IdentityLogonEvents
Koskee seuraavia:
- Microsoft Defender XDR
IdentityLogonEventsKehittyneen metsästysrakenteen taulukko sisältää tietoja paikallinen Active Directory kautta tehdyistä todentamistoimista, jotka on tallentanut Microsoft Defender for Identity, ja Microsoft online-palvelut liittyvät todentamistoiminnot, jotka on tallentanut Microsoft Defender for Cloud Apps. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Huomautus
Tässä taulukossa käsitellään Defender for Cloud Appsin seuraamia Microsoft Entra kirjautumistoimintoja, erityisesti vuorovaikutteisia kirjautumisia ja todennustoimintoja ActiveSyncin ja muiden vanhojen protokollien avulla. Ei-vuorovaikutteisia kirjautumisia, jotka eivät ole käytettävissä tässä taulukossa, voidaan tarkastella valvontalokin Microsoft Entra. Lue lisätietoja Defender for Cloud Appsin yhdistämisestä Microsoft 365:een
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
ActionType |
string |
Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
LogonType |
string |
Kirjautumisistunnon tyyppi. Lisätietoja on kohdassa Tuetut kirjautumistyypit. |
Protocol |
string |
Verkkoprotokolla käytössä |
FailureReason |
string |
Tiedot, jotka selittävät, miksi tallennettu toiminto epäonnistui |
AccountName |
string |
Tilin käyttäjänimi |
AccountDomain |
string |
Tilin toimialue |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
AccountSid |
string |
Tilin suojaustunnus (SID) |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountDisplayName |
string |
Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä. |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
DeviceType |
string |
Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien samassa perheessä olevia muunnelmia, kuten Windows 11, Windows 10 ja Windows 7. |
IPAddress |
string |
Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana |
Port |
int |
TCP-portti, jota käytetään viestinnän aikana |
DestinationDeviceName |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi |
DestinationIPAddress |
string |
Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite |
DestinationPort |
int |
Liittyvän verkkoliikenteen kohdeportti |
TargetDeviceName |
string |
Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin |
TargetAccountDisplayName |
string |
Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin |
Location |
string |
Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti |
Isp |
string |
Päätepisteen IP-osoitteeseen liitetty Internet-palveluntarjoaja |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
AdditionalFields |
dynamic |
Lisätietoja entiteetistä tai tapahtumasta |
Tuetut kirjautumistyypit
Seuraavassa taulukossa on lueteltu sarakkeen LogonType tuetut arvot.
| Kirjautumistyyppi | Valvottu toiminta | Kuvaus |
|---|---|---|
| Kirjautumistyyppi 2 | Tunnistetietojen vahvistus | Toimialuetilin todentamistapahtuma NTLM- ja Kerberos-todennusmenetelmiä käyttämällä. |
| Kirjautumistyyppi 2 | Vuorovaikutteinen kirjautuminen | Käyttäjä sai verkkoyhteyden antamalla käyttäjänimen ja salasanan (todennusmenetelmä Kerberos tai NTLM). |
| Kirjautumistyyppi 2 | Vuorovaikutteinen kirjautuminen ja varmenne | Käyttäjä sai verkkoyhteyden varmenteen avulla. |
| Kirjautumistyyppi 2 | VPN-yhteys | Vpn-yhteyden muodostanut käyttäjä – Todennus RADIUS-protokollan avulla. |
| Kirjautumistyyppi 3 | Resurssien käyttö | Käyttäjä käytti resurssia Kerberos- tai NTLM-todennuksella. |
| Kirjautumistyyppi 3 | Delegoidun resurssin käyttö | Käyttäjä on käyttänyt resurssia Kerberos-delegoinnin avulla. |
| Kirjautumistyyppi 8 | LDAP Cleartext | Käyttäjä todennettu LDAP:n avulla tekstimuotoisen salasanan avulla (yksinkertainen todennus). |
| Kirjautumistyyppi 10 | Etätyöpöytä | Käyttäjä suoritti RDP-istunnon etätietokoneella Kerberos-todennuksen avulla. |
| --- | Kirjautuminen epäonnistui | Toimialuetili epäonnistui todennusyrityksessä (NTLM:n ja Kerberoksen kautta) seuraavista syistä: tili poistettiin käytöstä/ vanhentui/ lukittiin/käytettiin ei-luotettu varmenne tai virheellisen kirjautumistunnin/vanhan salasanan/vanhentuneen salasanan/väärän salasanan vuoksi. |
| --- | Kirjautuminen varmenteeseen epäonnistui | Toimialuetili epäonnistui todennusyrityksessä (Kerberoksen kautta) seuraavan takia: tili poistettiin käytöstä/ vanhentui/lukittiin/käytettiin ei-luotettu varmenne tai virheellisen kirjautumisajan/vanhan salasanan/ vanhentuneen salasanan/väärän salasanan vuoksi. |
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.
Palaute
Tulossa pian: Vuoden 2024 aikana poistamme asteittain GitHub Issuesin käytöstä sisällön palautemekanismina ja korvaamme sen uudella palautejärjestelmällä. Lisätietoja on täällä: https://aka.ms/ContentUserFeedback.
Lähetä ja näytä palaute kohteelle