IdentityLogonEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
A IdentityLogonEvents
speciális veszélyforrás-keresési séma táblázata információkat tartalmaz a Microsoft Defender for Identity által rögzített helyi Active Directory keresztül végzett hitelesítési tevékenységekről, valamint a microsoftos online szolgáltatások által rögzített hitelesítési tevékenységekről Microsoft Defender for Cloud Apps. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionType
értékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
Megjegyzés:
Ez a táblázat a Defender for Cloud Apps által nyomon követett Microsoft Entra bejelentkezési tevékenységeket, különösen az ActiveSyncet és más örökölt protokollokat használó interaktív bejelentkezéseket és hitelesítési tevékenységeket ismerteti. A táblázatban nem elérhető nem interaktív bejelentkezések az Microsoft Entra auditnaplóban tekinthetők meg. További információ a Defender for Cloud Apps microsoft 365-höz való csatlakoztatásáról
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
LogonType |
string |
A bejelentkezési munkamenet típusa. További információ: Támogatott bejelentkezési típusok. |
Protocol |
string |
Használt hálózati protokoll |
FailureReason |
string |
Információ arról, hogy miért hiúsult meg a rögzített művelet |
AccountName |
string |
A fiók felhasználóneve |
AccountDomain |
string |
A fiók tartománya |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountDisplayName |
string |
A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja. |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
DeviceType |
string |
Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján |
OSPlatform |
string |
Az eszközön futó operációs rendszer platformja. Ez adott operációs rendszereket jelez, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et. |
IPAddress |
string |
A végponthoz rendelt ÉS a kapcsolódó hálózati kommunikáció során használt IP-cím |
Port |
int |
Kommunikáció során használt TCP-port |
DestinationDeviceName |
string |
A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz neve |
DestinationIPAddress |
string |
A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz IP-címe |
DestinationPort |
int |
Kapcsolódó hálózati kommunikáció célportja |
TargetDeviceName |
string |
Annak az eszköznek a teljes tartományneve (FQDN), amelyekre a rögzített műveletet alkalmazták |
TargetAccountDisplayName |
string |
Annak a fióknak a megjelenítendő neve, amelyen a rögzített műveletet alkalmazták |
Location |
string |
Az eseményhez társított város, ország/régió vagy más földrajzi hely |
Isp |
string |
A végpont IP-címéhez társított internetszolgáltató (ISP) |
ReportId |
string |
Az esemény egyedi azonosítója |
AdditionalFields |
dynamic |
További információ az entitásról vagy eseményről |
Támogatott bejelentkezési típusok
Az alábbi táblázat az oszlop támogatott értékeit sorolja fel LogonType
.
Bejelentkezés típusa | Figyelt tevékenység | Leírás |
---|---|---|
2. bejelentkezési típus | Hitelesítő adatok érvényesítése | Tartományi fiók hitelesítési eseménye az NTLM- és Kerberos-hitelesítési módszerekkel. |
2. bejelentkezési típus | Interaktív bejelentkezés | A felhasználó egy felhasználónév és jelszó megadásával szerzett hálózati hozzáférést (Kerberos vagy NTLM hitelesítési módszer). |
2. bejelentkezési típus | Interaktív bejelentkezés tanúsítvánnyal | A felhasználó tanúsítvány használatával szerzett hálózati hozzáférést. |
2. bejelentkezési típus | VPN-kapcsolat | VPN-rel csatlakoztatott felhasználó – Hitelesítés RADIUS protokollal. |
3. bejelentkezési típus | Erőforrás-hozzáférés | A felhasználó Kerberos- vagy NTLM-hitelesítéssel fért hozzá egy erőforráshoz. |
3. bejelentkezési típus | Delegált erőforrás-hozzáférés | A felhasználó Kerberos-delegálással fért hozzá egy erőforráshoz. |
8. bejelentkezési típus | LDAP Cleartext | A felhasználó az LDAP használatával, egyértelmű szöveges jelszóval (egyszerű hitelesítés) hitelesítve van. |
10-es bejelentkezési típus | Távoli asztal | A felhasználó Kerberos-hitelesítéssel RDP-munkamenetet hajtott végre egy távoli számítógépen. |
--- | Sikertelen bejelentkezés | A tartományi fiók hitelesítési kísérlete (NTLM-en és Kerberoson keresztül) meghiúsult a következő miatt: a fiók le lett tiltva/lejárt/zárolva lett/nem megbízható tanúsítványt használt, vagy érvénytelen bejelentkezési idő/régi jelszó/lejárt jelszó/helytelen jelszó miatt. |
--- | Sikertelen bejelentkezés tanúsítvánnyal | A tartományi fiók hitelesítési kísérlete (Kerberoson keresztül) meghiúsult a következő miatt: a fiók le lett tiltva/lejárt/zárolva lett/nem megbízható tanúsítványt használt, vagy érvénytelen bejelentkezési idő/régi jelszó/lejárt jelszó/helytelen jelszó miatt. |
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.