IdentityDirectoryEvents
ينطبق على:
- Microsoft Defender XDR
IdentityDirectoryEvents يحتوي الجدول في مخطط التتبع المتقدم على أحداث تتضمن وحدة تحكم مجال محلية تقوم بتشغيل Active Directory (AD). يلتقط هذا الجدول أحداثا مختلفة متعلقة بالهوية، مثل تغييرات كلمة المرور وانتهاء صلاحية كلمة المرور وتغييرات اسم المستخدم الأساسي (UPN). كما أنه يلتقط أحداث النظام على وحدة تحكم المجال، مثل جدولة المهام ونشاط PowerShell. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل |
Application |
string |
التطبيق الذي نفذ الإجراء المسجل |
TargetAccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب الذي تم تطبيق الإجراء المسجل عليه |
TargetAccountDisplayName |
string |
عرض اسم الحساب الذي تم تطبيق الإجراء المسجل عليه |
TargetDeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز الذي تم تطبيق الإجراء المسجل عليه |
DestinationDeviceName |
string |
اسم الجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationIPAddress |
string |
عنوان IP للجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationPort |
int |
منفذ الوجهة للنشاط |
Protocol |
string |
البروتوكول المستخدم أثناء الاتصال |
AccountName |
string |
اسم المستخدم للحساب |
AccountDomain |
string |
مجال الحساب |
AccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب |
AccountSid |
string |
معرف الأمان (SID) للحساب |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
AccountDisplayName |
string |
اسم مستخدم الحساب المعروض في دفتر العناوين. عادة ما يكون مزيجا من اسم معين أو أول، وأحرف أولية متوسطة، واسم عائلة أو اسم عائلة. |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
IPAddress |
string |
عنوان IP المعين للجهاز أثناء الاتصال |
Port |
int |
منفذ TCP المستخدم أثناء الاتصال |
Location |
string |
المدينة أو البلد/المنطقة أو الموقع الجغرافي الآخر المرتبط بالحدث |
ISP |
string |
موفر خدمة الإنترنت المقترن بعنوان IP |
ReportId |
string |
معرف فريد للحدث |
AdditionalFields |
dynamic |
معلومات إضافية حول الكيان أو الحدث |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.