Condividi tramite

IdentityLogonEvents

  • Articolo

Si applica a:

  • Microsoft Defender XDR

La IdentityLogonEvents tabella nello schema di ricerca avanzata contiene informazioni sulle attività di autenticazione eseguite tramite l'Active Directory locale acquisite da Microsoft Defender per identità e attività di autenticazione correlate a Microsoft Servizi online acquisite da Microsoft Defender for Cloud Apps. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.

Consiglio

Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.

Nota

Questa tabella illustra le attività di accesso Microsoft Entra monitorate da Defender per app cloud, in particolare gli accessi interattivi e le attività di autenticazione tramite ActiveSync e altri protocolli legacy. Gli accessi non interattivi non disponibili in questa tabella possono essere visualizzati nel log di controllo Microsoft Entra. Altre informazioni sulla connessione di Defender for Cloud Apps a Microsoft 365

Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.

Nome colonna Tipo di dati Descrizione
Timestamp datetime Data e ora di registrazione dell'evento
ActionType string Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale
Application string Applicazione che ha eseguito l'azione registrata
LogonType string Tipo di sessione di accesso. Per altre informazioni, vedere Tipi di accesso supportati.
Protocol string Protocollo di rete usato
FailureReason string Informazioni che spiegano perché l'azione registrata non è riuscita
AccountName string Nome utente dell'account
AccountDomain string Dominio dell'account
AccountUpn string Nome dell'entità utente (UPN) dell'account
AccountSid string Identificatore di sicurezza (SID) dell'account
AccountObjectId string Identificatore univoco per l'account in Microsoft Entra ID
AccountDisplayName string Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome.
DeviceName string Nome di dominio completo (FQDN) del dispositivo
DeviceType string Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante
OSPlatform string Piattaforma del sistema operativo in esecuzione nel dispositivo. Indica sistemi operativi specifici, incluse varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7.
IPAddress string Indirizzo IP assegnato all'endpoint e usato durante le comunicazioni di rete correlate
Port int Porta TCP usata durante la comunicazione
DestinationDeviceName string Nome del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata
DestinationIPAddress string Indirizzo IP del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata
DestinationPort int Porta di destinazione delle comunicazioni di rete correlate
TargetDeviceName string Nome di dominio completo (FQDN) del dispositivo a cui è stata applicata l'azione registrata
TargetAccountDisplayName string Nome visualizzato dell'account a cui è stata applicata l'azione registrata
Location string Città, paese/area geografica o altra posizione geografica associata all'evento
Isp string Provider di servizi Internet (ISP) associato all'indirizzo IP dell'endpoint
ReportId string Identificatore univoco per l'evento
AdditionalFields dynamic Informazioni aggiuntive sull'entità o sull'evento

Tipi di accesso supportati

Nella tabella seguente sono elencati i valori supportati per la LogonType colonna.

Tipo di accesso Attività monitorata Descrizione
Tipo di accesso 2 Convalida delle credenziali Evento di autenticazione dell'account di dominio con i metodi di autenticazione NTLM e Kerberos.
Tipo di accesso 2 Accesso interattivo L'utente ha ottenuto l'accesso alla rete immettendo un nome utente e una password (metodo di autenticazione Kerberos o NTLM).
Tipo di accesso 2 Accesso interattivo con certificato L'utente ha ottenuto l'accesso alla rete usando un certificato.
Tipo di accesso 2 Connexion VPN Utente connesso tramite VPN : autenticazione tramite protocollo RADIUS.
Tipo di accesso 3 Accesso alle risorse L'utente ha eseguito l'accesso a una risorsa usando l'autenticazione Kerberos o NTLM.
Tipo di accesso 3 Accesso delegato alle risorse L'utente ha eseguito l'accesso a una risorsa usando la delega Kerberos.
Tipo di accesso 8 Testo non crittografato LDAP Utente autenticato tramite LDAP con una password non crittografata (autenticazione semplice).
Tipo di accesso 10 Desktop remoto L'utente ha eseguito una sessione RDP in un computer remoto usando l'autenticazione Kerberos.
--- Accesso non riuscito Tentativo di autenticazione con account di dominio non riuscito (tramite NTLM e Kerberos) a causa dei seguenti problemi: l'account è stato disabilitato/scaduto/bloccato/ha usato un certificato non attendibile o a causa di ore di accesso non valide/password obsoleta/password scaduta/password errata.
--- Accesso non riuscito con certificato Tentativo di autenticazione con account di dominio non riuscito (tramite Kerberos) a causa del seguente: l'account è stato disabilitato/scaduto/bloccato/ha usato un certificato non attendibile o a causa di ore di accesso non valide/password precedente/password scaduta/password errata.

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.