Megosztás a következőn keresztül:


DeviceLogonEvents

Érintett szolgáltatás:

  • Microsoft Defender XDR
  • Végponthoz készült Microsoft Defender

A DeviceLogonEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz a felhasználói bejelentkezésekről és az eszközök egyéb hitelesítési eseményeiről. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
DeviceId string Az eszköz egyedi azonosítója a szolgáltatásban
DeviceName string Az eszköz teljes tartományneve (FQDN)
ActionType string Az eseményt kiváltó tevékenység típusa
LogonType string A bejelentkezési munkamenet típusa, konkrétan:

- Interaktív – A felhasználó fizikailag kommunikál az eszközzel a helyi billentyűzet és képernyő használatával

- Távoli interaktív (RDP-) bejelentkezések – A felhasználó távolról kommunikál az eszközzel a távoli asztal, a terminálszolgáltatások, a távsegítség vagy más RDP-ügyfelek használatával

- Hálózat – A munkamenet akkor indul el, amikor az eszköz a PsExec használatával érhető el, vagy amikor az eszközön megosztott erőforrások, például nyomtatók és megosztott mappák érhetők el

- Batch – Ütemezett tevékenységek által kezdeményezett munkamenet

- Szolgáltatás – A szolgáltatások által az indításkor kezdeményezett munkamenet
AccountDomain string A fiók tartománya
AccountName string A fiók felhasználóneve
AccountSid string A fiók biztonsági azonosítója (SID)
Protocol string A kommunikáció során használt protokoll
FailureReason string Információ arról, hogy miért hiúsult meg a rögzített művelet
IsLocalAdmin boolean Logikai jelzés arról, hogy a felhasználó helyi rendszergazda-e az eszközön
LogonId long Bejelentkezési munkamenet azonosítója. Ez az azonosító csak az újraindítások között egyedi ugyanazon az eszközön.
RemoteDeviceName string Annak az eszköznek a neve, amely távoli műveletet hajtott végre az érintett eszközön. A jelentett eseménytől függően ez a név lehet teljes tartománynév (FQDN), NetBIOS-név vagy állomásnév tartományi adatok nélkül.
RemoteIP string Annak az eszköznek az IP-címe, amelyről a bejelentkezési kísérletet végrehajtották
RemoteIPType string Az IP-cím típusa, például Nyilvános, Privát, Fenntartott, Visszacsatolás, Teredo, FourToSixMapping és Szórás
RemotePort int TCP-port azon a távoli eszközön, amelyhez csatlakozik
InitiatingProcessAccountDomain string Az eseményért felelős folyamatot futtató fiók tartománya
InitiatingProcessAccountName string Az eseményért felelős folyamatot futtató fiók felhasználóneve
InitiatingProcessAccountSid string Az eseményért felelős folyamatot futtató fiók biztonsági azonosítója (SID)
InitiatingProcessAccountUpn string Az eseményért felelős folyamatot futtató fiók egyszerű felhasználóneve (UPN)
InitiatingProcessAccountObjectId string Microsoft Entra eseményért felelős folyamatot futtató felhasználói fiók objektumazonosítóját
InitiatingProcessIntegrityLevel string Az eseményt kezdeményező folyamat integritási szintje. A Windows bizonyos jellemzők alapján integritási szinteket rendel a folyamatokhoz, például ha azokat internetes letöltésből indították el. Ezek az integritási szintek befolyásolják az erőforrások engedélyeit.
InitiatingProcessTokenElevation string Jogkivonat típusa, amely az eseményt kezdeményező folyamatra alkalmazott felhasználói Access Control (UAC) jogosultságszint-emelés meglétét vagy hiányát jelzi
InitiatingProcessSHA1 string Az eseményt kezdeményező folyamat (képfájl) SHA-1 kivonata
InitiatingProcessSHA256 string Az eseményt kezdeményező folyamat (képfájl) SHA-256 kivonata. Ez a mező általában nincs kitöltve – ha elérhető, használja az SHA1 oszlopot.
InitiatingProcessMD5 string Az eseményt kezdeményező folyamat (képfájl) MD5-kivonata
InitiatingProcessFileName string Az eseményt kezdeményező folyamatfájl neve; ha nem érhető el, előfordulhat, hogy az eseményt kezdeményező folyamat neve jelenik meg
InitiatingProcessFileSize long Az eseményért felelős folyamatot futtató fájl mérete
InitiatingProcessVersionInfoCompanyName string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó cégnév
InitiatingProcessVersionInfoProductName string Az eseményért felelős folyamat verzióinformációiból származó terméknév (képfájl)
InitiatingProcessVersionInfoProductVersion string Az eseményért felelős folyamat (képfájl) verzióinformációiból származó termékverzió
InitiatingProcessVersionInfoInternalFileName string Az eseményért felelős folyamat verzióinformációiból származó belső fájlnév (képfájl)
InitiatingProcessVersionInfoOriginalFileName string Az eseményért felelős folyamat verzióinformációinak eredeti fájlneve (képfájl)
InitiatingProcessVersionInfoFileDescription string Az eseményért felelős folyamat (képfájl) verzióinformációinak leírása
InitiatingProcessId long Az eseményt kezdeményező folyamat folyamatazonosítója (PID)
InitiatingProcessCommandLine string Az eseményt kezdeményező folyamat futtatásához használt parancssor
InitiatingProcessCreationTime datetime Az eseményt kezdeményező folyamat indításának dátuma és időpontja
InitiatingProcessFolderPath string Az eseményt kezdeményező folyamatot (képfájlt) tartalmazó mappa
InitiatingProcessParentId long Az eseményért felelős folyamatot kiváltó szülőfolyamat folyamatazonosítója (PID)
InitiatingProcessParentFileName string Az eseményért felelős folyamatot kiváltó szülőfolyamat neve vagy teljes elérési útja
InitiatingProcessParentCreationTime datetime Az eseményért felelős folyamat szülőjének indításának dátuma és időpontja
ReportId long Ismétlődő számlálón alapuló eseményazonosító. Az egyedi események azonosításához ezt az oszlopot a DeviceName és az Időbélyeg oszlopokkal együtt kell használni.
AppGuardContainerId string A Alkalmazásőr által a böngészőtevékenység elkülönítésére használt virtualizált tároló azonosítója
AdditionalFields string További információ az eseményről JSON-tömbformátumban
InitiatingProcessSessionId long A kezdeményező folyamat Windows-munkamenet-azonosítója
IsInitiatingProcessRemoteSession bool Azt jelzi, hogy a kezdeményező folyamatot távoli asztali protokoll (RDP) munkamenet (true) vagy helyi (hamis) alatt futtatták-e.
InitiatingProcessRemoteSessionDeviceName string Annak a távoli eszköznek az eszközneve, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték
InitiatingProcessRemoteSessionIP string Annak a távoli eszköznek az IP-címe, amelyről a kezdeményező folyamat RDP-munkamenetét kezdeményezték

Megjegyzés:

A DeviceLogonEvents gyűjtemény nem támogatott a Végponthoz készült Defenderbe előkészített Windows 7 vagy Windows Server 2008R2 rendszerű eszközökön. Javasoljuk, hogy frissítsen egy újabb operációs rendszerre a felhasználói bejelentkezési tevékenységek optimális láthatósága érdekében.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.