IdentityDirectoryEvents
Koskee seuraavia:
- Microsoft Defender XDR
Kehittyneen IdentityDirectoryEventsmetsästysrakenteen taulukko sisältää tapahtumia, joissa on mukana paikallinen toimialueen ohjauskone, jossa on käytössä Active Directory (AD). Tähän taulukkoon kerätään erilaisia käyttäjätietoihin liittyviä tapahtumia, kuten salasanan muutoksia, salasanan vanhentumista ja täydellisen käyttäjätunnuksen (UPN) muutoksia. Se tallentaa myös järjestelmätapahtumat toimialueen ohjauskoneeseen, kuten tehtävien ajoituksella ja PowerShell-toiminnolla. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
TargetAccountUpn |
string |
Sen tilin täydellinen käyttäjätunnus (UPN), johon tallennettu toiminto suoritettiin |
TargetAccountDisplayName |
string |
Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin |
TargetDeviceName |
string |
Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin |
DestinationDeviceName |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi |
DestinationIPAddress |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite |
DestinationPort |
int |
Toiminnon kohdeportti |
Protocol |
string |
Tiedonsiirron aikana käytettävä protokolla |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain |
string |
Tilin toimialue |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountDisplayName |
string |
Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä. |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
IPAddress |
string |
Laitteelle tietoliikenteen aikana määritetty IP-osoite |
Port |
int |
TCP-portti, jota käytetään viestinnän aikana |
Location |
string |
Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti |
ISP |
string |
IP-osoitteeseen liittyvä Internet-palveluntarjoaja |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle