Sdílet prostřednictvím


IdentityLogonEvents

Platí pro:

  • Microsoft Defender XDR

Tabulka IdentityLogonEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o aktivitách ověřování provedených prostřednictvím místní Active Directory zachycených Microsoft Defender for Identity a ověřovacími aktivitami souvisejícími s Microsoftem online služby zachycenými Microsoft Defender for Cloud Apps. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.

Tip

Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.

Poznámka

Tato tabulka popisuje aktivity přihlášení Microsoft Entra sledované defenderem for Cloud Apps, konkrétně interaktivní přihlášení a aktivity ověřování pomocí activesync a dalších starších protokolů. Neinteraktivní přihlášení, která nejsou k dispozici v této tabulce, je možné zobrazit v protokolu auditování Microsoft Entra. Další informace o připojení Defenderu for Cloud Apps k Microsoftu 365

Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.

Název sloupce Datový typ Popis
Timestamp datetime Datum a čas, kdy byla událost zaznamenána
ActionType string Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu .
Application string Aplikace, která provedla zaznamenanou akci
LogonType string Typ přihlašovací relace. Další informace najdete v tématu Podporované typy přihlášení.
Protocol string Použitý síťový protokol
FailureReason string Informace vysvětlující, proč se zaznamenaná akce nezdařila
AccountName string Uživatelské jméno účtu
AccountDomain string Doména účtu
AccountUpn string Hlavní název uživatele (UPN) účtu
AccountSid string Identifikátor zabezpečení (SID) účtu
AccountObjectId string Jedinečný identifikátor účtu v Microsoft Entra ID
AccountDisplayName string Jméno uživatele účtu zobrazeného v adresáři Obvykle se jedná o kombinaci křestního jména nebo jména, prostřední iniciály a příjmení nebo příjmení.
DeviceName string Plně kvalifikovaný název domény (FQDN) zařízení
DeviceType string Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna
OSPlatform string Platforma operačního systému spuštěného na zařízení To označuje konkrétní operační systémy, včetně variant ve stejné rodině, jako jsou Windows 11, Windows 10 a Windows 7.
IPAddress string IP adresa přiřazená koncovému bodu a použitá při související síťové komunikaci
Port int Port TCP používaný během komunikace
DestinationDeviceName string Název zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci
DestinationIPAddress string IP adresa zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci
DestinationPort int Cílový port související síťové komunikace
TargetDeviceName string Plně kvalifikovaný název domény (FQDN) zařízení, na které se zaznamenaná akce použila
TargetAccountDisplayName string Zobrazovaný název účtu, na který se zaznamenaná akce použila
Location string Město, země/oblast nebo jiné zeměpisné umístění přidružené k události
Isp string Poskytovatel internetových služeb přidružený k IP adrese koncového bodu
ReportId string Jedinečný identifikátor události
AdditionalFields dynamic Další informace o entitě nebo události

Podporované typy přihlášení

Následující tabulka uvádí podporované hodnoty pro sloupec LogonType .

Typ přihlášení Monitorovaná aktivita Popis
Typ přihlášení 2 Ověření přihlašovacích údajů Událost ověřování účtu domény pomocí metod ověřování NTLM a Kerberos
Typ přihlášení 2 Interaktivní přihlášení Uživatel získal přístup k síti zadáním uživatelského jména a hesla (metoda ověřování Kerberos nebo NTLM).
Typ přihlášení 2 Interaktivní přihlášení pomocí certifikátu Uživatel získal přístup k síti pomocí certifikátu.
Typ přihlášení 2 Připojení VPN Uživatel připojený pomocí sítě VPN – ověřování pomocí protokolu RADIUS.
Typ přihlášení 3 Přístup k prostředkům Uživatel přistupoval k prostředku pomocí ověřování Kerberos nebo NTLM.
Typ přihlášení 3 Delegovaný přístup k prostředkům Uživatel přistupoval k prostředku pomocí delegování Protokolu Kerberos.
Typ přihlášení 8 LDAP Cleartext Uživatel se ověřil pomocí protokolu LDAP pomocí hesla ve formátu prostého textu (jednoduché ověřování).
Typ přihlášení 10 Vzdálená plocha Uživatel provedl relaci protokolu RDP se vzdáleným počítačem pomocí ověřování kerberos.
--- Neúspěšné přihlášení Pokus o ověření účtu domény (prostřednictvím protokolů NTLM a Kerberos) selhal kvůli následujícímu: účet byl zakázán, vypršela jeho platnost nebo byl uzamčen nebo byl použit nedůvěryhodný certifikát nebo kvůli neplatným přihlašovacím hodinám, starému heslu, vypršení platnosti hesla nebo nesprávnému heslu.
--- Neúspěšné přihlášení s certifikátem Pokus o ověření účtu domény (prostřednictvím protokolu Kerberos) selhal kvůli následujícímu: účet byl zakázaný, vypršela jeho platnost nebo byl uzamčen nebo byl použit nedůvěryhodný certifikát nebo kvůli neplatnému přihlášení, starému heslu, vypršení platnosti hesla nebo nesprávnému heslu.

Tip

Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.