IdentityDirectoryEvents
Aplica-se a:
- Microsoft Defender XDR
A IdentityDirectoryEvents tabela no esquema de caça avançado contém eventos envolvendo um controlador de domínio local que executa o Active Directory (AD). Esta tabela captura vários eventos relacionados à identidade, como alterações de senha, expiração de senha e alterações de UPN (nome da entidade de usuário). Ele também captura eventos do sistema no controlador de domínio, como agendamento de tarefas e atividade do PowerShell. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicativo que executou a ação gravada |
TargetAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta à qual a ação registrada foi aplicada |
TargetAccountDisplayName |
string |
Nome de exibição da conta à qual a ação gravada foi aplicada |
TargetDeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo ao qual a ação gravada foi aplicada |
DestinationDeviceName |
string |
Nome do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationPort |
int |
Porta de destino da atividade |
Protocol |
string |
Protocolo usado durante a comunicação |
AccountName |
string |
Nome de usuário da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome. |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
Port |
int |
Porta TCP usada durante a comunicação |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
ISP |
string |
Provedor de serviços de Internet associado ao endereço IP |
ReportId |
string |
Identificador exclusivo para o evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.