DeviceLogonEvents
Érintett szolgáltatás:
- Microsoft Defender XDR
- Végponthoz készült Microsoft Defender
A DeviceLogonEvents
speciális veszélyforrás-keresési séma táblázata információkat tartalmaz a felhasználói bejelentkezésekről és az eszközök egyéb hitelesítési eseményeiről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.
Tipp
A táblák által támogatott eseménytípusokkal (ActionType
értékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.
A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
Az esemény rögzítésének dátuma és időpontja |
DeviceId |
string |
Az eszköz egyedi azonosítója a szolgáltatásban |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
ActionType |
string |
Az eseményt kiváltó tevékenység típusa |
LogonType |
string |
A bejelentkezési munkamenet típusa, konkrétan: - Interaktív – A felhasználó fizikailag kommunikál az eszközzel a helyi billentyűzet és képernyő használatával - Távoli interaktív (RDP-) bejelentkezések – A felhasználó távolról kommunikál az eszközzel a távoli asztal, a terminálszolgáltatások, a távsegítség vagy más RDP-ügyfelek használatával - Hálózat – A munkamenet akkor indul el, amikor az eszköz a PsExec használatával érhető el, vagy amikor az eszközön megosztott erőforrások, például nyomtatók és megosztott mappák érhetők el - Batch – Ütemezett tevékenységek által kezdeményezett munkamenet - Szolgáltatás – A szolgáltatások által az indításkor kezdeményezett munkamenet |
AccountDomain |
string |
A fiók tartománya |
AccountName |
string |
A fiók felhasználóneve |
AccountSid |
string |
A fiók biztonsági azonosítója (SID) |
Protocol |
string |
A kommunikáció során használt protokoll |
FailureReason |
string |
Információ arról, hogy miért hiúsult meg a rögzített művelet |
IsLocalAdmin |
boolean |
Logikai jelzés arról, hogy a felhasználó helyi rendszergazda-e az eszközön |
LogonId |
long |
Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön. |
RemoteDeviceName |
string |
Annak az eszköznek a neve, amely távoli műveletet hajtott végre az érintett eszközön. A jelentett eseménytől függően ez a név lehet teljes tartománynév (FQDN), NetBIOS-név vagy állomásnév tartományi adatok nélkül. |
RemoteIP |
string |
Annak az eszköznek az IP-címe, amelyről a bejelentkezési kísérletet végrehajtották |
RemoteIPType |
string |
Az IP-cím típusa, például Nyilvános, Privát, Fenntartott, Visszacsatolás, Teredo, FourToSixMapping és Szórás |
RemotePort |
int |
TCP-port azon a távoli eszközön, amelyhez csatlakozik |
InitiatingProcessAccountDomain |
string |
Az eseményért felelős folyamatot futtató fiók tartománya |
InitiatingProcessAccountName |
string |
Az eseményért felelős folyamatot futtató fiók felhasználóneve |
InitiatingProcessAccountSid |
string |
Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID) |
InitiatingProcessAccountUpn |
string |
Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN) |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját |
InitiatingProcessIntegrityLevel |
string |
Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit. |
InitiatingProcessTokenElevation |
string |
Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi |
InitiatingProcessSHA1 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata |
InitiatingProcessSHA256 |
string |
Az eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot. |
InitiatingProcessMD5 |
string |
Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata |
InitiatingProcessFileName |
string |
Az eseményt kezdeményező folyamatfájl neve; ha nem érhető el, előfordulhat, hogy az eseményt kezdeményező folyamat neve jelenik meg |
InitiatingProcessFileSize |
long |
Az eseményért felelős folyamatot futtató fájl mérete |
InitiatingProcessVersionInfoCompanyName |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév |
InitiatingProcessVersionInfoProductName |
string |
Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl) |
InitiatingProcessVersionInfoProductVersion |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió |
InitiatingProcessVersionInfoInternalFileName |
string |
Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl) |
InitiatingProcessVersionInfoFileDescription |
string |
Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása |
InitiatingProcessId |
long |
Az eseményt kezdeményező folyamat folyamatazonosítója (PID) |
InitiatingProcessCommandLine |
string |
Az eseményt kezdeményező folyamat futtatásához használt parancssor |
InitiatingProcessCreationTime |
datetime |
Az eseményt kezdeményező folyamat indításának dátuma és időpontja |
InitiatingProcessFolderPath |
string |
Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa |
InitiatingProcessParentId |
long |
Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID) |
InitiatingProcessParentFileName |
string |
Az eseményért felelős folyamatot kiváltó szülőfolyamat neve vagy teljes elérési útja |
InitiatingProcessParentCreationTime |
datetime |
Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja |
ReportId |
long |
Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni. |
AppGuardContainerId |
string |
A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója |
AdditionalFields |
string |
További információ az eseményről JSON-tömbformátumban |
InitiatingProcessSessionId |
long |
A kezdeményező folyamat Windows-munkamenet-azonosítója |
IsInitiatingProcessRemoteSession |
bool |
Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e. |
InitiatingProcessRemoteSessionDeviceName |
string |
Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték |
InitiatingProcessRemoteSessionIP |
string |
Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték |
Megjegyzés:
A DeviceLogonEvents gyűjtemény nem támogatott a Végponthoz készült Defenderbe előkészített Windows 7 vagy Windows Server 2008R2 rendszerű eszközökön. Javasoljuk, hogy frissítsen egy újabb operációs rendszerre a felhasználói bejelentkezési tevékenységek optimális láthatósága érdekében.
Kapcsolódó témakörök
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- Megosztott lekérdezések használata
- Keresés eszközök, e-mailek, alkalmazások és identitások között
- A séma értelmezése
- Ajánlott lekérdezési eljárások alkalmazása
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.