Freigeben über

IdentityQueryEvents

  • Gilt für:: Microsoft Defender XDR, Microsoft Sentinel in the Microsoft Defender portal

Die IdentityQueryEvents Tabelle im Schema der erweiterten Suche enthält Informationen zu Abfragen, die für Active Directory-Objekte wie Benutzer, Gruppen, Geräte und Domänen ausgeführt werden. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Diese erweiterte Suchtabelle wird mit Datensätzen aus Microsoft Defender for Identity oder Microsoft Sentinel und Mirosoft Entra ID aufgefüllt. Wenn Ihr organization den Dienst nicht in Microsoft Defender XDR bereitgestellt hat, funktionieren Abfragen, die die Tabelle verwenden, nicht oder geben keine Ergebnisse zurück. Weitere Informationen zum Bereitstellen von Defender for Identity in Defender XDR finden Sie unter Bereitstellen unterstützter Dienste. Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal .
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
QueryType string Abfragetyp, z. B. QueryGroup, QueryUser oder EnumerateUsers
QueryTarget string Name des Benutzers, der Gruppe, des Geräts, der Domäne oder eines anderen Entitätstyps, der abgefragt wird
Query string Zum Ausführen der Abfrage verwendete Zeichenfolge
Protocol string Während der Kommunikation verwendetes Protokoll
AccountName string Benutzername des Kontos
AccountDomain string Domäne des Kontos
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountDisplayName string Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen.
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
IPAddress string IP-Adresse, die dem Endpunkt zugewiesen und während der zugehörigen Netzwerkkommunikation verwendet wird
Port int TCP-Port, der während der Kommunikation verwendet wird
DestinationDeviceName string Name des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationIPAddress string IP-Adresse des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationPort int Zielport der zugehörigen Netzwerkkommunikation
TargetDeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts, auf das die aufgezeichnete Aktion angewendet wurde
TargetAccountUpn string Benutzerprinzipalname (UPN) des Kontos, auf das die aufgezeichnete Aktion angewendet wurde
TargetAccountDisplayName string Anzeigename des Kontos, auf das die aufgezeichnete Aktion angewendet wurde
Location string Ort, Land/Region oder anderer geografischer Standort, der dem Ereignis zugeordnet ist
ReportId string Eindeutiger Bezeichner für das Ereignis
AdditionalFields dynamic Zusätzliche Informationen zur Entität oder zum Ereignis

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.