Megosztás a következőn keresztül:


IdentityDirectoryEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR

A IdentityDirectoryEventsspeciális veszélyforrás-keresési séma táblázata egy Active Directoryt (AD) futtató helyszíni tartományvezérlőt érintő eseményeket tartalmaz. Ez a táblázat az identitással kapcsolatos különféle eseményeket rögzíti, például a jelszómódosításokat, a jelszólejáratot és az egyszerű felhasználónév (UPN) változásait. A tartományvezérlő rendszereseményeit is rögzíti, például a feladatok ütemezését és a PowerShell-tevékenységet. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
ActionType string Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát
Application string A rögzített műveletet végrehajtó alkalmazás
TargetAccountUpn string Annak a fióknak az egyszerű felhasználóneve (UPN), amellyel a rögzített műveletet alkalmazták
TargetAccountDisplayName string Annak a fióknak a megjelenítendő neve, amelyen a rögzített műveletet alkalmazták
TargetDeviceName string Annak az eszköznek a teljes tartományneve (FQDN), amelyekre a rögzített műveletet alkalmazták
DestinationDeviceName string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz neve
DestinationIPAddress string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz IP-címe
DestinationPort int A tevékenység célportja
Protocol string A kommunikáció során használt protokoll
AccountName string A fiók felhasználóneve
AccountDomain string A fiók tartománya
AccountUpn string A fiók egyszerű felhasználóneve (UPN)
AccountSid string A fiók biztonsági azonosítója (SID)
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra ID
AccountDisplayName string A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja.
DeviceName string Az eszköz teljes tartományneve (FQDN)
IPAddress string Az eszközhöz a kommunikáció során hozzárendelt IP-cím
Port int Kommunikáció során használt TCP-port
Location string Az eseményhez társított város, ország/régió vagy más földrajzi hely
ISP string Az IP-címhez társított internetszolgáltató
ReportId string Az esemény egyedi azonosítója
AdditionalFields dynamic További információ az entitásról vagy eseményről

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.