IdentityDirectoryEvents
Van toepassing op:
- Microsoft Defender XDR
De IdentityDirectoryEvents tabel in het geavanceerde opsporingsschema bevat gebeurtenissen met betrekking tot een on-premises domeincontroller waarop Active Directory (AD) wordt uitgevoerd. In deze tabel worden verschillende identiteitsgerelateerde gebeurtenissen vastgelegd, zoals wachtwoordwijzigingen, wachtwoordverloop en UPN-wijzigingen (User Principal Name). Ook worden systeem gebeurtenissen op de domeincontroller vastgelegd, zoals het plannen van taken en PowerShell-activiteiten. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
TargetAccountUpn |
string |
UPN (User Principal Name) van het account waarop de geregistreerde actie is toegepast |
TargetAccountDisplayName |
string |
Weergavenaam van het account waarop de vastgelegde actie is toegepast |
TargetDeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast |
DestinationDeviceName |
string |
Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationIPAddress |
string |
IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationPort |
int |
Doelpoort van de activiteit |
Protocol |
string |
Protocol dat tijdens de communicatie wordt gebruikt |
AccountName |
string |
Gebruikersnaam van het account |
AccountDomain |
string |
Domein van het account |
AccountUpn |
string |
UPN (User Principal Name) van het account |
AccountSid |
string |
Beveiligings-id (SID) van het account |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountDisplayName |
string |
De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam. |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
IPAddress |
string |
IP-adres dat tijdens de communicatie aan het apparaat is toegewezen |
Port |
int |
TCP-poort die wordt gebruikt tijdens communicatie |
Location |
string |
Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld |
ISP |
string |
Internetprovider die is gekoppeld aan het IP-adres |
ReportId |
string |
Unieke id voor de gebeurtenis |
AdditionalFields |
dynamic |
Aanvullende informatie over de entiteit of gebeurtenis |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.