DeviceLogonEvents
適用対象:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
高度なハンティング スキーマのDeviceLogonEvents テーブルには、デバイスでのユーザー ログオンやその他の認証イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
DeviceId |
string |
サービス内のデバイスの一意識別子 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
ActionType |
string |
イベントをトリガーしたアクティビティの種類 |
LogonType |
string |
ログオン セッションの種類。具体的には次のとおりです。 - 対話型 - ユーザーはローカル キーボードと画面を使用してデバイスと物理的に対話します - リモート 対話型 (RDP) ログオン - ユーザーは、リモート デスクトップ、ターミナル サービス、リモート アシスタンス、またはその他の RDP クライアントを使用してリモートでデバイスと対話します - ネットワーク - PsExec を使用してデバイスにアクセスしたとき、またはプリンターや共有フォルダーなどのデバイス上の共有リソースにアクセスするときに開始されるセッション - Batch - スケジュールされたタスクによって開始されるセッション - サービス - 開始 時にサービスによって開始されるセッション |
AccountDomain |
string |
アカウントのドメイン |
AccountName |
string |
アカウントのユーザー名 |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
Protocol |
string |
通信中に使用されるプロトコル |
FailureReason |
string |
記録されたアクションが失敗した理由を説明する情報 |
IsLocalAdmin |
boolean |
ユーザーがデバイスのローカル管理者であるかどうかを示すブール値インジケーター |
LogonId |
long |
ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じデバイスで一意です。 |
RemoteDeviceName |
string |
影響を受けるデバイスでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前は完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名です。 |
RemoteIP |
string |
ログオン試行が実行されたデバイスの IP アドレス |
RemoteIPType |
string |
IP アドレスの種類 (パブリック、プライベート、予約済み、ループバック、Teredo、FourToSixMapping、ブロードキャストなど) |
RemotePort |
int |
接続先のリモート デバイス上の TCP ポート |
InitiatingProcessAccountDomain |
string |
イベントを担当するプロセスを実行したアカウントのドメイン |
InitiatingProcessAccountName |
string |
イベントを担当するプロセスを実行したアカウントのユーザー名 |
InitiatingProcessAccountSid |
string |
イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID) |
InitiatingProcessAccountUpn |
string |
イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN) |
InitiatingProcessAccountObjectId |
string |
Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID |
InitiatingProcessIntegrityLevel |
string |
イベントを開始したプロセスの整合性レベル。 Windows では、インターネットのダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。 |
InitiatingProcessTokenElevation |
string |
イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類 |
InitiatingProcessSHA1 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ |
InitiatingProcessSHA256 |
string |
イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドには設定されません。使用可能な場合は SHA1 列を使用します。 |
InitiatingProcessMD5 |
string |
イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ |
InitiatingProcessFileName |
string |
イベントを開始したプロセス ファイルの名前。使用できない場合は、イベントを開始したプロセスの名前が代わりに表示される可能性があります |
InitiatingProcessFileSize |
long |
イベントを担当するプロセスを実行したファイルのサイズ |
InitiatingProcessVersionInfoCompanyName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名 |
InitiatingProcessVersionInfoProductName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名 |
InitiatingProcessVersionInfoProductVersion |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン |
InitiatingProcessVersionInfoInternalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名 |
InitiatingProcessVersionInfoOriginalFileName |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名 |
InitiatingProcessVersionInfoFileDescription |
string |
イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明 |
InitiatingProcessId |
long |
イベントを開始したプロセスのプロセス ID (PID) |
InitiatingProcessCommandLine |
string |
イベントを開始したプロセスの実行に使用されるコマンド ライン |
InitiatingProcessCreationTime |
datetime |
イベントを開始したプロセスが開始された日時 |
InitiatingProcessFolderPath |
string |
イベントを開始したプロセス (イメージ ファイル) を含むフォルダー |
InitiatingProcessParentId |
long |
イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID) |
InitiatingProcessParentFileName |
string |
イベントを担当するプロセスを生成した親プロセスの名前または完全パス |
InitiatingProcessParentCreationTime |
datetime |
イベントを担当するプロセスの親が開始された日時 |
ReportId |
long |
繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。 |
AppGuardContainerId |
string |
ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子 |
AdditionalFields |
string |
JSON 配列形式のイベントに関する追加情報 |
InitiatingProcessSessionId |
long |
開始プロセスの Windows セッション ID |
IsInitiatingProcessRemoteSession |
bool |
開始プロセスがリモート デスクトップ プロトコル (RDP) セッション (true) またはローカル (false) で実行されたかどうかを示します |
InitiatingProcessRemoteSessionDeviceName |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスのデバイス名 |
InitiatingProcessRemoteSessionIP |
string |
開始プロセスの RDP セッションが開始されたリモート デバイスの IP アドレス |
注:
DeviceLogonEvents のコレクションは、Defender for Endpoint にオンボードされている Windows 7 または Windows Server 2008R2 デバイスではサポートされていません。 ユーザー ログオン アクティビティを最適に表示するために、より新しいオペレーティング システムにアップグレードすることをお勧めします。
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。