Del via


IdentityDirectoryEvents

Gjelder for:

  • Microsoft Defender XDR

Tabellen IdentityDirectoryEvents i det avanserte jaktskjemaet inneholder hendelser som involverer en lokal domenekontroller som kjører Active Directory (AD). Denne tabellen registrerer ulike identitetsrelaterte hendelser, for eksempel passordendringer, utløp av passord og endringer i brukerhovednavn (UPN). Den registrerer også systemhendelser på domenekontrolleren, for eksempel planlegging av oppgaver og PowerShell-aktivitet. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.

Tips

Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.

Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.

Kolonnenavn Datatype Beskrivelse
Timestamp datetime Dato og klokkeslett hendelsen ble registrert
ActionType string Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon
Application string Program som utførte den registrerte handlingen
TargetAccountUpn string Brukerhovednavn (UPN) for kontoen som den registrerte handlingen ble brukt på
TargetAccountDisplayName string Visningsnavn for kontoen som den registrerte handlingen ble brukt på
TargetDeviceName string Fullstendig domenenavn (FQDN) for enheten som den registrerte handlingen ble brukt på
DestinationDeviceName string Navnet på enheten som kjører serverprogrammet som behandlet den registrerte handlingen
DestinationIPAddress string IP-adressen til enheten som kjører serverprogrammet som behandlet den registrerte handlingen
DestinationPort int Målport for aktiviteten
Protocol string Protokollen som brukes under kommunikasjonen
AccountName string Brukernavn for kontoen
AccountDomain string Domene for kontoen
AccountUpn string Brukerhovednavn (UPN) for kontoen
AccountSid string Sikkerhetsidentifikator (SID) for kontoen
AccountObjectId string Unik identifikator for kontoen i Microsoft Entra ID
AccountDisplayName string Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn.
DeviceName string Fullstendig domenenavn (FQDN) på enheten
IPAddress string IP-adresse tilordnet enheten under kommunikasjon
Port int TCP-port som brukes under kommunikasjon
Location string By, land/område eller annen geografisk plassering knyttet til hendelsen
ISP string Internett-leverandør knyttet til IP-adressen
ReportId string Unik identifikator for hendelsen
AdditionalFields dynamic Tilleggsinformasjon om enheten eller hendelsen

Tips

Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.