IdentityLogonEvents
S’applique à :
- Microsoft Defender XDR
Le IdentityLogonEvents tableau du schéma de repérage avancé contient des informations sur les activités d’authentification effectuées via votre Active Directory local capturées par Microsoft Defender pour Identity et les activités d’authentification liées à Microsoft services en ligne capturées par Microsoft Defender for Cloud Apps. Utilisez cette référence pour créer des requêtes qui renvoient des informations de cette table.
Conseil
Pour plus d’informations sur les types d’événements (ActionTypevaleurs) pris en charge par une table, utilisez la référence de schéma intégrée disponible dans Microsoft Defender XDR.
Remarque
Ce tableau couvre Microsoft Entra activités d’ouverture de session suivies par Defender for Cloud Apps, en particulier les connexions interactives et les activités d’authentification à l’aide d’ActiveSync et d’autres protocoles hérités. Les ouvertures de session non interactives qui ne sont pas disponibles dans cette table peuvent être consultées dans le journal d’audit Microsoft Entra. En savoir plus sur la connexion de Defender for Cloud Apps à Microsoft 365
Pour plus d’informations sur les autres tables du schéma de repérage avancé, consultez la référence de repérage avancé.
| Nom de colonne | Type de données | Description |
|---|---|---|
Timestamp |
datetime |
Date et heure d’enregistrement de l’événement |
ActionType |
string |
Type d’activité qui a déclenché l’événement. Pour plus d’informations, consultez les informations de référence sur le schéma dans le portail |
Application |
string |
Application qui a effectué l’action enregistrée |
LogonType |
string |
Type de session d’ouverture de session. Pour plus d’informations, consultez Types d’ouverture de session pris en charge. |
Protocol |
string |
Protocole réseau utilisé |
FailureReason |
string |
Informations expliquant pourquoi l’action enregistrée a échoué |
AccountName |
string |
Nom d’utilisateur du compte |
AccountDomain |
string |
Domaine du compte |
AccountUpn |
string |
Nom d’utilisateur principal (UPN) du compte |
AccountSid |
string |
Identificateur de sécurité (SID) du compte |
AccountObjectId |
string |
Identificateur unique du compte dans Microsoft Entra ID |
AccountDisplayName |
string |
Nom de l’utilisateur du compte affiché dans le carnet d’adresses. En règle générale, il s’agit d’une combinaison d’un prénom ou d’un prénom donné, d’une initiale du deuxième prénom et d’un nom ou d’un nom de famille. |
DeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil |
DeviceType |
string |
Type d’appareil en fonction de l’objectif et des fonctionnalités, tels que l’appareil réseau, la station de travail, le serveur, le mobile, la console de jeu ou l’imprimante |
OSPlatform |
string |
Plateforme du système d’exploitation en cours d’exécution sur l’appareil. Cela indique des systèmes d’exploitation spécifiques, y compris des variantes au sein de la même famille, telles que Windows 11, Windows 10 et Windows 7. |
IPAddress |
string |
Adresse IP affectée au point de terminaison et utilisée pendant les communications réseau associées |
Port |
int |
Port TCP utilisé pendant la communication |
DestinationDeviceName |
string |
Nom de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationIPAddress |
string |
Adresse IP de l’appareil exécutant l’application serveur qui a traité l’action enregistrée |
DestinationPort |
int |
Port de destination des communications réseau associées |
TargetDeviceName |
string |
Nom de domaine complet (FQDN) de l’appareil auquel l’action enregistrée a été appliquée |
TargetAccountDisplayName |
string |
Nom d’affichage du compte auquel l’action enregistrée a été appliquée |
Location |
string |
Ville, pays/région ou autre emplacement géographique associé à l’événement |
Isp |
string |
Fournisseur de services Internet (ISP) associé à l’adresse IP du point de terminaison |
ReportId |
string |
Identificateur unique de l’événement |
AdditionalFields |
dynamic |
Informations supplémentaires sur l’entité ou l’événement |
Types d’ouverture de session pris en charge
Le tableau suivant répertorie les valeurs prises en charge pour la LogonType colonne.
| Type d’ouverture de session | Activité supervisée | Description |
|---|---|---|
| Type d’ouverture de session 2 | Validation des informations d’identification | Événement d’authentification de compte de domaine à l’aide des méthodes d’authentification NTLM et Kerberos. |
| Type d’ouverture de session 2 | Ouverture de session interactive | L’utilisateur a obtenu l’accès réseau en entrant un nom d’utilisateur et un mot de passe (méthode d’authentification Kerberos ou NTLM). |
| Type d’ouverture de session 2 | Ouverture de session interactive avec certificat | L’utilisateur a obtenu un accès réseau à l’aide d’un certificat. |
| Type d’ouverture de session 2 | Connexion VPN | Utilisateur connecté par VPN - Authentification à l’aide du protocole RADIUS. |
| Type d’ouverture de session 3 | Accès aux ressources | L’utilisateur a accédé à une ressource à l’aide de l’authentification Kerberos ou NTLM. |
| Type d’ouverture de session 3 | Accès délégué aux ressources | L’utilisateur a accédé à une ressource à l’aide de la délégation Kerberos. |
| Type d’ouverture de session 8 | Texte en clair LDAP | Utilisateur authentifié à l’aide du protocole LDAP avec un mot de passe en texte clair (authentification simple). |
| Type d’ouverture de session 10 | Bureau à distance | L’utilisateur a effectué une session RDP sur un ordinateur distant à l’aide de l’authentification Kerberos. |
| --- | Échec de l’ouverture de session | Échec de la tentative d’authentification du compte de domaine (via NTLM et Kerberos) en raison de ce qui suit : le compte a été désactivé/expiré/verrouillé/utilisé un certificat non approuvé ou en raison d’heures d’ouverture de session non valides/ancien mot de passe/mot de passe expiré/mot de passe incorrect. |
| --- | Échec de l’ouverture de session avec certificat | Échec de la tentative d’authentification du compte de domaine (via Kerberos) en raison de ce qui suit : le compte a été désactivé/expiré/verrouillé/utilisé un certificat non approuvé ou en raison d’heures d’ouverture de session non valides/d’un ancien mot de passe/mot de passe expiré/mot de passe incorrect. |
Voir aussi
- Vue d’ensemble du repérage avancé
- Apprendre le langage de requête
- Utiliser des requêtes partagées
- Repérer des menaces sur les appareils, les e-mails, les applications et les identités
- Comprendre le schéma
- Appliquer les meilleures pratiques de requête
Conseil
Voulez-vous en savoir plus ? Engage avec la communauté Microsoft Security dans notre communauté technique : Microsoft Defender XDR Tech Community.