IdentityLogonEvents

  • Cikk

Érintett szolgáltatás:

  • Microsoft Defender XDR

A IdentityLogonEventsspeciális veszélyforrás-keresési séma táblázata információkat tartalmaz a Microsoft Defender for Identity által rögzített helyi Active Directory keresztül végzett hitelesítési tevékenységekről, valamint a microsoftos online szolgáltatások által rögzített hitelesítési tevékenységekről Microsoft Defender for Cloud Apps. Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza ebből a táblából.

Tipp

A táblák által támogatott eseménytípusokkal (ActionTypeértékekkel) kapcsolatos részletes információkért használja a Microsoft Defender XDR-ben elérhető beépített sémareferenciát.

Megjegyzés:

Ez a táblázat a Defender for Cloud Apps által nyomon követett Microsoft Entra bejelentkezési tevékenységeket, különösen az ActiveSyncet és más örökölt protokollokat használó interaktív bejelentkezéseket és hitelesítési tevékenységeket ismerteti. A táblázatban nem elérhető nem interaktív bejelentkezések az Microsoft Entra auditnaplóban tekinthetők meg. További információ a Defender for Cloud Apps microsoft 365-höz való csatlakoztatásáról

A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.

Oszlopnév Adattípus Leírás
Timestamp datetime Az esemény rögzítésének dátuma és időpontja
ActionType string Az eseményt kiváltó tevékenység típusa. Részletekért tekintse meg a portálon belüli sémareferenciát
Application string A rögzített műveletet végrehajtó alkalmazás
LogonType string A bejelentkezési munkamenet típusa. További információ: Támogatott bejelentkezési típusok.
Protocol string Használt hálózati protokoll
FailureReason string Információ arról, hogy miért hiúsult meg a rögzített művelet
AccountName string A fiók felhasználóneve
AccountDomain string A fiók tartománya
AccountUpn string A fiók egyszerű felhasználóneve (UPN)
AccountSid string A fiók biztonsági azonosítója (SID)
AccountObjectId string A fiók egyedi azonosítója a Microsoft Entra ID
AccountDisplayName string A címjegyzékben megjelenített fiókfelhasználó neve. Általában egy adott vagy utónév, egy középső monogram és egy vezetéknév vagy vezetéknév kombinációja.
DeviceName string Az eszköz teljes tartományneve (FQDN)
DeviceType string Az eszköz típusa a rendeltetés és a funkciók, például a hálózati eszköz, a munkaállomás, a kiszolgáló, a mobil, a játékkonzol vagy a nyomtató alapján
OSPlatform string Az eszközön futó operációs rendszer platformja. Ez adott operációs rendszereket jelez, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et.
IPAddress string A végponthoz rendelt ÉS a kapcsolódó hálózati kommunikáció során használt IP-cím
Port int Kommunikáció során használt TCP-port
DestinationDeviceName string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz neve
DestinationIPAddress string A rögzített műveletet feldolgozó kiszolgálóalkalmazást futtató eszköz IP-címe
DestinationPort int Kapcsolódó hálózati kommunikáció célportja
TargetDeviceName string Annak az eszköznek a teljes tartományneve (FQDN), amelyekre a rögzített műveletet alkalmazták
TargetAccountDisplayName string Annak a fióknak a megjelenítendő neve, amelyen a rögzített műveletet alkalmazták
Location string Az eseményhez társított város, ország/régió vagy más földrajzi hely
Isp string A végpont IP-címéhez társított internetszolgáltató (ISP)
ReportId string Az esemény egyedi azonosítója
AdditionalFields dynamic További információ az entitásról vagy eseményről

Támogatott bejelentkezési típusok

Az alábbi táblázat az oszlop támogatott értékeit sorolja fel LogonType .

Bejelentkezés típusa Figyelt tevékenység Leírás
2. bejelentkezési típus Hitelesítő adatok érvényesítése Tartományi fiók hitelesítési eseménye az NTLM- és Kerberos-hitelesítési módszerekkel.
2. bejelentkezési típus Interaktív bejelentkezés A felhasználó egy felhasználónév és jelszó megadásával szerzett hálózati hozzáférést (Kerberos vagy NTLM hitelesítési módszer).
2. bejelentkezési típus Interaktív bejelentkezés tanúsítvánnyal A felhasználó tanúsítvány használatával szerzett hálózati hozzáférést.
2. bejelentkezési típus VPN-kapcsolat VPN-rel csatlakoztatott felhasználó – Hitelesítés RADIUS protokollal.
3. bejelentkezési típus Erőforrás-hozzáférés A felhasználó Kerberos- vagy NTLM-hitelesítéssel fért hozzá egy erőforráshoz.
3. bejelentkezési típus Delegált erőforrás-hozzáférés A felhasználó Kerberos-delegálással fért hozzá egy erőforráshoz.
8. bejelentkezési típus LDAP Cleartext A felhasználó az LDAP használatával, egyértelmű szöveges jelszóval (egyszerű hitelesítés) hitelesítve van.
10-es bejelentkezési típus Távoli asztal A felhasználó Kerberos-hitelesítéssel RDP-munkamenetet hajtott végre egy távoli számítógépen.
--- Sikertelen bejelentkezés A tartományi fiók hitelesítési kísérlete (NTLM-en és Kerberoson keresztül) meghiúsult a következő miatt: a fiók le lett tiltva/lejárt/zárolva lett/nem megbízható tanúsítványt használt, vagy érvénytelen bejelentkezési idő/régi jelszó/lejárt jelszó/helytelen jelszó miatt.
--- Sikertelen bejelentkezés tanúsítvánnyal A tartományi fiók hitelesítési kísérlete (Kerberoson keresztül) meghiúsult a következő miatt: a fiók le lett tiltva/lejárt/zárolva lett/nem megbízható tanúsítványt használt, vagy érvénytelen bejelentkezési idő/régi jelszó/lejárt jelszó/helytelen jelszó miatt.

Tipp

Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.