IdentityLogonEvents

  • Artikkeli

Huomautus

Haluatko kokea Microsoft 365 Defender? Lue lisätietoja siitä, miten voit arvioida ja kokeilla Microsoft 365 Defender.

Koskee seuraavia:

  • Microsoft 365 Defender

IdentityLogonEventsKehittyneen metsästyksen rakenteen taulukko sisältää tietoja paikallinen Active Directory kautta tehdyistä todentamistoimista, jotka on tallentanut Microsoft Defender for Identity, ja Microsoft online-palvelut liittyvät todentamistoiminnot, jotka on tallentanut Microsoft Defender for Cloud Apps. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.

Vihje

Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft 365 Defender käytettävissä olevaa sisäistä rakenneviittausta.

Huomautus

Tämä taulukko kattaa Azure Active Directoryn (Azure AD) kirjautumistoiminnot, joita Defender for Cloud Apps seuraa, erityisesti vuorovaikutteiset kirjautumiset ja todentamistoiminnot ActiveSyncin ja muiden vanhojen protokollien avulla. Ei-vuorovaikutteisia kirjautumisia, jotka eivät ole käytettävissä tässä taulukossa, voidaan tarkastella valvontalokin Azure AD. Lue lisätietoja Defender for Cloud Appsin yhdistämisestä Microsoft 365:een

Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.

Sarakkeen nimi Tietotyyppi Kuvaus
Timestamp datetime Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin
ActionType string Tapahtuman käynnistäneen toiminnan tyyppi. Lisätietoja on portaalin rakenneviittauksen kohdassa
Application string Sovellus, joka suoritti tallennetun toiminnon
LogonType string Kirjautumisistunnon tyyppi, erityisesti:

- Interactive – Käyttäjä on fyysisesti vuorovaikutuksessa tietokoneen kanssa paikallisen näppäimistön ja näytön avulla

- Vuorovaikutteiset etäkirjautumiset ( RDP) – Käyttäjä on etäyhteydessä tietokoneen kanssa etätyöpöydän, päätepalvelujen, etätuen tai muiden RDP-asiakkaiden avulla

- Verkko – Istunto aloitettiin, kun konetta käytetään PsExecillä tai kun tietokoneessa käytetään jaettuja resursseja, kuten tulostimia ja jaettuja kansioita

- Batch – Ajoitettujen tehtävien aloittama istunto

- Palvelu – Palveluiden aloittama istunto niiden käynnistyessä
Protocol string Verkkoprotokolla käytössä
FailureReason string Tiedot, jotka selittävät, miksi tallennettu toiminto epäonnistui
AccountName string Tilin käyttäjänimi
AccountDomain string Tilin toimialue
AccountUpn string Tilin täydellinen käyttäjätunnus (UPN)
AccountSid string Tilin suojaustunnus (SID)
AccountObjectId string Azure AD tilin yksilöllinen tunnus
AccountDisplayName string Sen tilin käyttäjän nimi, joka näkyy osoitteistossa. Yleensä annetun tai etunimen, keskimmäisen käynnistyksen ja sukunimen tai sukunimen yhdistelmä.
DeviceName string Laitteen täydellinen toimialuenimi (FQDN)
DeviceType string Laitteen tyyppi
OSPlatform string Tietokoneessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Tämä ilmaisee tiettyjä käyttöjärjestelmiä, mukaan lukien samassa perheessä olevia muunnelmia, kuten Windows 11, Windows 10 ja Windows 7.
IPAddress string Päätepisteeseen määritetty IP-osoite, jota käytetään liittyvän verkkoviestinnän aikana
Port string TCP-portti, jota käytetään viestinnän aikana
DestinationDeviceName string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen nimi
DestinationIPAddress string Tallennetun toiminnon käsitelleen palvelinsovelluksen suorittaneen laitteen IP-osoite
DestinationPort string Liittyvän verkkoliikenteen kohdeportti
TargetDeviceName string Sen laitteen täydellinen toimialuenimi (FQDN), johon tallennettu toiminto suoritettiin
TargetAccountDisplayName string Sen tilin näyttönimi, jossa tallennettua toimintoa käytettiin
Location string Tapahtumaan liittyvä kaupunki, maa tai muu maantieteellinen sijainti
Isp string Päätepisteen IP-osoitteeseen liitetty Internet-palveluntarjoaja
ReportId long Tapahtuman yksilöllinen tunnus
AdditionalFields string Lisätietoja entiteetistä tai tapahtumasta