Share via


DeviceLogonEvents

適用対象:

  • Microsoft Defender XDR
  • Microsoft Defender for Endpoint

DeviceLogonEvents高度なハンティング スキーマのテーブルには、デバイス上のユーザー ログオンやその他の認証イベントに関する情報が含まれています。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

ヒント

テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
DeviceId string サービス内のデバイスの一意識別子
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)
ActionType string イベントをトリガーしたアクティビティの種類
LogonType string ログオン セッションの種類。具体的には次のとおりです。

- 対話型 - ユーザーはローカル キーボードと画面を使用してデバイスと物理的に対話します

- リモート 対話型 (RDP) ログオン - ユーザーは、リモート デスクトップ、ターミナル サービス、リモート アシスタンス、またはその他の RDP クライアントを使用してリモートでデバイスと対話します

- ネットワーク - PsExec を使用してデバイスにアクセスしたとき、またはプリンターや共有フォルダーなどのデバイス上の共有リソースにアクセスするときに開始されるセッション

- Batch - スケジュールされたタスクによって開始されるセッション

- サービス - 開始 時にサービスによって開始されるセッション
AccountDomain string アカウントのドメイン
AccountName string アカウントのユーザー名
AccountSid string アカウントのセキュリティ識別子 (SID)
Protocol string 通信中に使用されるプロトコル
FailureReason string 記録されたアクションが失敗した理由を説明する情報
IsLocalAdmin boolean ユーザーがデバイスのローカル管理者であるかどうかを示すブール値インジケーター
LogonId long ログオン セッションの識別子。 この識別子は、再起動の間にのみ同じデバイスで一意です。
RemoteDeviceName string 影響を受けるデバイスでリモート操作を実行したデバイスの名前。 報告されるイベントに応じて、この名前は完全修飾ドメイン名 (FQDN)、NetBIOS 名、またはドメイン情報のないホスト名です。
RemoteIP string ログオン試行が実行されたデバイスの IP アドレス
RemoteIPType string IP アドレスの種類 (パブリック、プライベート、予約済み、ループバック、Teredo、FourToSixMapping、ブロードキャストなど)
RemotePort int 接続先のリモート デバイス上の TCP ポート
InitiatingProcessAccountDomain string イベントを担当するプロセスを実行したアカウントのドメイン
InitiatingProcessAccountName string イベントを担当するプロセスを実行したアカウントのユーザー名
InitiatingProcessAccountSid string イベントを担当するプロセスを実行したアカウントのセキュリティ識別子 (SID)
InitiatingProcessAccountUpn string イベントを担当するプロセスを実行したアカウントのユーザー プリンシパル名 (UPN)
InitiatingProcessAccountObjectId string Microsoft Entraイベントを担当するプロセスを実行したユーザー アカウントのオブジェクト ID
InitiatingProcessIntegrityLevel string イベントを開始したプロセスの整合性レベル。 Windows では、インターネットのダウンロードから起動された場合など、特定の特性に基づいてプロセスに整合性レベルが割り当てられます。 これらの整合性レベルは、リソースへのアクセス許可に影響します。
InitiatingProcessTokenElevation string イベントを開始したプロセスに適用されるユーザー Access Control (UAC) 特権昇格の有無を示すトークンの種類
InitiatingProcessSHA1 string イベントを開始したプロセス (イメージ ファイル) の SHA-1 ハッシュ
InitiatingProcessSHA256 string イベントを開始したプロセス (イメージ ファイル) の SHA-256 ハッシュ。 通常、このフィールドには設定されません。使用可能な場合は SHA1 列を使用します。
InitiatingProcessMD5 string イベントを開始したプロセス (イメージ ファイル) の MD5 ハッシュ
InitiatingProcessFileName string イベントを開始したプロセスの名前
InitiatingProcessFileSize long イベントを担当するプロセスを実行したファイルのサイズ
InitiatingProcessVersionInfoCompanyName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの会社名
InitiatingProcessVersionInfoProductName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品名
InitiatingProcessVersionInfoProductVersion string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの製品バージョン
InitiatingProcessVersionInfoInternalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの内部ファイル名
InitiatingProcessVersionInfoOriginalFileName string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの元のファイル名
InitiatingProcessVersionInfoFileDescription string イベントを担当するプロセス (イメージ ファイル) のバージョン情報からの説明
InitiatingProcessId long イベントを開始したプロセスのプロセス ID (PID)
InitiatingProcessCommandLine string イベントを開始したプロセスの実行に使用されるコマンド ライン
InitiatingProcessCreationTime datetime イベントを開始したプロセスが開始された日時
InitiatingProcessFolderPath string イベントを開始したプロセス (イメージ ファイル) を含むフォルダー
InitiatingProcessParentId long イベントを担当するプロセスを生成した親プロセスのプロセス ID (PID)
InitiatingProcessParentFileName string イベントを担当するプロセスを生成した親プロセスの名前または完全パス
InitiatingProcessParentCreationTime datetime イベントを担当するプロセスの親が開始された日時
ReportId long 繰り返しカウンターに基づくイベント識別子。 一意のイベントを識別するには、この列を DeviceName 列と Timestamp 列と組み合わせて使用する必要があります。
AppGuardContainerId string ブラウザー アクティビティを分離するためにApplication Guardによって使用される仮想化コンテナーの識別子
AdditionalFields string JSON 配列形式のイベントに関する追加情報

注:

DeviceLogonEvents のコレクションは、Defender for Endpoint にオンボードされている Windows 7 または Windows Server 2008R2 デバイスではサポートされていません。 ユーザー ログオン アクティビティを最適に表示するために、より新しいオペレーティング システムにアップグレードすることをお勧めします。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします