IdentityDirectoryEvents
Se aplica a:
- Microsoft Defender XDR
La IdentityDirectoryEvents tabla del esquema de búsqueda avanzada contiene eventos que implican un controlador de dominio local que ejecuta Active Directory (AD). Esta tabla captura varios eventos relacionados con la identidad, como los cambios de contraseña, la expiración de contraseñas y los cambios de nombre principal de usuario (UPN). También captura eventos del sistema en el controlador de dominio, como la programación de tareas y la actividad de PowerShell. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
Application |
string |
Aplicación que realizó la acción registrada |
TargetAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta a la que se aplicó la acción registrada |
TargetAccountDisplayName |
string |
Nombre para mostrar de la cuenta a la que se aplicó la acción registrada |
TargetDeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo al que se aplicó la acción registrada |
DestinationDeviceName |
string |
Nombre del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationIPAddress |
string |
Dirección IP del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationPort |
int |
Puerto de destino de la actividad |
Protocol |
string |
Protocolo usado durante la comunicación |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountDomain |
string |
Dominio de la cuenta |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountDisplayName |
string |
Nombre del usuario de la cuenta que se muestra en la libreta de direcciones. Normalmente es una combinación de un nombre o nombre determinado, un inicial intermedio y un apellido o apellido. |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
IPAddress |
string |
Dirección IP asignada al dispositivo durante la comunicación |
Port |
int |
Puerto TCP usado durante la comunicación |
Location |
string |
Ciudad, país o región u otra ubicación geográfica asociada al evento |
ISP |
string |
Proveedor de servicios de Internet asociado a la dirección IP |
ReportId |
string |
Identificador único del evento |
AdditionalFields |
dynamic |
Información adicional sobre la entidad o el evento |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de