IdentityDirectoryEvents
适用于:
- Microsoft Defender XDR
IdentityDirectoryEvents高级搜寻架构中的表包含涉及运行 Active Directory (AD) 的本地域控制器的事件。 此表捕获各种与标识相关的事件,例如密码更改、密码过期和用户主体名称 (UPN) 更改。 它还捕获域控制器上的系统事件,例如任务计划和 PowerShell 活动。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅门户内架构参考 |
Application |
string |
执行录制操作的应用程序 |
TargetAccountUpn |
string |
用户主体名称 (已记录操作应用到的帐户的 UPN) |
TargetAccountDisplayName |
string |
记录的操作应用于的帐户的显示名称 |
TargetDeviceName |
string |
(FQDN) 应用的设备的完全限定域名 |
DestinationDeviceName |
string |
运行处理记录操作的服务器应用程序的设备的名称 |
DestinationIPAddress |
string |
运行处理记录操作的服务器应用程序的设备的 IP 地址 |
DestinationPort |
int |
活动的目标端口 |
Protocol |
string |
通信期间使用的协议 |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
IPAddress |
string |
在通信期间分配给设备的 IP 地址 |
Port |
int |
通信期间使用的 TCP 端口 |
Location |
string |
与事件关联的城市、国家/地区或其他地理位置 |
ISP |
string |
与 IP 地址关联的 Internet 服务提供商 |
ReportId |
string |
事件的唯一标识符 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈