IdentityDirectoryEventsIdentityDirectoryEvents

重要

改善された Microsoft 365 セキュリティ センターが利用できるようになりました。The improved Microsoft 365 security center is now available. この新しいエクスペリエンスにより、Defender for Endpoint、Defender for Office 365、Microsoft 365 Defender などが Microsoft 365 セキュリティ センターに導入されます。This new experience brings Defender for Endpoint, Defender for Office 365, Microsoft 365 Defender, and more into the Microsoft 365 security center. 新機能について説明しますLearn what's new.

適用対象:Applies to:

  • Microsoft 365 DefenderMicrosoft 365 Defender

高度 IdentityDirectoryEvents な検索スキーマの には、Active Directory を実行しているオンプレミスのドメイン コントローラー (AD) が含AD。The IdentityDirectoryEvents table in the advanced hunting schema contains events involving an on-premises domain controller running Active Directory (AD). 次の表は、パスワードの変更、パスワードの有効期限、ユーザー プリンシパル名 (UPN) の変更など、さまざまな ID 関連のイベントをキャプチャします。This table captures various identity-related events, like password changes, password expiration, and user principal name (UPN) changes. また、タスクのスケジュール設定や PowerShell アクティビティなど、ドメイン コントローラー上のシステム イベントもキャプチャします。It also captures system events on the domain controller, like scheduling of tasks and PowerShell activity. このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。Use this reference to construct queries that return information from this table.

ヒント

テーブルでサポートされるイベントの種類 (値) の詳細については、セキュリティ センターで使用できる組み込みのスキーマ参照 ActionType を使用します。For detailed information about the events types (ActionType values) supported by a table, use the built-in schema reference available in the security center.

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。For information on other tables in the advanced hunting schema, see the advanced hunting reference.

列名Column name データ型Data type 説明Description
Timestamp 日付型datetime イベントが記録された日付と時刻Date and time when the event was recorded
ActionType 文字列string イベントをトリガーしたアクティビティの種類。Type of activity that triggered the event. 詳細については 、ポータル内スキーマリファレンス を参照してください。See the in-portal schema reference for details
Application 文字列string 記録されたアクションを実行したアプリケーションApplication that performed the recorded action
TargetAccountUpn 文字列string 記録されたアクションが適用されたアカウントのユーザー プリンシパル名 (UPN)User principal name (UPN) of the account that the recorded action was applied to
TargetAccountDisplayName 文字列string 記録されたアクションが適用されたアカウントの表示名Display name of the account that the recorded action was applied to
TargetDeviceName 文字列string 記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN)Fully qualified domain name (FQDN) of the device that the recorded action was applied to
DestinationDeviceName 文字列string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前Name of the device running the server application that processed the recorded action
DestinationIPAddress 文字列string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレスIP address of the device running the server application that processed the recorded action
DestinationPort 文字列string アクティビティの宛先ポートDestination port of the activity
Protocol 文字列string 通信中に使用されるプロトコルProtocol used during the communication
AccountName 文字列string アカウントのユーザー名User name of the account
AccountDomain 文字列string アカウントのドメインDomain of the account
AccountUpn 文字列string アカウントのユーザー プリンシパル名 (UPN)User principal name (UPN) of the account
AccountSid 文字列string アカウントのセキュリティ識別子 (SID)Security Identifier (SID) of the account
AccountObjectId 文字列string Azure Active Directory のアカウントの一意識別子Unique identifier for the account in Azure Active Directory
AccountDisplayName 文字列string アドレス帳に表示されるアカウント ユーザーの名前。Name of the account user displayed in the address book. 通常、指定または名、ミドル イニシエーション、姓または姓の組み合わせ。Typically a combination of a given or first name, a middle initiation, and a last name or surname.
DeviceName 文字列string デバイスの完全修飾ドメイン名 (FQDN)Fully qualified domain name (FQDN) of the device
IPAddress 文字列string 通信中にデバイスに割り当てられた IP アドレスIP address assigned to the device during communication
Port 文字列string 通信中に使用される TCP ポートTCP port used during communication
Location 文字列string イベントに関連付けられている都市、国、その他の地理的な場所City, country, or other geographic location associated with the event
ISP 文字列string IP アドレスに関連付けられたインターネット サービス プロバイダーInternet service provider associated with the IP address
ReportId longlong イベントの一意識別子Unique identifier for the event
AdditionalFields 文字列string エンティティまたはイベントに関する追加情報Additional information about the entity or event