Compartir a través de


IdentityLogonEvents

Se aplica a:

  • Microsoft Defender XDR

La IdentityLogonEvents tabla del esquema de búsqueda avanzada contiene información sobre las actividades de autenticación realizadas a través de la Active Directory local capturadas por Microsoft Defender for Identity y las actividades de autenticación relacionadas con Microsoft servicios en línea capturadas por Microsoft Defender for Cloud Apps. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Nota:

En esta tabla se tratan Microsoft Entra actividades de inicio de sesión a las que realiza el seguimiento Defender for Cloud Apps, específicamente los inicios de sesión interactivos y las actividades de autenticación mediante ActiveSync y otros protocolos heredados. Los inicios de sesión no interactivos que no están disponibles en esta tabla se pueden ver en el registro de auditoría de Microsoft Entra. Más información sobre cómo conectar Defender for Cloud Apps a Microsoft 365

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
ActionType string Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información.
Application string Aplicación que realizó la acción registrada
LogonType string Tipo de sesión de inicio de sesión. Para obtener más información, vea Tipos de inicio de sesión admitidos.
Protocol string Protocolo de red usado
FailureReason string Información que explica por qué se produjo un error en la acción registrada
AccountName string Nombre de usuario de la cuenta
AccountDomain string Dominio de la cuenta
AccountUpn string Nombre principal de usuario (UPN) de la cuenta
AccountSid string Identificador de seguridad (SID) de la cuenta
AccountObjectId string Identificador único de la cuenta en Microsoft Entra ID
AccountDisplayName string Nombre del usuario de la cuenta que se muestra en la libreta de direcciones. Normalmente es una combinación de un nombre o nombre determinado, un inicial intermedio y un apellido o apellido.
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
DeviceType string Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora
OSPlatform string Plataforma del sistema operativo que se ejecuta en el dispositivo. Esto indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7.
IPAddress string Dirección IP asignada al punto de conexión y usada durante las comunicaciones de red relacionadas
Port int Puerto TCP usado durante la comunicación
DestinationDeviceName string Nombre del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada
DestinationIPAddress string Dirección IP del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada
DestinationPort int Puerto de destino de las comunicaciones de red relacionadas
TargetDeviceName string Nombre de dominio completo (FQDN) del dispositivo al que se aplicó la acción registrada
TargetAccountDisplayName string Nombre para mostrar de la cuenta a la que se aplicó la acción registrada
Location string Ciudad, país o región u otra ubicación geográfica asociada al evento
Isp string Proveedor de servicios de Internet (ISP) asociado a la dirección IP del punto de conexión
ReportId string Identificador único del evento
AdditionalFields dynamic Información adicional sobre la entidad o el evento

Tipos de inicio de sesión admitidos

En la tabla siguiente se enumeran los valores admitidos para la LogonType columna.

Tipo de inicio de sesión Actividad supervisada Descripción
Tipo de inicio de sesión 2 Validación de credenciales Evento de autenticación de cuenta de dominio mediante los métodos de autenticación NTLM y Kerberos.
Tipo de inicio de sesión 2 Inicio de sesión interactivo El usuario obtuvo acceso a la red escribiendo un nombre de usuario y una contraseña (método de autenticación Kerberos o NTLM).
Tipo de inicio de sesión 2 Inicio de sesión interactivo con certificado El usuario obtuvo acceso a la red mediante un certificado.
Tipo de inicio de sesión 2 Conexión VPN Usuario conectado mediante VPN: autenticación mediante el protocolo RADIUS.
Tipo de inicio de sesión 3 Acceso a recursos El usuario ha accedido a un recurso mediante la autenticación Kerberos o NTLM.
Tipo de inicio de sesión 3 Acceso a recursos delegados El usuario ha accedido a un recurso mediante la delegación de Kerberos.
Tipo de inicio de sesión 8 Texto no cifrado LDAP El usuario se autentica mediante LDAP con una contraseña de texto no cifrado (autenticación simple).
Tipo de inicio de sesión 10 Escritorio remoto El usuario realizó una sesión RDP en un equipo remoto mediante la autenticación Kerberos.
--- Inicio de sesión con errores Error en el intento de autenticación de la cuenta de dominio (a través de NTLM y Kerberos) debido a lo siguiente: la cuenta se deshabilitó, expiró, bloqueó o usó un certificado que no era de confianza o debido a horas de inicio de sesión no válidas, contraseña antigua, contraseña expirada o contraseña incorrecta.
--- Inicio de sesión con error con certificado Error en el intento de autenticación de la cuenta de dominio (a través de Kerberos) debido a lo siguiente: la cuenta se deshabilitó, expiró, bloqueó o usó un certificado que no era de confianza o debido a horas de inicio de sesión no válidas, contraseña antigua, contraseña expirada o contraseña incorrecta.

Sugerencia

¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.