Partager via


IdentityDirectoryEvents

S’applique à :

  • Microsoft Defender XDR

La IdentityDirectoryEvents table du schéma de repérage avancé contient des événements impliquant un contrôleur de domaine local exécutant Active Directory (AD). Ce tableau capture différents événements liés à l’identité, tels que les modifications de mot de passe, l’expiration du mot de passe et les modifications de nom d’utilisateur principal (UPN). Il capture également les événements système sur le contrôleur de domaine, comme la planification des tâches et l’activité PowerShell. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail
Application string Application qui a effectué l’action enregistrée
TargetAccountUpn string Nom d’utilisateur principal (UPN) du compte auquel l’action enregistrée a été appliquée
TargetAccountDisplayName string Nom d’affichage du compte auquel l’action enregistrée a été appliquée
TargetDeviceName string Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée
DestinationDeviceName string Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationIPAddress string Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationPort int Port de destination de l’activité
Protocol string Protocole utilisé pendant la communication
AccountName string Nom d’utilisateur du compte
AccountDomain string Domaine du compte
AccountUpn string Nom d’utilisateur principal (UPN) du compte
AccountSid string Identificateur de sécurité (SID) du compte
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountDisplayName string Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille.
DeviceName string Nom de domaine complet (FQDN) de l’appareil
IPAddress string Adresse IP affectée à l’appareil pendant la communication
Port int Port TCP utilisé pendant la communication
Location string Ville, pays/région ou autre emplacement géographique associé à l’événement
ISP string Fournisseur de services Internet associé à l’adresse IP
ReportId string Identificateur unique de l’événement
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.