DeviceLogonEvents
S’applique à :
- Microsoft Defender XDR
- Microsoft Defender pour point de terminaison
La DeviceLogonEvents table du schéma de repérage avancé contient des informations sur les ouvertures de session utilisateur et d’autres événements d’authentification sur les appareils. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
DeviceId |
string |
Identificateur unique de l’appareil dans le service |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
ActionType |
string |
Type d’activité qui a déclenché l’événement |
LogonType |
string |
Type de session d’ouverture de session, en particulier : - Interactif : l’utilisateur interagit physiquement avec l’appareil à l’aide du clavier et de l’écran locaux - Ouvertures de session interactives à distance (RDP) : l’utilisateur interagit avec l’appareil à distance à l’aide du Bureau à distance, des services Terminal Server, de l’assistance à distance ou d’autres clients RDP - Réseau : session lancée lorsque l’appareil est accessible à l’aide de PsExec ou lorsque des ressources partagées sur l’appareil, telles que des imprimantes et des dossiers partagés, sont accessibles - Lot : session lancée par des tâches planifiées - Service : session lancée par les services au démarrage |
AccountDomain |
string |
Domaine du compte |
AccountName |
string |
Nom d’utilisateur du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
Protocol |
string |
Protocole utilisé pendant la communication |
FailureReason |
string |
Informations expliquant pourquoi l’action enregistrée a échoué |
IsLocalAdmin |
boolean |
Indicateur booléen indiquant si l’utilisateur est un administrateur local sur l’appareil |
LogonId |
long |
Identificateur d’une session d’ouverture de session. Cet identificateur est unique sur le même appareil uniquement entre les redémarrages. |
RemoteDeviceName |
string |
Nom de l’appareil qui a effectué une opération à distance sur l’appareil affecté. Selon l’événement signalé, ce nom peut être un nom de domaine complet (FQDN), un nom NetBIOS ou un nom d’hôte sans informations de domaine. |
RemoteIP |
string |
Adresse IP de l’appareil à partir duquel la tentative d’ouverture de session a été effectuée |
RemoteIPType |
string |
Type d’adresse IP, par exemple Public, Private, Reserved, Loopback, Teredo, FourToSixMapping et Broadcast |
RemotePort |
int |
Port TCP sur l’appareil distant auquel était connecté |
InitiatingProcessAccountDomain |
string |
Domaine du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountName |
string |
Nom d’utilisateur du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountSid |
string |
Identificateur de sécurité (SID) du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte qui a exécuté le processus responsable de l’événement |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra’ID d’objet du compte d’utilisateur qui a exécuté le processus responsable de l’événement |
InitiatingProcessIntegrityLevel |
string |
Niveau d’intégrité du processus qui a lancé l’événement. Windows attribue des niveaux d’intégrité aux processus en fonction de certaines caractéristiques, par exemple s’ils étaient lancés à partir d’un téléchargement Sur Internet. Ces niveaux d’intégrité influencent les autorisations d’accès aux ressources. |
InitiatingProcessTokenElevation |
string |
Type de jeton indiquant la présence ou l’absence d’élévation de privilèges utilisateur Access Control (UAC) appliquée au processus qui a lancé l’événement |
InitiatingProcessSHA1 |
string |
Hachage SHA-1 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessSHA256 |
string |
Hachage SHA-256 du processus (fichier image) qui a lancé l’événement. Ce champ n’est généralement pas rempli : utilisez la colonne SHA1 lorsqu’elle est disponible. |
InitiatingProcessMD5 |
string |
Hachage MD5 du processus (fichier image) qui a lancé l’événement |
InitiatingProcessFileName |
string |
Nom du processus qui a lancé l’événement |
InitiatingProcessFileSize |
long |
Taille du fichier qui a exécuté le processus responsable de l’événement |
InitiatingProcessVersionInfoCompanyName |
string |
Nom de la société à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductName |
string |
Nom du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoProductVersion |
string |
Version du produit à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoInternalFileName |
string |
Nom de fichier interne à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nom de fichier d’origine à partir des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessVersionInfoFileDescription |
string |
Description des informations de version du processus (fichier image) responsable de l’événement |
InitiatingProcessId |
long |
ID de processus (PID) du processus qui a lancé l’événement |
InitiatingProcessCommandLine |
string |
Ligne de commande utilisée pour exécuter le processus qui a lancé l’événement |
InitiatingProcessCreationTime |
datetime |
Date et heure de démarrage du processus qui a lancé l’événement |
InitiatingProcessFolderPath |
string |
Dossier contenant le processus (fichier image) qui a lancé l’événement |
InitiatingProcessParentId |
long |
ID de processus (PID) du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentFileName |
string |
Nom ou chemin complet du processus parent qui a généré le processus responsable de l’événement |
InitiatingProcessParentCreationTime |
datetime |
Date et heure de démarrage du parent du processus responsable de l’événement |
ReportId |
long |
Identificateur d’événement basé sur un compteur extensible. Pour identifier les événements uniques, cette colonne doit être utilisée conjointement avec les colonnes DeviceName et Timestamp. |
AppGuardContainerId |
string |
Identificateur du conteneur virtualisé utilisé par Protection d'application pour isoler l’activité du navigateur |
AdditionalFields |
string |
Informations supplémentaires sur l’événement au format tableau JSON |
Remarque
La collecte de DeviceLogonEvents n’est pas prise en charge sur les appareils Windows 7 ou Windows Server 2008R2 intégrés à Defender pour point de terminaison. Nous vous recommandons d’effectuer une mise à niveau vers un système d’exploitation plus récent pour une visibilité optimale de l’activité d’ouverture de session utilisateur.
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour