Jaa


IdentityLogonEvents

Koskee seuraavia:

  • Microsoft Defender XDR

IdentityLogonEventsKehittyneen metsästysrakenteen taulukko sisältää tietoja paikallinen Active Directory kautta tehdyistä todentamistoimista, jotka on tallentanut Microsoft Defender for Identity, ja Microsoft online-palvelut liittyvät todentamistoiminnot, jotka on tallentanut Microsoft Defender for Cloud Apps. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Vihje

Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.

Huomautus

Tässä taulukossa käsitellään Defender for Cloud Appsin seuraamia Microsoft Entra kirjautumistoimintoja, erityisesti vuorovaikutteisia kirjautumisia ja todennustoimintoja ActiveSyncin ja muiden vanhojen protokollien avulla. Ei-vuorovaikutteisia kirjautumisia, jotka eivät ole käytettävissä tässä taulukossa, voidaan tarkastella valvontalokin Microsoft Entra. Lue lisätietoja Defender for Cloud Appsin yhdistämisestä Microsoft 365:een

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ActionType string Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa
Application string Sovellus, joka suoritti tallennetun toiminnon
LogonType string Kirjautumisistunnon tyyppi. Lisätietoja on kohdassa Tuetut kirjautumistyypit.
Protocol string Verkkoprotokolla käytössä
FailureReason string Tiedot, jotka selittävät, miksi tallennettu toiminto epäonnistui
AccountName string Tilin käyttäjänimi
AccountDomain string Tilin toimialue
AccountUpn string Tilin täydellinen käyttäjätunnus (UPN)
AccountSid string Tilin suojaustunnus (SID)
AccountObjectId string Tilin yksilöllinen tunnus Microsoft Entra ID
AccountDisplayName string Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen alkukirjaimen ja sukunimen tai sukunimen yhdistelmä.
DeviceName string Laitteen täydellinen toimialuenimi (FQDN)
DeviceType string Laitteen tyyppi tarkoituksen ja toiminnallisuuden, kuten verkkolaitteen, työaseman, palvelimen, mobiililaitteen, pelikonsolin tai tulostimen, perusteella
OSPlatform string Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien samassa perheessä olevia muunnelmia, kuten Windows 11, Windows 10 ja Windows 7.
IPAddress string Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana
Port int TCP-portti, jota käytetään viestinnän aikana
DestinationDeviceName string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi
DestinationIPAddress string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite
DestinationPort int Liittyvän verkkoliikenteen kohdeportti
TargetDeviceName string Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin
TargetAccountDisplayName string Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin
Location string Kaupunki, maa/alue tai muu tapahtumaan liittyvä maantieteellinen sijainti
Isp string Päätepisteen IP-osoitteeseen liitetty Internet-palveluntarjoaja
ReportId string Tapahtuman yksilöllinen tunnus
AdditionalFields dynamic Lisätietoja entiteetistä tai tapahtumasta

Tuetut kirjautumistyypit

Seuraavassa taulukossa on lueteltu sarakkeen LogonType tuetut arvot.

Kirjautumistyyppi Valvottu toiminta Kuvaus
Kirjautumistyyppi 2 Tunnistetietojen vahvistus Toimialuetilin todentamistapahtuma NTLM- ja Kerberos-todennusmenetelmiä käyttämällä.
Kirjautumistyyppi 2 Vuorovaikutteinen kirjautuminen Käyttäjä sai verkkoyhteyden antamalla käyttäjänimen ja salasanan (todennusmenetelmä Kerberos tai NTLM).
Kirjautumistyyppi 2 Vuorovaikutteinen kirjautuminen ja varmenne Käyttäjä sai verkkoyhteyden varmenteen avulla.
Kirjautumistyyppi 2 VPN-yhteys Vpn-yhteyden muodostanut käyttäjä – Todennus RADIUS-protokollan avulla.
Kirjautumistyyppi 3 Resurssien käyttö Käyttäjä käytti resurssia Kerberos- tai NTLM-todennuksella.
Kirjautumistyyppi 3 Delegoidun resurssin käyttö Käyttäjä on käyttänyt resurssia Kerberos-delegoinnin avulla.
Kirjautumistyyppi 8 LDAP Cleartext Käyttäjä todennettu LDAP:n avulla tekstimuotoisen salasanan avulla (yksinkertainen todennus).
Kirjautumistyyppi 10 Etätyöpöytä Käyttäjä suoritti RDP-istunnon etätietokoneella Kerberos-todennuksen avulla.
--- Kirjautuminen epäonnistui Toimialuetili epäonnistui todennusyrityksessä (NTLM:n ja Kerberoksen kautta) seuraavista syistä: tili poistettiin käytöstä/ vanhentui/ lukittiin/käytettiin ei-luotettu varmenne tai virheellisen kirjautumistunnin/vanhan salasanan/vanhentuneen salasanan/väärän salasanan vuoksi.
--- Kirjautuminen varmenteeseen epäonnistui Toimialuetili epäonnistui todennusyrityksessä (Kerberoksen kautta) seuraavan takia: tili poistettiin käytöstä/ vanhentui/lukittiin/käytettiin ei-luotettu varmenne tai virheellisen kirjautumisajan/vanhan salasanan/ vanhentuneen salasanan/väärän salasanan vuoksi.

Vihje

Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.