DeviceLogonEvents
חל על:
- Microsoft Defender XDR
- Microsoft Defender עבור נקודת קצה
הטבלה DeviceLogonEventsבסכימת הציד המתקדמות מכילה מידע אודות כניסות משתמשים ואירועי אימות אחרים במכשירים. השתמש בהפניה זו כדי לבנות שאילתות שמחחזירות מידע מטבלה זו.
עצה
לקבלת מידע מפורט אודות סוגי האירועים (ActionTypeערכים) הנתמכים על-ידי טבלה, השתמש בהפניית הסכימה המוכללת הזמינה Microsoft Defender XDR.
לקבלת מידע על טבלאות אחרות בסכימת הציד המתקדמות, עיין בהפניית הציד המתקדמות.
| שם עמודה | סוג נתונים | תיאור |
|---|---|---|
Timestamp |
datetime |
תאריך ושעה שבהם האירוע הוקלט |
DeviceId |
string |
מזהה ייחודי עבור המכשיר בשירות |
DeviceName |
string |
שם תחום מלא (FQDN) של המכשיר |
ActionType |
string |
סוג הפעילות שהפעילה את האירוע |
LogonType |
string |
סוג הפעלת הכניסה, באופן ספציפי: - אינטראקטיבי - המשתמש מקיים אינטראקציה פיזית עם המכשיר באמצעות לוח המקשים והמסך המקומיים - כניסות אינטראקטיביות מרחוק (RDP) - המשתמש מקיים אינטראקציה עם המכשיר מרחוק באמצעות שולחן עבודה מרוחק, שירותי מסוף, סיוע מרחוק או לקוחות RDP אחרים - רשת - הפעלה מופעלת כאשר הגישה למכשיר היא באמצעות PsExec או כאשר גישה למשאבים משותפים במכשיר, כגון מדפסות ותיקיות משותפות - אצווה - הפעלה שהופעלה על-ידי משימות מתוזמנות - שירות - הפעלה שהופעלה על-ידי שירותים עם הפעלתם |
AccountDomain |
string |
תחום החשבון |
AccountName |
string |
שם המשתמש של החשבון |
AccountSid |
string |
מזהה אבטחה (SID) של החשבון |
Protocol |
string |
הפרוטוקול המשמש במהלך התקשורת |
FailureReason |
string |
מידע המסביר מדוע הפעולה המוקלטת נכשלה |
IsLocalAdmin |
boolean |
מחוון בוליאני המציין אם המשתמש הוא מנהל מערכת מקומי במכשיר |
LogonId |
long |
מזהה עבור הפעלת כניסה. מזהה זה ייחודי באותו מכשיר רק בין הפעלות מחדש. |
RemoteDeviceName |
string |
שם המכשיר שביצע פעולה מרוחקת במכשיר המושפע. בהתאם לאירוע שדווח, שם זה עשוי להיות שם תחום מלא (FQDN), שם NetBIOS או שם מחשב מארח ללא פרטי תחום. |
RemoteIP |
string |
כתובת IP של המכשיר ממנו בוצע ניסיון הכניסה |
RemoteIPType |
string |
סוג כתובת IP, לדוגמה ציבורי, פרטי, שמור, לולאה חוזרת, Teredo, FourToSixMapping ושידור |
RemotePort |
int |
יציאת TCP בהתקן המרוחק שהיה מחובר אליה |
InitiatingProcessAccountDomain |
string |
תחום החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountName |
string |
שם המשתמש של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountSid |
string |
מזהה אבטחה (SID) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountUpn |
string |
שם ראשי של משתמש (UPN) של החשבון שהרץ את התהליך האחראי לאירוע |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra מזהה האובייקט של חשבון המשתמש שהרץ את התהליך האחראי לאירוע |
InitiatingProcessIntegrityLevel |
string |
רמת תקינות של התהליך שה מאתחל את האירוע. Windows מקצה רמות תקינות לתהליכים בהתבסס על מאפיינים מסוימים, כגון אם הם הופעלו מהורדה באינטרנט. רמות תקינות אלה משפיעות על הרשאות למשאבים. |
InitiatingProcessTokenElevation |
string |
סוג אסימון המציין את רמת הנוכחות או היעדרה של העלאת הרשאה של בקרת גישת משתמש (UAC) שחלה על התהליך שה הפעיל את האירוע |
InitiatingProcessSHA1 |
string |
קוד Hash של SHA-1 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessSHA256 |
string |
קוד Hash של SHA-256 של התהליך (קובץ תמונה) שהתחל את האירוע. שדה זה בדרך כלל אינו מאוכלס - השתמש בעמודה SHA1 כאשר הוא זמין. |
InitiatingProcessMD5 |
string |
קוד Hash של MD5 של התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessFileName |
string |
שם התהליך שה מאתחל את האירוע |
InitiatingProcessFileSize |
long |
גודל הקובץ שהרץ את התהליך האחראי לאירוע |
InitiatingProcessVersionInfoCompanyName |
string |
שם חברה ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductName |
string |
שם מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoProductVersion |
string |
גירסת מוצר ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoInternalFileName |
string |
שם קובץ פנימי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoOriginalFileName |
string |
שם הקובץ המקורי ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessVersionInfoFileDescription |
string |
תיאור ממידע הגירסה של התהליך (קובץ תמונה) האחראי לאירוע |
InitiatingProcessId |
long |
מזהה תהליך (PID) של התהליך שה מאתחל את האירוע |
InitiatingProcessCommandLine |
string |
שורת הפקודה המשמשת להפעלת התהליך שהפעיל את האירוע |
InitiatingProcessCreationTime |
datetime |
תאריך ושעה שבהם התהליך שהחיל את האירוע הופעל |
InitiatingProcessFolderPath |
string |
תיקיה המכילה את התהליך (קובץ תמונה) שה מאתחל את האירוע |
InitiatingProcessParentId |
long |
מזהה תהליך (PID) של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentFileName |
string |
שם או נתיב מלא של תהליך האב שהריץ את התהליך האחראי לאירוע |
InitiatingProcessParentCreationTime |
datetime |
התאריך והשעה שבהם האב של התהליך האחראי לאירוע הופעל |
ReportId |
long |
מזהה אירוע בהתבסס על מונה חוזר. כדי לזהות אירועים ייחודיים, יש להשתמש בעמודה זו בשילוב עם העמודות DeviceName ו- Timestamp. |
AppGuardContainerId |
string |
מזהה עבור הגורם המכיל הווירטואלי המשמש את Application Guard כדי לבודד פעילות דפדפן |
AdditionalFields |
string |
מידע נוסף אודות האירוע בתבנית מערך JSON |
הערה
האוסף של מכשיריםLogonEvents אינו נתמך במכשירי Windows 7 או Windows Server 2008R2 המחוברים ל- Defender for Endpoint. אנו ממליצים לשדרג למערכת הפעלה עדכנית יותר כדי לקבל ניראות מיטבית של פעילות כניסת המשתמשים.
נושאים קשורים
- מבט כולל על ציד מתקדם
- למד את שפת השאילתה
- שימוש בשאילתות משותפות
- ציד בין מכשירים, הודעות דואר אלקטרוני, אפליקציות וזהויות
- הבנת הסכימה
- החל שיטות עבודה מומלצות לשאילתה
עצה
האם ברצונך לקבל מידע נוסף? צור קשר עם קהילת האבטחה של Microsoft בקהילת הטכנולוגיה שלנו: קהילת האבטחה של Microsoft Defender XDR.
משוב
בקרוב: במהלך 2024, נפתור בעיות GitHub כמנגנון המשוב לתוכן ונחליף אותו במערכת משוב חדשה. לקבלת מידע נוסף, ראה: https://aka.ms/ContentUserFeedback.
שלח והצג משוב עבור