고급 헌팅 스키마의 테이블에는 IdentityDirectoryEvents AD(Active Directory)를 실행하는 온-프레미스 도메인 컨트롤러와 관련된 이벤트가 포함되어 있습니다. 이 표에서는 암호 변경, 암호 만료 및 UPN(사용자 계정 이름) 변경과 같은 다양한 ID 관련 이벤트를 캡처합니다. 또한 작업 예약 및 PowerShell 활동과 같은 도메인 컨트롤러에서 시스템 이벤트를 캡처합니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
이 고급 헌팅 테이블은 Microsoft Defender for Identity 레코드로 채워집니다. organization Microsoft Defender XDR 서비스를 배포하지 않은 경우 테이블을 사용하는 쿼리가 작동하지 않거나 결과를 반환하지 않습니다. Defender XDR Defender for Identity를 배포하는 방법에 대한 자세한 내용은 지원되는 서비스 배포를 참조하세요.
팁
테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요. |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
TargetAccountUpn |
string |
기록된 작업이 적용된 계정의 UPN(사용자 계정 이름) |
TargetAccountDisplayName |
string |
기록된 작업이 적용된 계정의 표시 이름 |
TargetDeviceName |
string |
기록된 작업이 적용된 디바이스의 FQDN(정규화된 도메인 이름) |
DestinationDeviceName |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 이름 |
DestinationIPAddress |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 IP 주소 |
DestinationPort |
int |
활동의 대상 포트 |
Protocol |
string |
통신 중에 사용되는 프로토콜 |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
AccountSid |
string |
계정의 SID(보안 식별자) |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountDisplayName |
string |
주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다. |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
IPAddress |
string |
통신 중에 디바이스에 할당된 IP 주소 |
Port |
int |
통신 중에 사용되는 TCP 포트 |
Location |
string |
이벤트와 연결된 도시, 국가/지역 또는 기타 지리적 위치 |
ISP |
string |
IP 주소와 연결된 인터넷 서비스 공급자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
관련 항목
팁
더 자세히 알아보고 싶으신가요? Microsoft 기술 커뮤니티인 Microsoft Defender XDR 기술 커뮤니티에서 Microsoft Security 커뮤니티에 참여하세요.