IdentityDirectoryEvents
Platí pro:
- Microsoft Defender XDR
Tabulka IdentityDirectoryEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje události týkající se místního řadiče domény se službou Active Directory (AD). Tato tabulka zaznamenává různé události související s identitou, jako jsou změny hesel, vypršení platnosti hesla a změny hlavního názvu uživatele (UPN). Zaznamenává také systémové události na řadiči domény, jako je plánování úloh a aktivity PowerShellu. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu . |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
TargetAccountUpn |
string |
Hlavní název uživatele (UPN) účtu, u kterého byla zaznamenaná akce použita |
TargetAccountDisplayName |
string |
Zobrazovaný název účtu, na který se zaznamenaná akce použila |
TargetDeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení, na které se zaznamenaná akce použila |
DestinationDeviceName |
string |
Název zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationIPAddress |
string |
IP adresa zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationPort |
int |
Cílový port aktivity |
Protocol |
string |
Protokol použitý během komunikace |
AccountName |
string |
Uživatelské jméno účtu |
AccountDomain |
string |
Doména účtu |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
AccountSid |
string |
Identifikátor zabezpečení (SID) účtu |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountDisplayName |
string |
Jméno uživatele účtu zobrazeného v adresáři Obvykle se jedná o kombinaci křestního jména nebo jména, prostřední iniciály a příjmení nebo příjmení. |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
IPAddress |
string |
IP adresa přiřazená zařízení během komunikace |
Port |
int |
Port TCP používaný během komunikace |
Location |
string |
Město, země/oblast nebo jiné zeměpisné umístění přidružené k události |
ISP |
string |
Poskytovatel internetových služeb přidružený k IP adrese |
ReportId |
string |
Jedinečný identifikátor události |
AdditionalFields |
dynamic |
Další informace o entitě nebo události |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.