Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
A IdentityDirectoryEvents tabela no esquema de investigação avançada contém eventos que envolvem um controlador de domínio no local com o Active Directory (AD). Esta tabela captura vários eventos relacionados com a identidade, como alterações de palavra-passe, expiração da palavra-passe e alterações do nome principal de utilizador (UPN). Também captura eventos do sistema no controlador de domínio, como o agendamento de tarefas e a atividade do PowerShell. Utilize esta referência para construir consultas que devolvem informações desta tabela.
Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para Identidade. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar o Defender para Identidade no Defender XDR, leia Implementar serviços suportados.
Sugestão
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicação que executou a ação gravada |
TargetAccountUpn |
string |
Nome principal de utilizador (UPN) da conta à qual a ação registada foi aplicada |
TargetAccountDisplayName |
string |
Nome a apresentar da conta à qual a ação gravada foi aplicada |
TargetDeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo ao qual a ação registada foi aplicada |
DestinationDeviceName |
string |
Nome do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationPort |
int |
Porta de destino da atividade |
Protocol |
string |
Protocolo utilizado durante a comunicação |
AccountName |
string |
Nome de utilizador da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do utilizador da conta apresentado no livro de endereços. Normalmente, uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido. |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
Port |
int |
Porta TCP utilizada durante a comunicação |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
ISP |
string |
Fornecedor de serviços Internet associado ao endereço IP |
ReportId |
string |
Identificador exclusivo do evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tópicos relacionados
- Descrição geral da investigação avançada
- Aprender a linguagem de consulta
- Utilizar consultas partilhadas
- Procurar entre dispositivos, e-mails, aplicações e identidades
- Compreender o esquema
- Aplicar melhores práticas de consulta
Sugestão
Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.