IdentityDirectoryEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen IdentityDirectoryEvents
i det avanserte jaktskjemaet inneholder hendelser som involverer en lokal domenekontroller som kjører Active Directory (AD). Denne tabellen registrerer ulike identitetsrelaterte hendelser, for eksempel passordendringer, utløp av passord og endringer i brukerhovednavn (UPN). Den registrerer også systemhendelser på domenekontrolleren, for eksempel planlegging av oppgaver og PowerShell-aktivitet. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionType
verdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon |
Application |
string |
Program som utførte den registrerte handlingen |
TargetAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som den registrerte handlingen ble brukt på |
TargetAccountDisplayName |
string |
Visningsnavn for kontoen som den registrerte handlingen ble brukt på |
TargetDeviceName |
string |
Fullstendig domenenavn (FQDN) for enheten som den registrerte handlingen ble brukt på |
DestinationDeviceName |
string |
Navnet på enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationIPAddress |
string |
IP-adressen til enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationPort |
int |
Målport for aktiviteten |
Protocol |
string |
Protokollen som brukes under kommunikasjonen |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain |
string |
Domene for kontoen |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountDisplayName |
string |
Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn. |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
IPAddress |
string |
IP-adresse tilordnet enheten under kommunikasjon |
Port |
int |
TCP-port som brukes under kommunikasjon |
Location |
string |
By, land/område eller annen geografisk plassering knyttet til hendelsen |
ISP |
string |
Internett-leverandør knyttet til IP-adressen |
ReportId |
string |
Unik identifikator for hendelsen |
AdditionalFields |
dynamic |
Tilleggsinformasjon om enheten eller hendelsen |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.