Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La IdentityDirectoryEvents tabella nello schema di ricerca avanzata contiene eventi che coinvolgono un controller di dominio locale che esegue Active Directory (AD). Questa tabella acquisisce vari eventi correlati all'identità, ad esempio modifiche delle password, scadenza della password e modifiche del nome dell'entità utente (UPN). Acquisisce anche gli eventi di sistema nel controller di dominio, ad esempio la pianificazione delle attività e l'attività di PowerShell. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Questa tabella di ricerca avanzata viene popolata da record di Microsoft Defender per identità. Se l'organizzazione non ha distribuito il servizio in Microsoft Defender XDR, le query che usano la tabella non funzioneranno o restituiscono risultati. Per altre informazioni su come distribuire Defender per identità in Defender XDR, vedere Distribuire i servizi supportati.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
TargetAccountUpn |
string |
Nome dell'entità utente (UPN) dell'account a cui è stata applicata l'azione registrata |
TargetAccountDisplayName |
string |
Nome visualizzato dell'account a cui è stata applicata l'azione registrata |
TargetDeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo a cui è stata applicata l'azione registrata |
DestinationDeviceName |
string |
Nome del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationIPAddress |
string |
Indirizzo IP del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationPort |
int |
Porta di destinazione dell'attività |
Protocol |
string |
Protocollo usato durante la comunicazione |
AccountName |
string |
Nome utente dell'account |
AccountDomain |
string |
Dominio dell'account |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountDisplayName |
string |
Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome. |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
IPAddress |
string |
Indirizzo IP assegnato al dispositivo durante la comunicazione |
Port |
int |
Porta TCP usata durante la comunicazione |
Location |
string |
Città, paese/area geografica o altra posizione geografica associata all'evento |
ISP |
string |
Provider di servizi Internet associato all'indirizzo IP |
ReportId |
string |
Identificatore univoco per l'evento |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Visitare la community di Microsoft Security nella Tech Community: Tech Community di Microsoft Defender XDR.