Share via

IdentityLogonEvents

  • Artikel

Gilt für:

  • Microsoft Defender XDR

Die IdentityLogonEvents Tabelle im Erweiterten Huntingschema enthält Informationen zu Authentifizierungsaktivitäten, die über Ihre lokales Active Directory durchgeführt werden, die von Microsoft Defender for Identity und Authentifizierungsaktivitäten im Zusammenhang mit Microsoft Onlinedienste erfasst werden. Microsoft Defender for Cloud Apps. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Hinweis

In dieser Tabelle werden Microsoft Entra von Defender for Cloud Apps nachverfolgten Anmeldeaktivitäten behandelt, insbesondere interaktive Anmeldungen und Authentifizierungsaktivitäten mit ActiveSync und anderen Legacyprotokollen. Nicht interaktive Anmeldungen, die in dieser Tabelle nicht verfügbar sind, können im Microsoft Entra Überwachungsprotokoll angezeigt werden. Weitere Informationen zum Verbinden von Defender for Cloud Apps mit Microsoft 365

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat. Ausführliche Informationen finden Sie in der Schemareferenz im Portal .
Application string Anwendung, die die aufgezeichnete Aktion ausgeführt hat
LogonType string Typ der Anmeldesitzung. Weitere Informationen finden Sie unter Unterstützte Anmeldetypen.
Protocol string Verwendetes Netzwerkprotokoll
FailureReason string Informationen, die erklären, warum die aufgezeichnete Aktion fehlgeschlagen ist
AccountName string Benutzername des Kontos
AccountDomain string Domäne des Kontos
AccountUpn string Benutzerprinzipalname (UPN) des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
AccountObjectId string Eindeutiger Bezeichner für das Konto in Microsoft Entra ID
AccountDisplayName string Der Name des Kontobenutzers, der im Adressbuch angezeigt wird. In der Regel eine Kombination aus einem vornamen oder einem Vornamen, einem zweiten Vornamen und einem Nachnamen oder Nachnamen.
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
DeviceType string Gerätetyp basierend auf Zweck und Funktionalität, z. B. Netzwerkgerät, Arbeitsstation, Server, Mobilgerät, Spielkonsole oder Drucker
OSPlatform string Plattform des Betriebssystems, das auf dem Gerät ausgeführt wird. Dies gibt bestimmte Betriebssysteme an, einschließlich Variationen innerhalb derselben Familie, z. B. Windows 11, Windows 10 und Windows 7.
IPAddress string IP-Adresse, die dem Endpunkt zugewiesen und während der zugehörigen Netzwerkkommunikation verwendet wird
Port int TCP-Port, der während der Kommunikation verwendet wird
DestinationDeviceName string Name des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationIPAddress string IP-Adresse des Geräts, auf dem die Serveranwendung ausgeführt wird, die die aufgezeichnete Aktion verarbeitet hat
DestinationPort int Zielport der zugehörigen Netzwerkkommunikation
TargetDeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts, auf das die aufgezeichnete Aktion angewendet wurde
TargetAccountDisplayName string Anzeigename des Kontos, auf das die aufgezeichnete Aktion angewendet wurde
Location string Ort, Land/Region oder anderer geografischer Standort, der dem Ereignis zugeordnet ist
Isp string Internetdienstanbieter (ISP), der der Endpunkt-IP-Adresse zugeordnet ist
ReportId string Eindeutiger Bezeichner für das Ereignis
AdditionalFields dynamic Zusätzliche Informationen zur Entität oder zum Ereignis

Unterstützte Anmeldetypen

In der folgenden Tabelle sind die unterstützten Werte für die LogonType Spalte aufgeführt.

Anmeldetyp Überwachte Aktivität Beschreibung
Anmeldetyp 2 Validierung von Anmeldeinformationen Domänenkontoauthentifizierungsereignis mithilfe der NTLM- und Kerberos-Authentifizierungsmethoden.
Anmeldetyp 2 Interaktive Anmeldung Der Benutzer erhält Netzwerkzugriff, indem er einen Benutzernamen und ein Kennwort (Authentifizierungsmethode Kerberos oder NTLM) eingegeben hat.
Anmeldetyp 2 Interaktive Anmeldung mit Zertifikat Der Benutzer hat mithilfe eines Zertifikats Netzwerkzugriff erhalten.
Anmeldetyp 2 VPN-Verbindung Benutzerverbindung per VPN: Authentifizierung mithilfe des RADIUS-Protokolls.
Anmeldetyp 3 Ressourcenzugriff Der Benutzer hat mithilfe der Kerberos- oder NTLM-Authentifizierung auf eine Ressource zugegriffen.
Anmeldetyp 3 Delegierter Ressourcenzugriff Der Benutzer hat mithilfe der Kerberos-Delegierung auf eine Ressource zugegriffen.
Anmeldetyp 8 LDAP-Klartext Der Benutzer wurde mithilfe von LDAP mit einem Klartextkennwort authentifiziert (einfache Authentifizierung).
Anmeldetyp 10 Remote Desktop Der Benutzer hat mithilfe der Kerberos-Authentifizierung eine RDP-Sitzung auf einem Remotecomputer ausgeführt.
--- Fehlgeschlagene Anmeldung Fehler beim Authentifizierungsversuch des Domänenkontos (über NTLM und Kerberos): Das Konto wurde deaktiviert/abgelaufen/gesperrt/ein nicht vertrauenswürdiges Zertifikat verwendet, oder es wurde ein ungültiges Anmeldestunden/altes Kennwort/abgelaufenes Kennwort/falsches Kennwort verwendet.
--- Fehler bei der Anmeldung mit Zertifikat Fehler beim Authentifizierungsversuch des Domänenkontos (über Kerberos): Konto wurde deaktiviert/abgelaufen/gesperrt/verwendet ein nicht vertrauenswürdiges Zertifikat oder aufgrund ungültiger Anmeldestunden/ungültiges Kennwort/abgelaufenes Kennwort/falsches Kennwort.

Tipp

Möchten Sie mehr erfahren? Engage mit der Microsoft-Sicherheitscommunity in unserer Tech Community: Microsoft Defender XDR Tech Community.