IdentityDirectoryEvents

Важно!

Улучшенный Центр безопасности Microsoft 365 теперь доступен в общедоступной предварительной версии. Этот новый интерфейс Центра безопасности Microsoft 365 объединяет Defender для конечной точки, Defender для Office 365, Microsoft 365 Defender и другие решения. Узнайте о новых возможностях.

Область применения:

  • Microsoft 365 Defender

Таблица в продвинутой схеме охоты содержит события, включающие локального контроллера домена под IdentityDirectoryEvents управлением Active Directory (AD). В этой таблице запечатлены различные события, связанные с удостоверением, такие как изменения пароля, истечение срока действия пароля и изменение основного имени пользователя (UPN). Он также фиксирует события системы на контроллере домена, например планирование задач и активность PowerShell. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (значениях), поддерживаемых таблицей, используйте встроенную ссылку на схему, доступную ActionType в центре безопасности.

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
ActionType string Тип действий, которые вызвали событие. Подробные сведения см. в справке по схеме на портале
Application string Приложение, которое выполнило записанную акцию
TargetAccountUpn string Основное имя пользователя (UPN) учетной записи, к
TargetAccountDisplayName string Отображение имени учетной записи, к которую было применено записанное действие
TargetDeviceName string Полное доменное имя (FQDN) устройства, на которое было применено записанное действие
DestinationDeviceName string Имя устройства под управлением серверного приложения, обрабатываемого записанным действием
DestinationIPAddress string IP-адрес устройства под управлением серверного приложения, обработав записанное действие
DestinationPort string Порт назначения действия
Protocol string Протокол, используемый во время связи
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountUpn string Основное имя пользователя (UPN) учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId string Уникальный идентификатор учетной записи в Azure Active Directory
AccountDisplayName string Имя пользователя учетной записи, отображаемого в адресной книге. Как правило, сочетание данной или имени, среднего посвящения и фамилии или фамилии.
DeviceName string Полное доменное имя (FQDN) устройства
IPAddress string IP-адрес, присвоенный устройству во время связи
Port string Порт TCP, используемый во время связи
Location string Город, страна или другое географическое расположение, связанное с событием
ISP string Поставщик интернет-услуг, связанный с IP-адресом
ReportId long Уникальный идентификатор события
AdditionalFields string Дополнительные сведения об объекте или событии