IdentityDirectoryEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen IdentityDirectoryEvents i det avancerade sökschemat innehåller händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). I den här tabellen visas olika identitetsrelaterade händelser, som lösenordsändringar, giltighetstid för lösenord och ändringar av huvudnamn (UPN). Den fångar även systemhändelser på domänkontrollanten, som schemaläggning av uppgifter och PowerShell-aktivitet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
TargetAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som den inspelade åtgärden tillämpats på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpats på |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den inspelade åtgärden tillämpats på |
DestinationDeviceName |
string |
Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationIPAddress |
string |
IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationPort |
string |
Målport för aktiviteten |
Protocol |
string |
Protokoll som används under kommunikationen |
AccountName |
string |
Användarnamn för kontot |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarkontons huvudnamn (UPN) |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unikt ID för kontot i Azure Active Directory |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
IPAddress |
string |
IP-adress tilldelad till enheten under kommunikation |
Port |
string |
TCP-port som används under kommunikation |
Location |
string |
Stad, land eller annan geografisk plats som är kopplad till händelsen |
ISP |
string |
Internetleverantör som är kopplad till IP-adressen |
ReportId |
long |
Unikt ID för händelsen |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |