Partager via


IdentityLogonEvents

S’applique à :

  • Microsoft Defender XDR

Le IdentityLogonEvents tableau du schéma de repérage avancé contient des informations sur les activités d’authentification effectuées via votre Active Directory local capturées par Microsoft Defender pour Identity et les activités d’authentification liées à Microsoft services en ligne capturées par Microsoft Defender for Cloud Apps. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.

Conseil

Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.

Remarque

Ce tableau couvre Microsoft Entra activités d’ouverture de session suivies par Defender for Cloud Apps, en particulier les connexions interactives et les activités d’authentification à l’aide d’ActiveSync et d’autres protocoles hérités. Les ouvertures de session non interactives qui ne sont pas disponibles dans cette table peuvent être consultées dans le journal d’audit Microsoft Entra. En savoir plus sur la connexion de Defender for Cloud Apps à Microsoft 365

Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.

Nom de colonne Type de données Description
Timestamp datetime Date et heure d’enregistrement de l’événement
ActionType string Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail
Application string Application qui a effectué l’action enregistrée
LogonType string Type de session d’ouverture de session. Pour plus d’informations, consultez Types d’ouverture de session pris en charge.
Protocol string Protocole réseau utilisé
FailureReason string Informations expliquant pourquoi l’action enregistrée a échoué
AccountName string Nom d’utilisateur du compte
AccountDomain string Domaine du compte
AccountUpn string Nom d’utilisateur principal (UPN) du compte
AccountSid string Identificateur de sécurité (SID) du compte
AccountObjectId string Identificateur unique du compte dans Microsoft Entra ID
AccountDisplayName string Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille.
DeviceName string Nom de domaine complet (FQDN) de l’appareil
DeviceType string Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante
OSPlatform string Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cela indique des systèmes d’exploitation spécifiques, y compris des variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7.
IPAddress string Adresse IP affectée au point de terminaison et utilisée pendant les communications réseau associées
Port int Port TCP utilisé pendant la communication
DestinationDeviceName string Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationIPAddress string Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée
DestinationPort int Port de destination des communications réseau associées
TargetDeviceName string Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée
TargetAccountDisplayName string Nom d’affichage du compte auquel l’action enregistrée a été appliquée
Location string Ville, pays/région ou autre emplacement géographique associé à l’événement
Isp string Fournisseur de services Internet (ISP) associé à l’adresse IP du point de terminaison
ReportId string Identificateur unique de l’événement
AdditionalFields dynamic Informations supplémentaires sur l’entité ou l’événement

Types d’ouverture de session pris en charge

Le tableau suivant répertorie les valeurs prises en charge pour la LogonType colonne.

Type d’ouverture de session Activité supervisée Description
Type d’ouverture de session 2 Validation des informations d’identification Événement d’authentification de compte de domaine à l’aide des méthodes d’authentification NTLM et Kerberos.
Type d’ouverture de session 2 Ouverture de session interactive L’utilisateur a obtenu l’accès réseau en entrant un nom d’utilisateur et un mot de passe (méthode d’authentification Kerberos ou NTLM).
Type d’ouverture de session 2 Ouverture de session interactive avec certificat L’utilisateur a obtenu un accès réseau à l’aide d’un certificat.
Type d’ouverture de session 2 Connexion VPN Utilisateur connecté par VPN - Authentification à l’aide du protocole RADIUS.
Type d’ouverture de session 3 Accès aux ressources L’utilisateur a accédé à une ressource à l’aide de l’authentification Kerberos ou NTLM.
Type d’ouverture de session 3 Accès délégué aux ressources L’utilisateur a accédé à une ressource à l’aide de la délégation Kerberos.
Type d’ouverture de session 8 Texte en clair LDAP Utilisateur authentifié à l’aide du protocole LDAP avec un mot de passe en texte clair (authentification simple).
Type d’ouverture de session 10 Bureau à distance L’utilisateur a effectué une session RDP sur un ordinateur distant à l’aide de l’authentification Kerberos.
--- Échec de l’ouverture de session Échec de la tentative d’authentification du compte de domaine (via NTLM et Kerberos) en raison de ce qui suit : le compte a été désactivé/expiré/verrouillé/utilisé un certificat non approuvé ou en raison d’heures d’ouverture de session non valides/ancien mot de passe/mot de passe expiré/mot de passe incorrect.
--- Échec de l’ouverture de session avec certificat Échec de la tentative d’authentification du compte de domaine (via Kerberos) en raison de ce qui suit : le compte a été désactivé/expiré/verrouillé/utilisé un certificat non approuvé ou en raison d’heures d’ouverture de session non valides/d’un ancien mot de passe/mot de passe expiré/mot de passe incorrect.

Conseil

Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.