IdentityLogonEvents
Platí pro:
- Microsoft Defender XDR
Tabulka IdentityLogonEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o aktivitách ověřování provedených prostřednictvím místní Active Directory zachycených Microsoft Defender for Identity a ověřovacími aktivitami souvisejícími s Microsoftem online služby zachycenými Microsoft Defender for Cloud Apps. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.
Poznámka
Tato tabulka popisuje aktivity přihlášení Microsoft Entra sledované defenderem for Cloud Apps, konkrétně interaktivní přihlášení a aktivity ověřování pomocí activesync a dalších starších protokolů. Neinteraktivní přihlášení, která nejsou k dispozici v této tabulce, je možné zobrazit v protokolu auditování Microsoft Entra. Další informace o připojení Defenderu for Cloud Apps k Microsoftu 365
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
ActionType |
string |
Typ aktivity, která aktivovala událost. Podrobnosti najdete v referenčních informacích o schématu na portálu . |
Application |
string |
Aplikace, která provedla zaznamenanou akci |
LogonType |
string |
Typ přihlašovací relace. Další informace najdete v tématu Podporované typy přihlášení. |
Protocol |
string |
Použitý síťový protokol |
FailureReason |
string |
Informace vysvětlující, proč se zaznamenaná akce nezdařila |
AccountName |
string |
Uživatelské jméno účtu |
AccountDomain |
string |
Doména účtu |
AccountUpn |
string |
Hlavní název uživatele (UPN) účtu |
AccountSid |
string |
Identifikátor zabezpečení (SID) účtu |
AccountObjectId |
string |
Jedinečný identifikátor účtu v Microsoft Entra ID |
AccountDisplayName |
string |
Jméno uživatele účtu zobrazeného v adresáři Obvykle se jedná o kombinaci křestního jména nebo jména, prostřední iniciály a příjmení nebo příjmení. |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
DeviceType |
string |
Typ zařízení na základě účelu a funkčnosti, jako je síťové zařízení, pracovní stanice, server, mobilní zařízení, herní konzole nebo tiskárna |
OSPlatform |
string |
Platforma operačního systému spuštěného na zařízení To označuje konkrétní operační systémy, včetně variant ve stejné rodině, jako jsou Windows 11, Windows 10 a Windows 7. |
IPAddress |
string |
IP adresa přiřazená koncovému bodu a použitá při související síťové komunikaci |
Port |
int |
Port TCP používaný během komunikace |
DestinationDeviceName |
string |
Název zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationIPAddress |
string |
IP adresa zařízení, na kterém běží serverová aplikace, které zpracovalo zaznamenanou akci |
DestinationPort |
int |
Cílový port související síťové komunikace |
TargetDeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení, na které se zaznamenaná akce použila |
TargetAccountDisplayName |
string |
Zobrazovaný název účtu, na který se zaznamenaná akce použila |
Location |
string |
Město, země/oblast nebo jiné zeměpisné umístění přidružené k události |
Isp |
string |
Poskytovatel internetových služeb přidružený k IP adrese koncového bodu |
ReportId |
string |
Jedinečný identifikátor události |
AdditionalFields |
dynamic |
Další informace o entitě nebo události |
Podporované typy přihlášení
Následující tabulka uvádí podporované hodnoty pro sloupec LogonType .
| Typ přihlášení | Monitorovaná aktivita | Popis |
|---|---|---|
| Typ přihlášení 2 | Ověření přihlašovacích údajů | Událost ověřování účtu domény pomocí metod ověřování NTLM a Kerberos |
| Typ přihlášení 2 | Interaktivní přihlášení | Uživatel získal přístup k síti zadáním uživatelského jména a hesla (metoda ověřování Kerberos nebo NTLM). |
| Typ přihlášení 2 | Interaktivní přihlášení pomocí certifikátu | Uživatel získal přístup k síti pomocí certifikátu. |
| Typ přihlášení 2 | Připojení VPN | Uživatel připojený pomocí sítě VPN – ověřování pomocí protokolu RADIUS. |
| Typ přihlášení 3 | Přístup k prostředkům | Uživatel přistupoval k prostředku pomocí ověřování Kerberos nebo NTLM. |
| Typ přihlášení 3 | Delegovaný přístup k prostředkům | Uživatel přistupoval k prostředku pomocí delegování Protokolu Kerberos. |
| Typ přihlášení 8 | LDAP Cleartext | Uživatel se ověřil pomocí protokolu LDAP pomocí hesla ve formátu prostého textu (jednoduché ověřování). |
| Typ přihlášení 10 | Vzdálená plocha | Uživatel provedl relaci protokolu RDP se vzdáleným počítačem pomocí ověřování kerberos. |
| --- | Neúspěšné přihlášení | Pokus o ověření účtu domény (prostřednictvím protokolů NTLM a Kerberos) selhal kvůli následujícímu: účet byl zakázán, vypršela jeho platnost nebo byl uzamčen nebo byl použit nedůvěryhodný certifikát nebo kvůli neplatným přihlašovacím hodinám, starému heslu, vypršení platnosti hesla nebo nesprávnému heslu. |
| --- | Neúspěšné přihlášení s certifikátem | Pokus o ověření účtu domény (prostřednictvím protokolu Kerberos) selhal kvůli následujícímu: účet byl zakázaný, vypršela jeho platnost nebo byl uzamčen nebo byl použit nedůvěryhodný certifikát nebo kvůli neplatnému přihlášení, starému heslu, vypršení platnosti hesla nebo nesprávnému heslu. |
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.