IdentityDirectoryEvents
S’applique à :
- Microsoft Defender XDR
La IdentityDirectoryEvents table du schéma de repérage avancé contient des événements impliquant un contrôleur de domaine local exécutant Active Directory (AD). Ce tableau capture différents événements liés à l’identité, tels que les modifications de mot de passe, l’expiration du mot de passe et les modifications de nom d’utilisateur principal (UPN). Il capture également les événements système sur le contrôleur de domaine, comme la planification des tâches et l’activité PowerShell. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail |
Application |
string |
Application qui a effectué l’action enregistrée |
TargetAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte auquel l’action enregistrée a été appliquée |
TargetAccountDisplayName |
string |
Nom d’affichage du compte auquel l’action enregistrée a été appliquée |
TargetDeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée |
DestinationDeviceName |
string |
Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationIPAddress |
string |
Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationPort |
int |
Port de destination de l’activité |
Protocol |
string |
Protocole utilisé pendant la communication |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain |
string |
Domaine du compte |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountDisplayName |
string |
Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille. |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
IPAddress |
string |
Adresse IP affectée à l’appareil pendant la communication |
Port |
int |
Port TCP utilisé pendant la communication |
Location |
string |
Ville, pays/région ou autre emplacement géographique associé à l’événement |
ISP |
string |
Fournisseur de services Internet associé à l’adresse IP |
ReportId |
string |
Identificateur unique de l’événement |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour