IdentityDirectoryEvents
Gælder for:
- Microsoft Defender XDR
Tabellen IdentityDirectoryEvents i det avancerede jagtskema indeholder hændelser, der involverer en domænecontroller i det lokale miljø, der kører Active Directory (AD). Denne tabel registrerer forskellige identitetsrelaterede hændelser, f.eks. ændringer af adgangskode, udløb af adgangskode og UPN-ændringer (User Principal Name). Den registrerer også systemhændelser på domænecontrolleren, f.eks. planlægning af opgaver og PowerShell-aktivitet. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Tip
Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
ActionType |
string |
Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få flere oplysninger |
Application |
string |
Program, der udførte den registrerede handling |
TargetAccountUpn |
string |
Brugerens hovednavn (UPN) for den konto, som den registrerede handling blev anvendt på |
TargetAccountDisplayName |
string |
Vist navn på den konto, som den registrerede handling blev anvendt på |
TargetDeviceName |
string |
Fuldt domænenavn (FQDN) for den enhed, som den registrerede handling blev anvendt på |
DestinationDeviceName |
string |
Navnet på den enhed, der kører det serverprogram, der behandlede den registrerede handling |
DestinationIPAddress |
string |
IP-adressen på den enhed, der kører det serverprogram, der behandlede den registrerede handling |
DestinationPort |
int |
Destinationsporten for aktiviteten |
Protocol |
string |
Protokol, der bruges under kommunikationen |
AccountName |
string |
Brugernavnet på kontoen |
AccountDomain |
string |
Kontoens domæne |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
AccountSid |
string |
Sikkerheds-id (SID) for kontoen |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
AccountDisplayName |
string |
Navnet på den kontobruger, der vises i adressekartoteket. Typisk en kombination af et givet eller fornavn, et mellemnavn og et efternavn eller efternavn. |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
IPAddress |
string |
IP-adresse, der tildeles til enheden under kommunikation |
Port |
int |
TCP-port, der bruges under kommunikation |
Location |
string |
By, land/område eller anden geografisk placering, der er knyttet til hændelsen |
ISP |
string |
Internetudbyder, der er knyttet til IP-adressen |
ReportId |
string |
Entydigt id for hændelsen |
AdditionalFields |
dynamic |
Yderligere oplysninger om enheden eller hændelsen |
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.