IP 地址 |
DestinationPort |
int |
相关网络通信的目标端口 |
TargetDeviceName |
string |
(FQDN) 应用的设备的完全限定域名 |
TargetAccountUpn |
string |
用户主体名称 (已记录操作应用到的帐户的 UPN) |
TargetAccountDisplayName |
string |
记录的操作应用于的帐户的显示名称 |
Location |
string |
与事件关联的城市、国家/地区或其他地理位置 |
ReportId |
string |
事件的唯一标识符 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈