Udostępnij za pośrednictwem


IdentityDirectoryEvents

Dotyczy:

  • Microsoft Defender XDR

Tabela IdentityDirectoryEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera zdarzenia obejmujące lokalny kontroler domeny z uruchomioną usługą Active Directory (AD). Ta tabela przechwytuje różne zdarzenia związane z tożsamością, takie jak zmiany haseł, wygasanie haseł i zmiany głównej nazwy użytkownika (UPN). Przechwytuje również zdarzenia systemowe na kontrolerze domeny, takie jak planowanie zadań i działanie programu PowerShell. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu
Application string Aplikacja, która wykonała zarejestrowaną akcję
TargetAccountUpn string Główna nazwa użytkownika (UPN) konta, do którego zastosowano zarejestrowaną akcję
TargetAccountDisplayName string Nazwa wyświetlana konta, do którego została zastosowana zarejestrowana akcja
TargetDeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia, do którego zastosowano zarejestrowaną akcję
DestinationDeviceName string Nazwa urządzenia z uruchomioną aplikacją serwera, która przetworzła zarejestrowaną akcję
DestinationIPAddress string Adres IP urządzenia z uruchomioną aplikacją serwera, która przetworyła zarejestrowaną akcję
DestinationPort int Port docelowy działania
Protocol string Protokół używany podczas komunikacji
AccountName string Nazwa użytkownika konta
AccountDomain string Domena konta
AccountUpn string Główna nazwa użytkownika (UPN) konta
AccountSid string Identyfikator zabezpieczeń (SID) konta
AccountObjectId string Unikatowy identyfikator konta w Tożsamość Microsoft Entra
AccountDisplayName string Nazwa użytkownika konta wyświetlanego w książce adresowej. Zazwyczaj kombinacja danego lub imienia, środkowego inicjała i nazwiska lub nazwiska.
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
IPAddress string Adres IP przypisany do urządzenia podczas komunikacji
Port int Port TCP używany podczas komunikacji
Location string Miasto, kraj/region lub inna lokalizacja geograficzna skojarzona ze zdarzeniem
ISP string Dostawca usług internetowych skojarzony z adresem IP
ReportId string Unikatowy identyfikator zdarzenia
AdditionalFields dynamic Dodatkowe informacje o jednostce lub zdarzeniu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.