IdentityDirectoryEvents
Si applica a:
- Microsoft Defender XDR
La IdentityDirectoryEvents tabella nello schema di ricerca avanzata contiene eventi che coinvolgono un controller di dominio locale che esegue Active Directory (AD). Questa tabella acquisisce vari eventi correlati all'identità, ad esempio modifiche delle password, scadenza della password e modifiche del nome dell'entità utente (UPN). Acquisisce anche gli eventi di sistema nel controller di dominio, ad esempio la pianificazione delle attività e l'attività di PowerShell. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
TargetAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account a cui è stata applicata l'azione registrata |
TargetAccountDisplayName |
string |
Nome visualizzato dell'account a cui è stata applicata l'azione registrata |
TargetDeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo a cui è stata applicata l'azione registrata |
DestinationDeviceName |
string |
Nome del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationIPAddress |
string |
Indirizzo IP del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationPort |
int |
Porta di destinazione dell'attività |
Protocol |
string |
Protocollo usato durante la comunicazione |
AccountName |
string |
Nome utente dell'account |
AccountDomain |
string |
Dominio dell'account |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountDisplayName |
string |
Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome. |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
IPAddress |
string |
Indirizzo IP assegnato al dispositivo durante la comunicazione |
Port |
int |
Porta TCP usata durante la comunicazione |
Location |
string |
Città, paese/area geografica o altra posizione geografica associata all'evento |
ISP |
string |
Provider di servizi Internet associato all'indirizzo IP |
ReportId |
string |
Identificatore univoco per l'evento |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per