IdentityDirectoryEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
IdentityDirectoryEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, Active Directory (AD) çalıştıran şirket içi etki alanı denetleyicisini içeren olayları içerir. Bu tablo parola değişiklikleri, parola süre sonu ve kullanıcı asıl adı (UPN) değişiklikleri gibi kimlikle ilgili çeşitli olayları yakalar. Ayrıca, görevlerin zamanlanması ve PowerShell etkinliği gibi etki alanı denetleyicisindeki sistem olaylarını yakalar. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
ActionType |
string |
Olayı tetikleyen etkinlik türü. Ayrıntılar için bkz. portal içi şema başvurusu |
Application |
string |
Kaydedilen eylemi gerçekleştiren uygulama |
TargetAccountUpn |
string |
Kaydedilen eylemin uygulandığı hesabın kullanıcı asıl adı (UPN) |
TargetAccountDisplayName |
string |
Kaydedilen eylemin uygulandığı hesabın görünen adı |
TargetDeviceName |
string |
Kaydedilen eylemin uygulandığı cihazın tam etki alanı adı (FQDN) |
DestinationDeviceName |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın adı |
DestinationIPAddress |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın IP adresi |
DestinationPort |
int |
Etkinliğin hedef bağlantı noktası |
Protocol |
string |
İletişim sırasında kullanılan protokol |
AccountName |
string |
Hesabın kullanıcı adı |
AccountDomain |
string |
Hesabın etki alanı |
AccountUpn |
string |
Hesabın kullanıcı asıl adı (UPN) |
AccountSid |
string |
Hesabın Güvenlik Tanımlayıcısı (SID) |
AccountObjectId |
string |
Microsoft Entra ID'deki hesabın benzersiz tanımlayıcısı |
AccountDisplayName |
string |
Adres defterinde görüntülenen hesap kullanıcısının adı. Genellikle belirli bir adın veya adın, ikinci bir adın ve soyadının veya soyadının birleşimidir. |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
IPAddress |
string |
İletişim sırasında cihaza atanan IP adresi |
Port |
int |
İletişim sırasında kullanılan TCP bağlantı noktası |
Location |
string |
Olayla ilişkili şehir, ülke/bölge veya diğer coğrafi konum |
ISP |
string |
IP adresiyle ilişkilendirilmiş İnternet servis sağlayıcısı |
ReportId |
string |
Olayın benzersiz tanımlayıcısı |
AdditionalFields |
dynamic |
Varlık veya olay hakkında ek bilgi |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.