高度なハンティング スキーマのIdentityQueryEvents テーブルには、ユーザー、グループ、デバイス、ドメインなど、Active Directory オブジェクトに対して実行されるクエリに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
この高度なハンティング テーブルには、Microsoft Defender for IdentityまたはMicrosoft Sentinelおよび Mirosoft Entra IDからのレコードが設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Defender for Identity を展開する方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。 高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください |
Application |
string |
記録されたアクションを実行したアプリケーション |
QueryType |
string |
QueryGroup、QueryUser、EnumerateUsers などのクエリの種類 |
QueryTarget |
string |
クエリ対象のユーザー、グループ、デバイス、ドメイン、またはその他のエンティティの種類の名前 |
Query |
string |
クエリの実行に使用される文字列 |
Protocol |
string |
通信中に使用されるプロトコル |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountDisplayName |
string |
アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
IPAddress |
string |
エンドポイントに割り当てられ、関連するネットワーク通信中に使用される IP アドレス |
Port |
int |
通信中に使用される TCP ポート |
DestinationDeviceName |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前 |
DestinationIPAddress |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレス |
DestinationPort |
int |
関連するネットワーク通信の宛先ポート |
TargetDeviceName |
string |
記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN) |
TargetAccountUpn |
string |
記録されたアクションが適用されたアカウントのユーザー プリンシパル名 (UPN) |
TargetAccountDisplayName |
string |
記録されたアクションが適用されたアカウントの表示名 |
Location |
string |
イベントに関連付けられている市区町村、国/地域、またはその他の地理的な場所 |
ReportId |
string |
イベントの一意識別子 |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。