IdentityLogonEvents
Se aplica a:
- Microsoft Defender XDR
La IdentityLogonEvents tabla del esquema de búsqueda avanzada contiene información sobre las actividades de autenticación realizadas a través de la Active Directory local capturadas por Microsoft Defender for Identity y las actividades de autenticación relacionadas con Microsoft servicios en línea capturadas por Microsoft Defender for Cloud Apps. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Nota:
En esta tabla se tratan Microsoft Entra actividades de inicio de sesión a las que realiza el seguimiento Defender for Cloud Apps, específicamente los inicios de sesión interactivos y las actividades de autenticación mediante ActiveSync y otros protocolos heredados. Los inicios de sesión no interactivos que no están disponibles en esta tabla se pueden ver en el registro de auditoría de Microsoft Entra. Más información sobre cómo conectar Defender for Cloud Apps a Microsoft 365
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
| Nombre de columna | Tipo de datos | Descripción |
|---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
ActionType |
string |
Tipo de actividad que desencadenó el evento. Consulte la referencia de esquema en el portal para obtener más información. |
Application |
string |
Aplicación que realizó la acción registrada |
LogonType |
string |
Tipo de sesión de inicio de sesión. Para obtener más información, vea Tipos de inicio de sesión admitidos. |
Protocol |
string |
Protocolo de red usado |
FailureReason |
string |
Información que explica por qué se produjo un error en la acción registrada |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountDomain |
string |
Dominio de la cuenta |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountDisplayName |
string |
Nombre del usuario de la cuenta que se muestra en la libreta de direcciones. Normalmente es una combinación de un nombre o nombre determinado, un inicial intermedio y un apellido o apellido. |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
DeviceType |
string |
Tipo de dispositivo basado en el propósito y la funcionalidad, como dispositivo de red, estación de trabajo, servidor, móvil, consola de juegos o impresora |
OSPlatform |
string |
Plataforma del sistema operativo que se ejecuta en el dispositivo. Esto indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7. |
IPAddress |
string |
Dirección IP asignada al punto de conexión y usada durante las comunicaciones de red relacionadas |
Port |
int |
Puerto TCP usado durante la comunicación |
DestinationDeviceName |
string |
Nombre del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationIPAddress |
string |
Dirección IP del dispositivo que ejecuta la aplicación de servidor que procesó la acción registrada |
DestinationPort |
int |
Puerto de destino de las comunicaciones de red relacionadas |
TargetDeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo al que se aplicó la acción registrada |
TargetAccountDisplayName |
string |
Nombre para mostrar de la cuenta a la que se aplicó la acción registrada |
Location |
string |
Ciudad, país o región u otra ubicación geográfica asociada al evento |
Isp |
string |
Proveedor de servicios de Internet (ISP) asociado a la dirección IP del punto de conexión |
ReportId |
string |
Identificador único del evento |
AdditionalFields |
dynamic |
Información adicional sobre la entidad o el evento |
Tipos de inicio de sesión admitidos
En la tabla siguiente se enumeran los valores admitidos para la LogonType columna.
| Tipo de inicio de sesión | Actividad supervisada | Descripción |
|---|---|---|
| Tipo de inicio de sesión 2 | Validación de credenciales | Evento de autenticación de cuenta de dominio mediante los métodos de autenticación NTLM y Kerberos. |
| Tipo de inicio de sesión 2 | Inicio de sesión interactivo | El usuario obtuvo acceso a la red escribiendo un nombre de usuario y una contraseña (método de autenticación Kerberos o NTLM). |
| Tipo de inicio de sesión 2 | Inicio de sesión interactivo con certificado | El usuario obtuvo acceso a la red mediante un certificado. |
| Tipo de inicio de sesión 2 | Conexión VPN | Usuario conectado mediante VPN: autenticación mediante el protocolo RADIUS. |
| Tipo de inicio de sesión 3 | Acceso a recursos | El usuario ha accedido a un recurso mediante la autenticación Kerberos o NTLM. |
| Tipo de inicio de sesión 3 | Acceso a recursos delegados | El usuario ha accedido a un recurso mediante la delegación de Kerberos. |
| Tipo de inicio de sesión 8 | Texto no cifrado LDAP | El usuario se autentica mediante LDAP con una contraseña de texto no cifrado (autenticación simple). |
| Tipo de inicio de sesión 10 | Escritorio remoto | El usuario realizó una sesión RDP en un equipo remoto mediante la autenticación Kerberos. |
| --- | Inicio de sesión con errores | Error en el intento de autenticación de la cuenta de dominio (a través de NTLM y Kerberos) debido a lo siguiente: la cuenta se deshabilitó, expiró, bloqueó o usó un certificado que no era de confianza o debido a horas de inicio de sesión no válidas, contraseña antigua, contraseña expirada o contraseña incorrecta. |
| --- | Inicio de sesión con error con certificado | Error en el intento de autenticación de la cuenta de dominio (a través de Kerberos) debido a lo siguiente: la cuenta se deshabilitó, expiró, bloqueó o usó un certificado que no era de confianza o debido a horas de inicio de sesión no válidas, contraseña antigua, contraseña expirada o contraseña incorrecta. |
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de