IdentityDirectoryEvents

Viktigt

Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.

Gäller för:

  • Microsoft 365 Defender

Tabellen IdentityDirectoryEvents i det avancerade sökschemat innehåller händelser som innefattar en lokal domänkontrollant som kör Active Directory (AD). I den här tabellen visas olika identitetsrelaterade händelser, som lösenordsändringar, giltighetstid för lösenord och ändringar av huvudnamn (UPN). Den fångar även systemhändelser på domänkontrollanten, som schemaläggning av uppgifter och PowerShell-aktivitet. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.

Tips

Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.

Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.

Kolumnnamn Datatyp Beskrivning
Timestamp datetime Datum och tid då händelsen spelades in
ActionType string Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen
Application string Program som utförde den inspelade åtgärden
TargetAccountUpn string Användarens huvudnamn (UPN) för det konto som den inspelade åtgärden tillämpats på
TargetAccountDisplayName string Visningsnamn för det konto som den inspelade åtgärden tillämpats på
TargetDeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten som den inspelade åtgärden tillämpats på
DestinationDeviceName string Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden
DestinationIPAddress string IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden
DestinationPort string Målport för aktiviteten
Protocol string Protokoll som används under kommunikationen
AccountName string Användarnamn för kontot
AccountDomain string Domän för kontot
AccountUpn string Användarkontons huvudnamn (UPN)
AccountSid string Säkerhetsidentifierare (SID) för kontot
AccountObjectId string Unikt ID för kontot i Azure Active Directory
AccountDisplayName string Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn.
DeviceName string Fullständigt kvalificerat domännamn (FQDN) för enheten
IPAddress string IP-adress tilldelad till enheten under kommunikation
Port string TCP-port som används under kommunikation
Location string Stad, land eller annan geografisk plats som är kopplad till händelsen
ISP string Internetleverantör som är kopplad till IP-adressen
ReportId long Unikt ID för händelsen
AdditionalFields string Ytterligare information om entiteten eller händelsen