DeviceLogonEvents
Se aplica a:
- Microsoft Defender XDR
- Microsoft Defender para punto de conexión
La DeviceLogonEvents
tabla del esquema de búsqueda avanzada contiene información sobre los inicios de sesión de usuario y otros eventos de autenticación en los dispositivos. Utilice esta referencia para crear consultas que devuelvan información sobre la tabla.
Sugerencia
Para obtener información detallada sobre los tipos de eventos (ActionType
valores) admitidos por una tabla, use la referencia de esquema integrada disponible en Microsoft Defender XDR.
Para obtener información sobre otras tablas del esquema de búsqueda avanzada, vea la referencia de búsqueda avanzada.
Nombre de columna | Tipo de datos | Descripción |
---|---|---|
Timestamp |
datetime |
Fecha y hora en que se registró el evento. |
DeviceId |
string |
Identificador único del dispositivo en el servicio |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
ActionType |
string |
Tipo de actividad que desencadenó el evento |
LogonType |
string |
Tipo de sesión de inicio de sesión, en concreto: - Interactivo : el usuario interactúa físicamente con el dispositivo mediante el teclado y la pantalla locales - Inicios de sesión interactivos remotos (RDP): el usuario interactúa con el dispositivo de forma remota mediante Escritorio remoto, Terminal Services, Asistencia remota u otros clientes RDP - Red : sesión iniciada cuando se accede al dispositivo mediante PsExec o cuando se accede a recursos compartidos en el dispositivo, como impresoras y carpetas compartidas. - Batch : sesión iniciada por tareas programadas - Servicio : sesión iniciada por los servicios a medida que comienzan |
AccountDomain |
string |
Dominio de la cuenta |
AccountName |
string |
Nombre de usuario de la cuenta |
AccountSid |
string |
Identificador de seguridad (SID) de la cuenta |
Protocol |
string |
Protocolo usado durante la comunicación |
FailureReason |
string |
Información que explica por qué se produjo un error en la acción registrada |
IsLocalAdmin |
boolean |
Indicador booleano de si el usuario es un administrador local en el dispositivo |
LogonId |
long |
Identificador de una sesión de inicio de sesión. Este identificador es único en el mismo dispositivo solo entre reinicios. |
RemoteDeviceName |
string |
Nombre del dispositivo que realizó una operación remota en el dispositivo afectado. Según el evento que se notifica, este nombre podría ser un nombre de dominio completo (FQDN), un nombre NetBIOS o un nombre de host sin información de dominio. |
RemoteIP |
string |
Dirección IP del dispositivo desde el que se realizó el intento de inicio de sesión |
RemoteIPType |
string |
Tipo de dirección IP, por ejemplo Public, Private, Reserved, Loopback, Teredo, FourToSixMapping y Broadcast |
RemotePort |
int |
Puerto TCP en el dispositivo remoto al que se estaba conectando |
InitiatingProcessAccountDomain |
string |
Dominio de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountName |
string |
Nombre de usuario de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountSid |
string |
Identificador de seguridad (SID) de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta que ejecutó el proceso responsable del evento |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identificador de objeto de la cuenta de usuario que ejecutó el proceso responsable del evento |
InitiatingProcessIntegrityLevel |
string |
Nivel de integridad del proceso que inició el evento. Windows asigna niveles de integridad a los procesos en función de ciertas características, como si se iniciaran desde una descarga de Internet. Estos niveles de integridad influyen en los permisos de los recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica la presencia o ausencia de elevación de privilegios de Access Control de usuario (UAC) aplicada al proceso que inició el evento |
InitiatingProcessSHA1 |
string |
Hash SHA-1 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessSHA256 |
string |
Hash SHA-256 del proceso (archivo de imagen) que inició el evento. Este campo normalmente no se rellena: use la columna SHA1 cuando esté disponible. |
InitiatingProcessMD5 |
string |
Hash MD5 del proceso (archivo de imagen) que inició el evento |
InitiatingProcessFileName |
string |
Nombre del archivo de proceso que inició el evento; si no está disponible, el nombre del proceso que inició el evento podría mostrarse en su lugar. |
InitiatingProcessFileSize |
long |
Tamaño del archivo que ejecutó el proceso responsable del evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nombre de la empresa de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductName |
string |
Nombre del producto de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versión del producto a partir de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nombre de archivo interno de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nombre de archivo original de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descripción de la información de versión del proceso (archivo de imagen) responsable del evento |
InitiatingProcessId |
long |
Identificador de proceso (PID) del proceso que inició el evento |
InitiatingProcessCommandLine |
string |
Línea de comandos usada para ejecutar el proceso que inició el evento |
InitiatingProcessCreationTime |
datetime |
Fecha y hora en que se inició el proceso que inició el evento |
InitiatingProcessFolderPath |
string |
Carpeta que contiene el proceso (archivo de imagen) que inició el evento |
InitiatingProcessParentId |
long |
Identificador de proceso (PID) del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentFileName |
string |
Nombre o ruta de acceso completa del proceso primario que generó el proceso responsable del evento |
InitiatingProcessParentCreationTime |
datetime |
Fecha y hora en que se inició el elemento primario del proceso responsable del evento |
ReportId |
long |
Identificador de eventos basado en un contador de repetición. Para identificar eventos únicos, esta columna debe usarse junto con las columnas DeviceName y Timestamp. |
AppGuardContainerId |
string |
Identificador del contenedor virtualizado usado por Protección de aplicaciones para aislar la actividad del explorador |
AdditionalFields |
string |
Información adicional sobre el evento en formato de matriz JSON |
InitiatingProcessSessionId |
long |
Identificador de sesión de Windows del proceso de inicio |
IsInitiatingProcessRemoteSession |
bool |
Indica si el proceso de inicio se ejecutó en una sesión de protocolo de escritorio remoto (RDP) (true) o localmente (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nombre del dispositivo remoto desde el que se inició la sesión rdp del proceso de inicio |
InitiatingProcessRemoteSessionIP |
string |
Dirección IP del dispositivo remoto desde el que se inició la sesión RDP del proceso de inicio |
Nota:
La colección de DeviceLogonEvents no se admite en dispositivos Windows 7 o Windows Server 2008R2 incorporados a Defender para punto de conexión. Se recomienda actualizar a un sistema operativo más reciente para obtener una visibilidad óptima de la actividad de inicio de sesión del usuario.
Temas relacionados
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Usar consultas compartidas
- Buscar entre dispositivos, correos electrónicos, aplicaciones e identidades
- Entender el esquema
- Aplicar procedimientos recomendados de consulta
Sugerencia
¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.