IdentityDirectoryEvents
Hinweis
Möchten Sie Microsoft Defender XDR erleben? Erfahren Sie mehr darüber, wie Sie Microsoft Defender XDR evaluieren und pilotieren können.
Gilt für:
- Microsoft Defender XDR
Die IdentityDirectoryEvents Tabelle im Schema der erweiterten Suche enthält Ereignisse, die einen lokalen Domänencontroller mit Active Directory (AD) betreffen. In dieser Tabelle werden verschiedene identitätsbezogene Ereignisse wie Kennwortänderungen, Kennwortablauf und Änderungen des Benutzerprinzipalnamens (UPN) erfasst. Außerdem werden Systemereignisse auf dem Domänencontroller erfasst, z. B. die Planung von Aufgaben und PowerShell-Aktivitäten. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.
Tipp
Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.
Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.
| Spaltenname | Datentyp | Beschreibung |
|---|---|---|
Timestamp |
datetime |
Datum und Uhrzeit der Aufzeichnung des Ereignisses |
ActionType |
string |
Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal . |
Application |
string |
Anwendung, die die aufgezeichnete Aktion ausgeführt hat |
TargetAccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos, auf das die aufgezeichnete Aktion angewendet wurde |
TargetAccountDisplayName |
string |
Anzeigename des Kontos, auf das die aufgezeichnete Aktion angewendet wurde |
TargetDeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts, auf das die aufgezeichnete Aktion angewendet wurde |
DestinationDeviceName |
string |
Name des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat |
DestinationIPAddress |
string |
IP-Adresse des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat |
DestinationPort |
int |
Zielport der Aktivität |
Protocol |
string |
Während der Kommunikation verwendetes Protokoll |
AccountName |
string |
Benutzername des Kontos |
AccountDomain |
string |
Domäne des Kontos |
AccountUpn |
string |
Benutzerprinzipalname (UPN) des Kontos |
AccountSid |
string |
Sicherheits-ID (SID) des Kontos |
AccountObjectId |
string |
Eindeutiger Bezeichner für das Konto in Microsoft Entra ID |
AccountDisplayName |
string |
Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen. |
DeviceName |
string |
Vollqualifizierter Domänenname (FQDN) des Geräts |
IPAddress |
string |
Dem Gerät während der Kommunikation zugewiesene IP-Adresse |
Port |
int |
TCP-Port, der während der Kommunikation verwendet wird |
Location |
string |
Ort, Land/Region oder anderer geografischer Standort, der dem Ereignis zugeordnet ist |
ISP |
string |
Internetdienstanbieter, der der IP-Adresse zugeordnet ist |
ReportId |
string |
Eindeutiger Bezeichner für das Ereignis |
AdditionalFields |
dynamic |
Zusätzliche Informationen zur Entität oder zum Ereignis |
Verwandte Themen
- Übersicht über die erweiterte Suche
- Lernen der Abfragesprache
- Verwenden freigegebener Abfragen
- Suche über Geräte, E-Mails, Apps und Identitäten hinweg
- Grundlegendes zum Schema
- Anwenden bewährter Methoden für Abfragen
Tipp
Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für