Partager via

DeviceLogonEvents

  • Article

S’applique à :

  • Microsoft Defender XDR
  • Microsoft Defender pour point de terminaison

La DeviceLogonEvents table du schéma de repérage avancé contient des informations sur les ouvertures de session utilisateur et d’autres événements d’authentification sur les appareils. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
DeviceId string Identificateur unique de l’appareil dans le service
DeviceName string Nom de domaine complet (FQDN) de l’appareil
ActionType string Type d’activité qui a déclenché l’événement
LogonType string Type de session d’ouverture de session, en particulier :

- Interactif : l’utilisateur interagit physiquement avec l’appareil à l’aide du clavier et de l’écran locaux

- Ouvertures de session interactives à distance (RDP) : l’utilisateur interagit avec l’appareil à distance à l’aide du Bureau à distance, des services Terminal Server, de l’assistance à distance ou d’autres clients RDP

- Réseau : session lancée lorsque l’appareil est accessible à l’aide de PsExec ou lorsque des ressources partagées sur l’appareil, telles que des imprimantes et des dossiers partagés, sont accessibles

- Lot : session lancée par des tâches planifiées

- Service : session lancée par les services au démarrage
AccountDomain string Domaine du compte
AccountName string Nom d’utilisateur du compte
AccountSid string Identificateur de sécurité (SID) du compte
Protocol string Protocole utilisé pendant la communication
FailureReason string Informations expliquant pourquoi l’action enregistrée a échoué
IsLocalAdmin boolean Indicateur booléen indiquant si l’utilisateur est un administrateur local sur l’appareil
LogonId long Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur le même appareil uniquement entre les redémarrages.
RemoteDeviceName string Nom de l’appareil qui a effectué une opération à distance sur l’appareil affecté. Selon l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine.
RemoteIP string Adresse IP de l’appareil à partir duquel la tentative d’ouverture de session a été effectuée
RemoteIPType string Type d’adresse IP, par exemple Public, Private, Reserved, Loopback, Teredo, FourToSixMapping et Broadcast
RemotePort int Port TCP sur l’appareil distant auquel était connecté
InitiatingProcessAccountDomain string Domaine du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountName string Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountSid string Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountUpn string Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement
InitiatingProcessAccountObjectId string Microsoft Entra’ID d’objet du compte d’utilisateur qui a exécuté le processus responsable de l’événement
InitiatingProcessIntegrityLevel string Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources.
InitiatingProcessTokenElevation string Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement
InitiatingProcessSHA1 string Hachage SHA-1 du processus (fichier image) qui a lancé l’événement
InitiatingProcessSHA256 string Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 lorsqu’elle est disponible.
InitiatingProcessMD5 string Hachage MD5 du processus (fichier image) qui a lancé l’événement
InitiatingProcessFileName string Nom du fichier de processus qui a lancé l’événement ; s’il n’est pas disponible, le nom du processus à l’origine de l’événement peut être affiché à la place
InitiatingProcessFileSize long Taille du fichier qui a exécuté le processus responsable de l’événement
InitiatingProcessVersionInfoCompanyName string Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductName string Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoProductVersion string Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoInternalFileName string Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoOriginalFileName string Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessVersionInfoFileDescription string Description des informations de version du processus (fichier image) responsable de l’événement
InitiatingProcessId long ID de processus (PID) du processus qui a lancé l’événement
InitiatingProcessCommandLine string Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement
InitiatingProcessCreationTime datetime Date et heure de démarrage du processus qui a lancé l’événement
InitiatingProcessFolderPath string Dossier contenant le processus (fichier image) qui a lancé l’événement
InitiatingProcessParentId long ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentFileName string Nom ou chemin complet du processus parent qui a généré le processus responsable de l’événement
InitiatingProcessParentCreationTime datetime Date et heure de démarrage du parent du processus responsable de l’événement
ReportId long Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp.
AppGuardContainerId string Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur
AdditionalFields string Informations supplémentaires sur l’événement au format tableau JSON
InitiatingProcessSessionId long ID de session Windows du processus initial
IsInitiatingProcessRemoteSession bool Indique si le processus de lancement a été exécuté sous une session RDP (remote Desktop Protocol) (true) ou localement (false)
InitiatingProcessRemoteSessionDeviceName string Nom de l’appareil distant à partir duquel la session RDP du processus initial a été lancée
InitiatingProcessRemoteSessionIP string Adresse IP de l’appareil distant à partir duquel la session RDP du processus initial a été lancée

Remarque

La collecte de DeviceLogonEvents n’est pas prise en charge sur les appareils Windows 7 ou Windows Server 2008R2 intégrés à Defender pour point de terminaison. Nous vous recommandons d’effectuer une mise à niveau vers un système d’exploitation plus récent pour une visibilité optimale de l’activité d’ouverture de session utilisateur.

Conseil

Voulez-vous en savoir plus ? Collaborez avec la communauté Microsoft Security dans notre communauté technique : communauté technique Microsoft Defender XDR.