分享方式:


IdentityDirectoryEvents

適用於:

  • Microsoft Defender XDR

IdentityDirectoryEvents搜捕 架構中的數據表包含與執行 Active Directory (AD) 的內部部署域控制器有關的事件。 此數據表會擷取各種與身分識別相關的事件,例如密碼變更、密碼到期和用戶主體名稱 (UPN) 變更。 它也會擷取域控制器上的系統事件,例如排程工作和 PowerShell 活動。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需數據表所支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中可用的內建架構參考。

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ActionType string 觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考
Application string 執行已錄製動作的應用程式
TargetAccountUpn string 套用記錄動作之帳戶的UPN) (用戶主體名稱
TargetAccountDisplayName string 已套用記錄動作的帳戶顯示名稱
TargetDeviceName string 已記錄動作套用至之裝置的完整域名 (FQDN)
DestinationDeviceName string 執行處理已錄製動作之伺服器應用程式的裝置名稱
DestinationIPAddress string 執行處理所錄製動作之伺服器應用程式的裝置IP位址
DestinationPort int 活動的目的地埠
Protocol string 通訊期間使用的通訊協定
AccountName string 帳戶的用戶名稱
AccountDomain string 帳戶的網域
AccountUpn string 帳戶的UPN) (用戶主體名稱
AccountSid string 帳戶 (SID) 的安全識別符
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountDisplayName string 通訊錄中顯示的帳戶用戶名稱。 通常是指定或名字、中間初始名稱和姓氏或姓氏的組合。
DeviceName string 裝置的 FQDN) (完整功能變數名稱
IPAddress string 在通訊期間指派給裝置的IP位址
Port int 通訊期間使用的 TCP 連接埠
Location string 與事件相關聯的城市、國家/地區或其他地理位置
ISP string 與IP位址相關聯的因特網服務提供者
ReportId string 事件的唯一標識碼
AdditionalFields dynamic 實體或事件的其他相關信息

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。