IdentityDirectoryEvents
適用対象:
- Microsoft Defender XDR
IdentityDirectoryEvents
高度なハンティング スキーマのテーブルには、Active Directory (AD) を実行しているオンプレミス ドメイン コントローラーに関連するイベントが含まれています。 次の表は、パスワードの変更、パスワードの有効期限、ユーザー プリンシパル名 (UPN) の変更など、さまざまな ID 関連のイベントをキャプチャします。 また、タスクのスケジュール設定や PowerShell アクティビティなど、ドメイン コントローラー上のシステム イベントもキャプチャします。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください |
Application |
string |
記録されたアクションを実行したアプリケーション |
TargetAccountUpn |
string |
記録されたアクションが適用されたアカウントのユーザー プリンシパル名 (UPN) |
TargetAccountDisplayName |
string |
記録されたアクションが適用されたアカウントの表示名 |
TargetDeviceName |
string |
記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN) |
DestinationDeviceName |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前 |
DestinationIPAddress |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレス |
DestinationPort |
int |
アクティビティの宛先ポート |
Protocol |
string |
通信中に使用されるプロトコル |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountDisplayName |
string |
アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
IPAddress |
string |
通信中にデバイスに割り当てられた IP アドレス |
Port |
int |
通信中に使用される TCP ポート |
Location |
string |
イベントに関連付けられている市区町村、国/地域、またはその他の地理的な場所 |
ISP |
string |
IP アドレスに関連付けられているインターネット サービス プロバイダー |
ReportId |
string |
イベントの一意識別子 |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします。