IdentityLogonEvents
ينطبق على:
- Microsoft Defender XDR
IdentityLogonEvents يحتوي الجدول في مخطط التتبع المتقدم على معلومات حول أنشطة المصادقة التي تم إجراؤها من خلال Active Directory محلي التي تم التقاطها بواسطة Microsoft Defender for Identity وأنشطة المصادقة المتعلقة خدمات الإنترنت Microsoft التي تم التقاطها بواسطة Microsoft Defender for Cloud Apps. استخدم هذا المرجع لإنشاء استعلامات ترجع معلومات من هذا الجدول.
تلميح
للحصول على معلومات مفصلة حول أنواع الأحداث (ActionTypeالقيم) التي يدعمها جدول، استخدم مرجع المخطط المضمن المتوفر في Microsoft Defender XDR.
ملاحظة
يغطي هذا الجدول Microsoft Entra أنشطة تسجيل الدخول التي تتبعها Defender for Cloud Apps، وتحديدا عمليات تسجيل الدخول التفاعلية وأنشطة المصادقة باستخدام ActiveSync والبروتوكولات القديمة الأخرى. يمكن عرض عمليات تسجيل الدخول غير التفاعلية غير المتوفرة في هذا الجدول في سجل تدقيق Microsoft Entra. تعرف على المزيد حول توصيل Defender for Cloud Apps ب Microsoft 365
للحصول على معلومات حول الجداول الأخرى في مخطط التتبع المتقدم، راجع مرجع التتبع المتقدم.
| اسم العمود | نوع البيانات | الوصف |
|---|---|---|
Timestamp |
datetime |
تاريخ ووقت تسجيل الحدث |
ActionType |
string |
نوع النشاط الذي أدى إلى تشغيل الحدث. راجع مرجع مخطط المدخل للحصول على التفاصيل |
Application |
string |
التطبيق الذي نفذ الإجراء المسجل |
LogonType |
string |
نوع جلسة تسجيل الدخول. لمزيد من المعلومات، راجع أنواع تسجيل الدخول المدعومة. |
Protocol |
string |
بروتوكول الشبكة المستخدم |
FailureReason |
string |
معلومات توضح سبب فشل الإجراء المسجل |
AccountName |
string |
اسم المستخدم للحساب |
AccountDomain |
string |
مجال الحساب |
AccountUpn |
string |
اسم المستخدم الأساسي (UPN) للحساب |
AccountSid |
string |
معرف الأمان (SID) للحساب |
AccountObjectId |
string |
معرف فريد للحساب في Microsoft Entra ID |
AccountDisplayName |
string |
اسم مستخدم الحساب المعروض في دفتر العناوين. عادة ما يكون مزيجا من اسم معين أو أول، وأحرف أولية متوسطة، واسم عائلة أو اسم عائلة. |
DeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز |
DeviceType |
string |
نوع الجهاز استنادا إلى الغرض والوظائف، مثل جهاز الشبكة أو محطة العمل أو الخادم أو الهاتف المحمول أو وحدة تحكم الألعاب أو الطابعة |
OSPlatform |
string |
النظام الأساسي لنظام التشغيل الذي يعمل على الجهاز. يشير هذا إلى أنظمة تشغيل محددة، بما في ذلك الاختلافات داخل نفس العائلة، مثل Windows 11 Windows 10 وWindows 7. |
IPAddress |
string |
عنوان IP المعين لنقطة النهاية والمستخدم أثناء اتصالات الشبكة ذات الصلة |
Port |
int |
منفذ TCP المستخدم أثناء الاتصال |
DestinationDeviceName |
string |
اسم الجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationIPAddress |
string |
عنوان IP للجهاز الذي يقوم بتشغيل تطبيق الخادم الذي عالج الإجراء المسجل |
DestinationPort |
int |
منفذ الوجهة لاتصالات الشبكة ذات الصلة |
TargetDeviceName |
string |
اسم المجال المؤهل بالكامل (FQDN) للجهاز الذي تم تطبيق الإجراء المسجل عليه |
TargetAccountDisplayName |
string |
عرض اسم الحساب الذي تم تطبيق الإجراء المسجل عليه |
Location |
string |
المدينة أو البلد/المنطقة أو الموقع الجغرافي الآخر المرتبط بالحدث |
Isp |
string |
موفر خدمة الإنترنت (ISP) المقترن بعنوان IP لنقطة النهاية |
ReportId |
string |
معرف فريد للحدث |
AdditionalFields |
dynamic |
معلومات إضافية حول الكيان أو الحدث |
أنواع تسجيل الدخول المدعومة
يسرد الجدول التالي القيم المدعومة للعمود LogonType .
| نوع تسجيل الدخول | النشاط المراقب | الوصف |
|---|---|---|
| نوع تسجيل الدخول 2 | التحقق من صحة بيانات الاعتماد | حدث مصادقة حساب المجال باستخدام أساليب مصادقة NTLM وKerberos. |
| نوع تسجيل الدخول 2 | تسجيل الدخول التفاعلي | تمكن المستخدم من الوصول إلى الشبكة عن طريق إدخال اسم مستخدم وكلمة مرور (أسلوب المصادقة Kerberos أو NTLM). |
| نوع تسجيل الدخول 2 | تسجيل الدخول التفاعلي مع الشهادة | تمكن المستخدم من الوصول إلى الشبكة باستخدام شهادة. |
| نوع تسجيل الدخول 2 | اتصال VPN | المستخدم المتصل بواسطة VPN - المصادقة باستخدام بروتوكول RADIUS. |
| نوع تسجيل الدخول 3 | الوصول إلى الموارد | قام المستخدم بالوصول إلى مورد باستخدام مصادقة Kerberos أو NTLM. |
| نوع تسجيل الدخول 3 | الوصول إلى الموارد المفوضة | قام المستخدم بالوصول إلى مورد باستخدام تفويض Kerberos. |
| نوع تسجيل الدخول 8 | نص واضح ل LDAP | تمت مصادقة المستخدم باستخدام LDAP مع كلمة مرور نص واضح (مصادقة بسيطة). |
| نوع تسجيل الدخول 10 | سطح المكتب البعيد | أجرى المستخدم جلسة RDP إلى كمبيوتر بعيد باستخدام مصادقة Kerberos. |
| --- | فشل تسجيل الدخول | فشل محاولة المصادقة لحساب المجال (عبر NTLM وKerberos) بسبب ما يلي: تم تعطيل الحساب/انتهاء صلاحيته/تأمينه/استخدامه شهادة غير موثوق بها أو بسبب ساعات تسجيل الدخول غير الصالحة/كلمة المرور القديمة/كلمة المرور منتهية الصلاحية/كلمة مرور خاطئة. |
| --- | فشل تسجيل الدخول باستخدام الشهادة | فشل محاولة المصادقة لحساب المجال (عبر Kerberos) بسبب ما يلي: تم تعطيل الحساب/انتهاء صلاحيته/تأمينه/استخدامه شهادة غير موثوق بها أو بسبب ساعات تسجيل الدخول/كلمة المرور القديمة/كلمة المرور منتهية الصلاحية/كلمة مرور خاطئة. |
المواضيع ذات الصلة
- نظرة عامة متقدمة حول الصيد
- التعرّف على لغة الاستعلام
- استخدام الاستعلامات المشتركة
- البحث عبر الأجهزة ورسائل البريد الإلكتروني والتطبيقات والهويات
- فهم المخطط
- تطبيق أفضل ممارسات الاستعلام
تلميح
هل تريد معرفة المزيد؟ تفاعل مع مجتمع أمان Microsoft في مجتمعنا التقني: Microsoft Defender XDR Tech Community.