IdentityDirectoryEvents

Hinweis

Sie möchten Microsoft 365 Defender ausprobieren? Erfahren Sie mehr darüber, wie Sie Microsoft 365 Defender auswerten und testen können.

Gilt für:

  • Microsoft 365 Defender

Die IdentityDirectoryEvents Tabelle im Schema für die erweiterte Suche enthält Ereignisse, die einen lokalen Domänencontroller betreffen, auf dem Active Directory (AD) ausgeführt wird. In dieser Tabelle werden verschiedene identitätsbezogene Ereignisse erfasst, z. B. Kennwortänderungen, Kennwortablauf und Benutzerprinzipalnamenänderungen (USER Principal Name, UPN). Außerdem werden Systemereignisse auf dem Domänencontroller erfasst, z. B. das Planen von Aufgaben und PowerShell-Aktivitäten. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den ereignistypen ( Werten), die ActionType von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Defender for Cloud verfügbar ist.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
ActionType string Aktivitätstyp, der das Ereignis ausgelöst hat. Weitere Informationen finden Sie in der Schemareferenz im Portal.
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
TargetAccountUpn string Benutzerprinzipalname (UPN) des Kontos, auf das die aufgezeichnete Aktion angewendet wurde
TargetAccountDisplayName string Anzeigename des Kontos, auf das die aufgezeichnete Aktion angewendet wurde
TargetDeviceName string Vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Geräts, auf das die aufgezeichnete Aktion angewendet wurde
DestinationDeviceName string Name des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationIPAddress string IP-Adresse des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationPort string Zielport der Aktivität
Protocol string Protokoll, das während der Kommunikation verwendet wird
AccountName string Benutzername des Kontos
AccountDomain string Domäne des Kontos
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
AccountObjectId string Eindeutiger Bezeichner für das Konto in Azure Active Directory
AccountDisplayName string Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem bestimmten oder Vornamen, einer mittleren Initiierung und einem Nachnamen oder Nachnamen.
DeviceName string Vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Geräts
IPAddress string IP-Adresse, die dem Gerät während der Kommunikation zugewiesen wurde
Port string Während der Kommunikation verwendeter TCP-Port
Location string Ort, Land oder ein anderer geografischer Ort, der dem Ereignis zugeordnet ist
ISP string Internetdienstanbieter, der der IP-Adresse zugeordnet ist
ReportId long Eindeutiger Bezeichner für das Ereignis
AdditionalFields string Zusätzliche Informationen zur Entität oder zum Ereignis