IdentityDirectoryEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A IdentityDirectoryEvents
speciális veszélyforrás-keresési séma táblázata egy Active Directoryt (AD) futtató helyszíni tartományvezérlőt érintő eseményeket tartalmaz. Ez a táblázat az identitással kapcsolatos különféle eseményeket rögzíti, például a jelszómódosításokat, a jelszólejáratot és az egyszerű felhasználónév (UPN) változásait. A tartományvezérlő rendszereseményeit is rögzíti, például a feladatok ütemezését és a PowerShell-tevékenységet. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionType
értékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
TargetAccountUpn |
string |
Annak a fióknak az egyszerű felhasználóneve (UPN), amellyel a rögzített műveletet alkalmazták |
TargetAccountDisplayName |
string |
Annak a fióknak a megjelenítendő neve, amelyen a rögzített műveletet alkalmazták |
TargetDeviceName |
string |
Annak az eszköznek a teljes tartományneve (FQDN), amelyekre a rögzített műveletet alkalmazták |
DestinationDeviceName |
string |
A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz neve |
DestinationIPAddress |
string |
A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz IP-címe |
DestinationPort |
int |
A tevékenység célportja |
Protocol |
string |
A kommunikáció során használt protokoll |
AccountName |
string |
A fiók felhasználóneve |
AccountDomain |
string |
A fiók tartománya |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountDisplayName |
string |
A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja. |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
IPAddress |
string |
Az eszközhöz a kommunikáció során hozzárendelt IP-cím |
Port |
int |
Kommunikáció során használt TCP-port |
Location |
string |
Az eseményhez társított város, ország/régió vagy más földrajzi hely |
ISP |
string |
Az IP-címhez társított internetszolgáltató |
ReportId |
string |
Az esemény egyedi azonosítója |
AdditionalFields |
dynamic |
További információ az entitásról vagy eseményről |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.