DeviceLogonEvents
Platí pro:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabulka DeviceLogonEvents ve schématu rozšířeného proaktivního vyhledávání obsahuje informace o přihlášeních uživatelů a dalších událostech ověřování na zařízeních. Tento odkaz slouží k vytvoření dotazů, které vracejí informace z této tabulky.
Tip
Podrobné informace o typech událostí (ActionTypehodnotách) podporovaných tabulkou získáte pomocí předdefinovaných odkazů na schéma, které jsou dostupné v Microsoft Defender XDR.
Informace o dalších tabulkách ve schématu rozšířeného proaktivního vyhledávání najdete v referenčních informacích k rozšířenému proaktivnímu vyhledávání.
| Název sloupce | Datový typ | Popis |
|---|---|---|
Timestamp |
datetime |
Datum a čas, kdy byla událost zaznamenána |
DeviceId |
string |
Jedinečný identifikátor zařízení ve službě |
DeviceName |
string |
Plně kvalifikovaný název domény (FQDN) zařízení |
ActionType |
string |
Typ aktivity, která aktivovala událost |
LogonType |
string |
Typ relace přihlášení, konkrétně: - Interaktivní – uživatel fyzicky komunikuje se zařízením pomocí místní klávesnice a obrazovky. - Vzdáleně interaktivní přihlášení (RDP) – Uživatel komunikuje se zařízením vzdáleně pomocí Vzdálené plochy, Terminálové služby, Vzdálené pomoci nebo jiných klientů RDP - Síť – relace spuštěná při přístupu k zařízení pomocí nástroje PsExec nebo při přístupu ke sdíleným prostředkům v zařízení, jako jsou tiskárny a sdílené složky. - Batch – relace iniciovaná naplánovanými úkoly - Služba – relace iniciovaná službami při jejich spuštění |
AccountDomain |
string |
Doména účtu |
AccountName |
string |
Uživatelské jméno účtu |
AccountSid |
string |
Identifikátor zabezpečení (SID) účtu |
Protocol |
string |
Protokol použitý během komunikace |
FailureReason |
string |
Informace vysvětlující, proč se zaznamenaná akce nezdařila |
IsLocalAdmin |
boolean |
Logický indikátor toho, jestli je uživatel místním správcem zařízení |
LogonId |
long |
Identifikátor přihlašovací relace. Tento identifikátor je jedinečný na stejném zařízení pouze mezi restartováními. |
RemoteDeviceName |
string |
Název zařízení, které na dotčeném zařízení provedlo vzdálenou operaci V závislosti na hlášené události může být tímto názvem plně kvalifikovaný název domény(FQDN), název netBIOS nebo název hostitele bez informací o doméně. |
RemoteIP |
string |
IP adresa zařízení, ze kterého se pokus o přihlášení provedl |
RemoteIPType |
string |
Typ IP adresy, například Veřejná, Privátní, Rezervovaná, Zpětná smyčka, Teredo, FourToSixMapping a Všesměrové vysílání |
RemotePort |
int |
Port TCP na vzdáleném zařízení, ke kterému bylo připojeno |
InitiatingProcessAccountDomain |
string |
Doména účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountName |
string |
Uživatelské jméno účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountSid |
string |
Identifikátor zabezpečení (SID) účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountUpn |
string |
Hlavní název uživatele (UPN) účtu, který spustil proces zodpovědný za událost |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID objektu uživatelského účtu, který spustil proces zodpovědný za událost |
InitiatingProcessIntegrityLevel |
string |
Úroveň integrity procesu, který událost inicioval. Systém Windows přiřazuje procesům úrovně integrity na základě určitých charakteristik, například pokud byly spuštěny z internetu ke stažení. Tyto úrovně integrity ovlivňují oprávnění k prostředkům. |
InitiatingProcessTokenElevation |
string |
Typ tokenu označující přítomnost nebo nepřítomnost zvýšení oprávnění user Access Control (UAC) použitého u procesu, který událost inicioval |
InitiatingProcessSHA1 |
string |
Hodnota hash SHA-1 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessSHA256 |
string |
SHA-256 hash procesu (souboru obrázku), který událost inicioval. Toto pole se obvykle nevyplní – pokud je k dispozici, použijte sloupec SHA1. |
InitiatingProcessMD5 |
string |
Hodnota hash MD5 procesu (souboru obrázku), který událost inicioval |
InitiatingProcessFileName |
string |
Název procesu, který událost inicioval |
InitiatingProcessFileSize |
long |
Velikost souboru, který spustil proces zodpovědný za událost |
InitiatingProcessVersionInfoCompanyName |
string |
Název společnosti z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductName |
string |
Název produktu z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoProductVersion |
string |
Verze produktu z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoInternalFileName |
string |
Název interního souboru z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoOriginalFileName |
string |
Původní název souboru z informací o verzi procesu (soubor obrázku) zodpovědného za událost |
InitiatingProcessVersionInfoFileDescription |
string |
Popis z informací o verzi procesu (souboru obrázku) zodpovědného za událost |
InitiatingProcessId |
long |
ID procesu (PID) procesu, který událost inicioval |
InitiatingProcessCommandLine |
string |
Příkazový řádek použitý ke spuštění procesu, který událost inicioval |
InitiatingProcessCreationTime |
datetime |
Datum a čas spuštění procesu, který událost inicioval |
InitiatingProcessFolderPath |
string |
Složka obsahující proces (soubor obrázku), který událost inicioval |
InitiatingProcessParentId |
long |
ID procesu (PID) nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentFileName |
string |
Název nebo úplná cesta nadřazeného procesu, ze kterého vznikl proces zodpovědný za událost |
InitiatingProcessParentCreationTime |
datetime |
Datum a čas spuštění nadřazeného procesu zodpovědného za událost |
ReportId |
long |
Identifikátor události založený na opakujícím se čítači. K identifikaci jedinečných událostí musí být tento sloupec použit ve spojení se sloupci DeviceName a Timestamp. |
AppGuardContainerId |
string |
Identifikátor virtualizovaného kontejneru používaného Ochrana Application Guard k izolaci aktivity prohlížeče |
AdditionalFields |
string |
Další informace o události ve formátu pole JSON |
Poznámka
Kolekce DeviceLogonEvents není podporována na zařízeních s Windows 7 nebo Windows Serverem 2008R2 nasazených do programu Defender for Endpoint. Doporučujeme upgradovat na novější operační systém, abyste měli optimální přehled o aktivitě přihlašování uživatelů.
Související témata
- Přehled rozšířeného proaktivní vyhledávání
- Výuka jazyku dotazu
- Použití sdílených dotazů
- Vyhledávání na různých zařízeních, v e-mailech, aplikacích a identitách
- Pochopení schématu
- Použití doporučených postupů pro dotazy
Tip
Chcete se dozvědět více? Spojte se s komunitou zabezpečení společnosti Microsoft v naší technické komunitě: Technická komunita Microsoft Defender XDR.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro