Compartir vía


DeviceLogonEvents

Se aplica a:

  • Microsoft Defender XDR
  • Microsoft Defender para punto de conexión

La DeviceLogonEvents tabla del esquema de búsqueda avanzada contiene información sobre los inicios de sesión de usuario y otros eventos de autenticación en los dispositivos. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.

Sugerencia

Para obtener información detallada sobre los tipos de eventos (ActionTypevalores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.

Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.

Nombre de columna Tipo de datos Descripción
Timestamp datetime Fecha y hora en que se registró el evento.
DeviceId string Identificador único del dispositivo en el servicio
DeviceName string Nombre de dominio completo (FQDN) del dispositivo
ActionType string Tipo de actividad que desencadenó el evento
LogonType string Tipo de sesión de inicio de sesión, en concreto:

- Interactivo : el usuario interactúa físicamente con el dispositivo mediante el teclado y la pantalla locales

- Inicios de sesión interactivos remotos (RDP): el usuario interactúa con el dispositivo de forma remota mediante Escritorio remoto, Terminal Services, Asistencia remota u otros clientes RDP

- Red : sesión iniciada cuando se accede al dispositivo mediante PsExec o cuando se accede a recursos compartidos en el dispositivo, como impresoras y carpetas compartidas.

- Batch : sesión iniciada por tareas programadas

- Servicio : sesión iniciada por los servicios a medida que comienzan
AccountDomain string Dominio de la cuenta
AccountName string Nombre de usuario de la cuenta
AccountSid string Identificador de seguridad (SID) de la cuenta
Protocol string Protocolo usado durante la comunicación
FailureReason string Información que explica por qué se produjo un error en la acción registrada
IsLocalAdmin boolean Indicador booleano de si el usuario es un administrador local en el dispositivo
LogonId long Identificador de una sesión de inicio de sesión. Este identificador es único en el mismo dispositivo solo entre reinicios.
RemoteDeviceName string Nombre del dispositivo que realizó una operación remota en el dispositivo afectado. Según el evento que se notifica, este nombre podría ser un nombre de dominio completo (FQDN), un nombre NetBIOS o un nombre de host sin información de dominio.
RemoteIP string Dirección IP del dispositivo desde el que se realizó el intento de inicio de sesión
RemoteIPType string Tipo de dirección IP, por ejemplo Public, Private, Reserved, Loopback, Teredo, FourToSixMapping y Broadcast
RemotePort int Puerto TCP en el dispositivo remoto al que se estaba conectando
InitiatingProcessAccountDomain string Dominio de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountName string Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountSid string Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountUpn string Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento
InitiatingProcessAccountObjectId string Microsoft Entra identificador de objeto de la cuenta de usuario que ejecutó el proceso responsable del evento
InitiatingProcessIntegrityLevel string Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de ciertas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos.
InitiatingProcessTokenElevation string Tipo de token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso que inició el evento
InitiatingProcessSHA1 string Hash SHA-1 del proceso (archivo de imagen) que inició el evento
InitiatingProcessSHA256 string Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible.
InitiatingProcessMD5 string Hash MD5 del proceso (archivo de imagen) que inició el evento
InitiatingProcessFileName string Nombre del archivo de proceso que inició el evento; si no está disponible, el nombre del proceso que inició el evento podría mostrarse en su lugar.
InitiatingProcessFileSize long Tamaño del archivo que ejecutó el proceso responsable del evento
InitiatingProcessVersionInfoCompanyName string Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoProductName string Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoProductVersion string Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoInternalFileName string Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoOriginalFileName string Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessVersionInfoFileDescription string Descripción de la información de versión del proceso (archivo de imagen) responsable del evento
InitiatingProcessId long Identificador de proceso (PID) del proceso que inició el evento
InitiatingProcessCommandLine string Línea de comandos usada para ejecutar el proceso que inició el evento
InitiatingProcessCreationTime datetime Fecha y hora en que se inició el proceso que inició el evento
InitiatingProcessFolderPath string Carpeta que contiene el proceso (archivo de imagen) que inició el evento
InitiatingProcessParentId long Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento
InitiatingProcessParentFileName string Nombre o ruta de acceso completa del proceso primario que generó el proceso responsable del evento
InitiatingProcessParentCreationTime datetime Fecha y hora en que se inició el elemento primario del proceso responsable del evento
ReportId long Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp.
AppGuardContainerId string Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador
AdditionalFields string Información adicional sobre el evento en formato de matriz JSON
InitiatingProcessSessionId long Identificador de sesión de Windows del proceso de inicio
IsInitiatingProcessRemoteSession bool Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false)
InitiatingProcessRemoteSessionDeviceName string Nombre del dispositivo remoto desde el que se inició la sesión rdp del proceso de inicio
InitiatingProcessRemoteSessionIP string Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso de inicio

Nota:

La colección de DeviceLogonEvents no se admite en dispositivos Windows 7 o Windows Server 2008R2 incorporados a Defender para punto de conexión. Se recomienda actualizar a un sistema operativo más reciente para obtener una visibilidad óptima de la actividad de inicio de sesión del usuario.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.