IdentityDirectoryEvents
חל על:
- Microsoft Defender XDR
הטבלה IdentityDirectoryEventsבסכימת הציד המתקדמות מכילה אירועים הכוללים בקר תחום מקומי שבו פועל Active Directory (AD). טבלה זו לוכדת אירועים שונים הקשורים לזהות, כגון שינויי סיסמאות, תפוגת סיסמאות והשינויים של שם ראשי של משתמש (UPN). הוא גם לוכד אירועי מערכת בבקר התחום, כגון תזמון משימות ופעילות PowerShell. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
TargetAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון עליו הוחלה הפעולה המוקלטת |
TargetAccountDisplayName |
string |
שם התצוגה של החשבון הפעולה המוקלטת הוחלה עליו |
TargetDeviceName |
string |
שם תחום מלא (FQDN) של המכשיר עליו הוחלה הפעולה המוקלטת |
DestinationDeviceName |
string |
שם המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationIPAddress |
string |
כתובת IP של המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationPort |
int |
יציאת היעד של הפעילות |
Protocol |
string |
הפרוטוקול המשמש במהלך התקשורת |
AccountName |
string |
שם המשתמש של החשבון |
AccountDomain |
string |
תחום החשבון |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
AccountDisplayName |
string |
שם משתמש החשבון המוצג בפנקס הכתובות. בדרך כלל שילוב של שם פרטי או נתון, שם פרטי אמצעי ושם משפחה או שם משפחה. |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
IPAddress |
string |
כתובת IP שהוקצתה למכשיר במהלך תקשורת |
Port |
int |
יציאת TCP המשמשת במהלך תקשורת |
Location |
string |
עיר, מדינה/אזור או מיקום גיאוגרפי אחר המשויך לאירוע |
ISP |
string |
ספק שירותי אינטרנט המשויך לכתובת ה- IP |
ReportId |
string |
מזהה ייחודי עבור האירוע |
AdditionalFields |
dynamic |
מידע נוסף אודות הישות או האירוע |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.