IdentityDirectoryEventsIdentityDirectoryEvents

Importante

Il nuovo Centro sicurezza Microsoft 365 è ora disponibile.The improved Microsoft 365 security center is now available. Questa nuova esperienza consente di accedere a Defender per endpoint, Defender per Office 365, Microsoft 365 Defender e altre soluzioni nel Centro sicurezza Microsoft 365.This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. Informazioni sulle novità.Learn what's new.

Si applica a:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

La tabella nello schema di ricerca avanzata contiene eventi che coinvolgono un controller di dominio locale che IdentityDirectoryEvents esegue Active Directory (AD). The IdentityDirectoryEvents table in the advanced hunting schema contains events involving an on-premises domain controller running Active Directory (AD). Questa tabella acquisisce vari eventi correlati all'identità, come le modifiche delle password, la scadenza della password e le modifiche del nome dell'entità utente (UPN).This table captures various identity-related events, like password changes, password expiration, and user principal name (UPN) changes. Acquisisce anche gli eventi di sistema nel controller di dominio, ad esempio la pianificazione delle attività e l'attività di PowerShell.It also captures system events on the domain controller, like scheduling of tasks and PowerShell activity. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.Use this reference to construct queries that return information from this table.

Suggerimento

Per informazioni dettagliate sui tipi di eventi (valori) supportati da una tabella, utilizzare il riferimento allo schema predefinito ActionType disponibile nel Centro sicurezza.For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.For information on other tables in the advanced hunting schema, see the advanced hunting reference.

Nome colonnaColumn name Tipo di datiData type DescrizioneDescription
Timestamp datetimedatetime Data e ora di registrazione dell'eventoDate and time when the event was recorded
ActionType stringastring Tipo di attività che ha attivato l'evento.Type of activity that triggered the event. Per informazioni dettagliate, vedere informazioni di riferimento sullo schema nel portaleSee the in-portal schema reference for details
Application stringastring Applicazione che ha eseguito l'azione registrataApplication that performed the recorded action
TargetAccountUpn stringastring Nome dell'entità utente (UPN) dell'account a cui è stata applicata l'azione registrataUser principal name (UPN) of the account that the recorded action was applied to
TargetAccountDisplayName stringastring Nome visualizzato dell'account a cui è stata applicata l'azione registrataDisplay name of the account that the recorded action was applied to
TargetDeviceName stringastring Nome di dominio completo (FQDN) del dispositivo a cui è stata applicata l'azione registrataFully qualified domain name (FQDN) of the device that the recorded action was applied to
DestinationDeviceName stringastring Nome del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrataName of the device running the server application that processed the recorded action
DestinationIPAddress stringastring Indirizzo IP del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrataIP address of the device running the server application that processed the recorded action
DestinationPort stringastring Porta di destinazione dell'attivitàDestination port of the activity
Protocol stringastring Protocollo utilizzato durante la comunicazioneProtocol used during the communication
AccountName stringastring Nome utente dell'accountUser name of the account
AccountDomain stringastring Dominio dell'accountDomain of the account
AccountUpn stringastring Nome dell'entità utente (UPN) dell'accountUser principal name (UPN) of the account
AccountSid stringastring Identificatore di sicurezza (SID) dell'accountSecurity Identifier (SID) of the account
AccountObjectId stringastring Identificatore univoco dell'account in Azure Active DirectoryUnique identifier for the account in Azure Active Directory
AccountDisplayName stringastring Nome dell'utente dell'account visualizzato nella rubrica.Name of the account user displayed in the address book. In genere una combinazione di un nome o di un dato nome, un'iniziazione intermedia e un cognome o un cognome.Typically a combination of a given or first name, a middle initiation, and a last name or surname.
DeviceName stringastring Nome di dominio completo (FQDN) del dispositivoFully qualified domain name (FQDN) of the device
IPAddress stringastring Indirizzo IP assegnato al dispositivo durante la comunicazioneIP address assigned to the device during communication
Port stringastring Porta TCP utilizzata durante la comunicazioneTCP port used during communication
Location stringastring Città, paese o altra posizione geografica associata all'eventoCity, country, or other geographic location associated with the event
ISP stringastring Provider di servizi Internet associato all'indirizzo IPInternet service provider associated with the IP address
ReportId longlong Identificatore univoco dell'eventoUnique identifier for the event
AdditionalFields stringastring Informazioni aggiuntive sull'entità o sull'eventoAdditional information about the entity or event