IdentityDirectoryEvents
적용 대상:
- Microsoft Defender XDR
고급 헌팅 스키마의 테이블에는 IdentityDirectoryEvents AD(Active Directory)를 실행하는 온-프레미스 도메인 컨트롤러와 관련된 이벤트가 포함되어 있습니다. 이 표에서는 암호 변경, 암호 만료 및 UPN(사용자 계정 이름) 변경과 같은 다양한 ID 관련 이벤트를 캡처합니다. 또한 작업 예약 및 PowerShell 활동과 같은 도메인 컨트롤러에서 시스템 이벤트를 캡처합니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요. |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
TargetAccountUpn |
string |
기록된 작업이 적용된 계정의 UPN(사용자 계정 이름) |
TargetAccountDisplayName |
string |
기록된 작업이 적용된 계정의 표시 이름 |
TargetDeviceName |
string |
기록된 작업이 적용된 디바이스의 FQDN(정규화된 도메인 이름) |
DestinationDeviceName |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 이름 |
DestinationIPAddress |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 IP 주소 |
DestinationPort |
int |
활동의 대상 포트 |
Protocol |
string |
통신 중에 사용되는 프로토콜 |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
AccountSid |
string |
계정의 SID(보안 식별자) |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountDisplayName |
string |
주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다. |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
IPAddress |
string |
통신 중에 디바이스에 할당된 IP 주소 |
Port |
int |
통신 중에 사용되는 TCP 포트 |
Location |
string |
이벤트와 연결된 도시, 국가/지역 또는 기타 지리적 위치 |
ISP |
string |
IP 주소와 연결된 인터넷 서비스 공급자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.