IdentityQueryEvents
高级搜寻架构中的表包含有关对 Active Directory 对象(例如用户、组、设备和域)执行的查询的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
此高级搜寻表由来自 Microsoft Defender for Identity 或 Microsoft Sentinel 和 Mirosoft Entra ID 的记录填充。 如果组织尚未在 Microsoft Defender XDR 中部署服务,则使用该表的查询将不起作用或返回任何结果。 有关如何在 Defender XDR 中部署 Defender for Identity 的详细信息,请阅读部署受支持的服务。 有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅门户内架构参考 |
Application |
string |
执行录制作的应用程序 |
QueryType |
string |
查询类型,例如 QueryGroup、QueryUser 或 EnumerateUsers |
QueryTarget |
string |
正在查询的用户、组、设备、域或任何其他实体类型的名称 |
Query |
string |
用于运行查询的字符串 |
Protocol |
string |
通信期间使用的协议 |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
IPAddress |
string |
分配给终结点并在相关网络通信期间使用的 IP 地址 |
Port |
int |
通信期间使用的 TCP 端口 |
DestinationDeviceName |
string |
运行处理记录作的服务器应用程序的设备的名称 |
DestinationIPAddress |
string |
运行处理记录作的服务器应用程序的设备的 IP 地址 |
DestinationPort |
int |
相关网络通信的目标端口 |
TargetDeviceName |
string |
(FQDN) 应用的设备的完全限定域名 |
TargetAccountUpn |
string |
用户主体名称 (已记录作应用到的帐户的 UPN) |
TargetAccountDisplayName |
string |
记录的作应用于的帐户的显示名称 |
Location |
string |
与事件关联的城市、国家/地区或其他地理位置 |
ReportId |
string |
事件的唯一标识符 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。