IdentityDirectoryEvents
Область применения:
- Microsoft Defender XDR
Таблица IdentityDirectoryEvents в схеме расширенной охоты содержит события с участием локального контроллера домена под управлением Active Directory (AD). В этой таблице содержатся различные события, связанные с удостоверениями, такие как изменение пароля, истечение срока действия пароля и изменение имени участника-пользователя (UPN). Он также записывает системные события на контроллере домена, такие как планирование задач и действия PowerShell. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале. |
Application |
string |
Приложение, выполняющее записанное действие |
TargetAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, к которому было применено записанное действие. |
TargetAccountDisplayName |
string |
Отображаемое имя учетной записи, к которому было применено записанное действие |
TargetDeviceName |
string |
Полное доменное имя (FQDN) устройства, к которому было применено записанное действие |
DestinationDeviceName |
string |
Имя устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationIPAddress |
string |
IP-адрес устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationPort |
int |
Порт назначения действия |
Protocol |
string |
Протокол, используемый во время обмена данными |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountDisplayName |
string |
Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии. |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
IPAddress |
string |
IP-адрес, назначенный устройству во время связи |
Port |
int |
TCP-порт, используемый во время обмена данными |
Location |
string |
Город, страна или регион или другое географическое расположение, связанное с событием |
ISP |
string |
Поставщик услуг Интернета, связанный с IP-адресом |
ReportId |
string |
Уникальный идентификатор события |
AdditionalFields |
dynamic |
Дополнительные сведения о сущности или событии |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.