IdentityLogonEvents
חל על:
- Microsoft Defender XDR
הטבלה IdentityLogonEventsבסכימת הציד המתקדמות מכילה מידע אודות פעילויות אימות שבוצעו באמצעות הטבלה Active Directory מקומי שנלכדו על-ידי Microsoft Defender עבור זהות אימות הקשורות ל- Microsoft שירותים מקוונים נלכדו על-ידי יישומי ענן של Microsoft Defender. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
הערה
טבלה זו מכסה Microsoft Entra כניסה הנמצאות במעקב על-ידי Defender for Cloud Apps, כניסות ופעילויות אימות אינטראקטיביות במיוחד באמצעות ActiveSync ופרוטוקולים מדור קודם אחרים. ניתן להציג כניסות לא אינטראקטיביות שאינן זמינות בטבלה זו ביומן Microsoft Entra הביקורת. קבל מידע נוסף על חיבור Defender for Cloud Apps ל- Microsoft 365
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע. עיין בהפניית הסכימה בתוך הפורטל לקבלת פרטים |
Application |
string |
יישום שביצע את הפעולה המוקלטת |
LogonType |
string |
סוג הפעלת הכניסה. לקבלת מידע נוסף, ראה סוגי כניסה נתמכים. |
Protocol |
string |
פרוטוקול רשת בשימוש |
FailureReason |
string |
מידע המסביר מדוע הפעולה המוקלטת נכשלה |
AccountName |
string |
שם המשתמש של החשבון |
AccountDomain |
string |
תחום החשבון |
AccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
AccountObjectId |
string |
מזהה ייחודי עבור החשבון Microsoft Entra מזהה |
AccountDisplayName |
string |
שם משתמש החשבון המוצג בפנקס הכתובות. בדרך כלל שילוב של שם פרטי או נתון, שם פרטי אמצעי ושם משפחה או שם משפחה. |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
DeviceType |
string |
סוג המכשיר בהתבסס על המטרה והפונקציונליות, כגון התקן רשת, תחנת עבודה, שרת, מכשירים ניידים, קונסולת משחקים או מדפסת |
OSPlatform |
string |
פלטפורמת מערכת ההפעלה הפועלת במכשיר. הדבר מציין מערכות הפעלה ספציפיות, כולל וריאציות בתוך אותה משפחה, כגון Windows 11, Windows 10 ו- Windows 7. |
IPAddress |
string |
כתובת IP שהוקצתה ל נקודת הקצה ומשמשת במהלך תקשורת רשת קשורה |
Port |
int |
יציאת TCP המשמשת במהלך תקשורת |
DestinationDeviceName |
string |
שם המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationIPAddress |
string |
כתובת IP של המכשיר שבו פועל יישום השרת עיבד את הפעולה המוקלטת |
DestinationPort |
int |
יציאת היעד של תקשורת רשת קשורה |
TargetDeviceName |
string |
שם תחום מלא (FQDN) של המכשיר עליו הוחלה הפעולה המוקלטת |
TargetAccountDisplayName |
string |
שם התצוגה של החשבון הפעולה המוקלטת הוחלה עליו |
Location |
string |
עיר, מדינה/אזור או מיקום גיאוגרפי אחר המשויך לאירוע |
Isp |
string |
ספק שירותי אינטרנט (ISP) המשויך לכתובת ה- IP של נקודת הקצה |
ReportId |
string |
מזהה ייחודי עבור האירוע |
AdditionalFields |
dynamic |
מידע נוסף אודות הישות או האירוע |
סוגי כניסה נתמכים
הטבלה הבאה מפרטת את הערכים הנתמכים עבור LogonType העמודה.
| סוג כניסה | פעילות בפיקוח | תיאור |
|---|---|---|
| סוג כניסה 2 | אימות אישורים | אירוע אימות של חשבון תחום באמצעות שיטות האימות של NTLM ו- Kerberos. |
| סוג כניסה 2 | כניסה אינטראקטיבית | המשתמש קיבל גישה לרשת על-ידי הזנת שם משתמש וסיסמה (שיטת אימות Kerberos או NTLM). |
| סוג כניסה 2 | כניסה אינטראקטיבית עם אישור | המשתמש קיבל גישה לרשת באמצעות אישור. |
| סוג כניסה 2 | חיבור VPN | משתמש המחובר על-ידי VPN - אימות באמצעות פרוטוקול RADIUS. |
| סוג כניסה 3 | גישה למשאבים | המשתמש ניגש למשאב באמצעות אימות Kerberos או NTLM. |
| סוג כניסה 3 | גישת משאבים שהוקצתה | המשתמש ניגש למשאב באמצעות הקצאת Kerberos. |
| סוג כניסה 8 | LDAP Cleartext | המשתמש ביצע אימות באמצעות LDAP עם סיסמת טקסט רגיל (אימות פשוט). |
| סוג כניסה 10 | שולחן עבודה מרוחק | המשתמש ביצע הפעלת RDP במחשב מרוחק באמצעות אימות Kerberos. |
| --- | הכניסה נכשלה | ניסיון האימות של חשבון התחום נכשל (דרך NTLM ו- Kerberos) בשל הפעולות הבאות: החשבון הפך ללא זמין/פג תוקף/ננעל/השתמש באישור לא מהימן או עקב שעות כניסה לא חוקיות/סיסמה ישנה/סיסמה שפג תוקפה/סיסמה שגויה. |
| --- | הכניסה נכשלה עם אישור | ניסיון האימות של חשבון התחום נכשל (באמצעות Kerberos) בשל הפעולות הבאות: החשבון הפך ללא זמין/פג תוקף/ננעל/השתמש באישור לא מהימן או עקב שעות כניסה לא חוקיות/סיסמה ישנה/סיסמה שפג תוקפה/סיסמה שגויה. |
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.