IdentityDirectoryEvents
Gäller för:
- Microsoft Defender XDR
Tabellen IdentityDirectoryEvents i det avancerade jaktschemat innehåller händelser som involverar en lokal domänkontrollant som kör Active Directory (AD). Den här tabellen innehåller olika identitetsrelaterade händelser, till exempel lösenordsändringar, lösenordsförfallotid och UPN-ändringar (User Principal Name). Den samlar också in systemhändelser på domänkontrollanten, till exempel schemaläggning av uppgifter och PowerShell-aktivitet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
TargetAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som den registrerade åtgärden tillämpades på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpades på |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den registrerade åtgärden tillämpades på |
DestinationDeviceName |
string |
Namnet på den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationIPAddress |
string |
IP-adressen för den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationPort |
int |
Aktivitetens målport |
Protocol |
string |
Protokoll som används under kommunikationen |
AccountName |
string |
Användarkontots användarnamn |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Vanligtvis en kombination av ett givet eller förnamn, en mellan initial och ett efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
IPAddress |
string |
IP-adress tilldelad till enheten under kommunikationen |
Port |
int |
TCP-port som används under kommunikation |
Location |
string |
Ort, land/region eller annan geografisk plats som är associerad med händelsen |
ISP |
string |
Internetleverantör som är associerad med IP-adressen |
ReportId |
string |
Unik identifierare för händelsen |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för