Share via


IdentityLogonEvents

適用対象:

  • Microsoft Defender XDR

IdentityLogonEvents高度なハンティング スキーマの表には、Microsoft Defender for Identityによってキャプチャされたオンプレミスの Active Directoryによって行われた認証アクティビティと、キャプチャされた Microsoft オンライン サービスに関連する認証アクティビティに関する情報が含まれていますMicrosoft Defender for Cloud Apps。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。

ヒント

テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。

注:

この表では、Defender for Cloud Apps によって追跡されるMicrosoft Entraログオン アクティビティ、特に ActiveSync やその他のレガシ プロトコルを使用した対話型サインインと認証アクティビティについて説明します。 このテーブルで使用できない非対話型ログオンは、Microsoft Entra監査ログで表示できます。 Defender for Cloud Apps を Microsoft 365 に接続する方法の詳細

高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。

列名 データ型 説明
Timestamp datetime イベントが記録された日付と時刻
ActionType string イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください
Application string 記録されたアクションを実行したアプリケーション
LogonType string ログオン セッションの種類。 詳細については、「 サポートされているログオンの種類」を参照してください。
Protocol string 使用されるネットワーク プロトコル
FailureReason string 記録されたアクションが失敗した理由を説明する情報
AccountName string アカウントのユーザー名
AccountDomain string アカウントのドメイン
AccountUpn string アカウントのユーザー プリンシパル名 (UPN)
AccountSid string アカウントのセキュリティ識別子 (SID)
AccountObjectId string Microsoft Entra IDのアカウントの一意識別子
AccountDisplayName string アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。
DeviceName string デバイスの完全修飾ドメイン名 (FQDN)
DeviceType string ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類
OSPlatform string デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。
IPAddress string エンドポイントに割り当てられ、関連するネットワーク通信中に使用される IP アドレス
Port int 通信中に使用される TCP ポート
DestinationDeviceName string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前
DestinationIPAddress string 記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレス
DestinationPort int 関連するネットワーク通信の宛先ポート
TargetDeviceName string 記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN)
TargetAccountDisplayName string 記録されたアクションが適用されたアカウントの表示名
Location string イベントに関連付けられている市区町村、国/地域、またはその他の地理的な場所
Isp string エンドポイント IP アドレスに関連付けられているインターネット サービス プロバイダー (ISP)
ReportId string イベントの一意識別子
AdditionalFields dynamic エンティティまたはイベントに関する追加情報

サポートされているログオンの種類

次の表に、列でサポートされている値を LogonType 示します。

ログオンの種類 監視対象のアクティビティ 説明
ログオンの種類 2 資格情報の検証 NTLM および Kerberos 認証方法を使用したドメイン アカウント認証イベント。
ログオンの種類 2 対話型ログオン ユーザーは、ユーザー名とパスワード (認証方法 Kerberos または NTLM) を入力してネットワーク アクセスを取得しました。
ログオンの種類 2 証明書を使用した対話型ログオン ユーザーは、証明書を使用してネットワーク アクセスを取得しました。
ログオンの種類 2 VPN 接続 VPN で接続されたユーザー - RADIUS プロトコルを使用した認証。
ログオンの種類 3 リソース アクセス ユーザーが Kerberos または NTLM 認証を使用してリソースにアクセスしました。
ログオンの種類 3 委任されたリソース アクセス ユーザーが Kerberos 委任を使用してリソースにアクセスしました。
ログオンの種類 8 LDAP Cleartext クリア テキスト パスワード (簡易認証) を使用して LDAP を使用して認証されたユーザー。
ログオンの種類 10 リモート デスクトップ ユーザーは、Kerberos 認証を使用してリモート コンピューターへの RDP セッションを実行しました。
--- 失敗したログオン ドメイン アカウントが認証試行に失敗しました (NTLM と Kerberos を介して): アカウントが無効/期限切れ/ロック/信頼されていない証明書を使用したか、無効なログオン時間/古いパスワード/期限切れのパスワード/間違ったパスワードが原因です。
--- 証明書を使用した失敗したログオン ドメイン アカウントは、(Kerberos 経由で) 認証試行に失敗しました。アカウントが無効/期限切れ/ロック/信頼されていない証明書を使用したか、無効なログオン時間/古いパスワード/期限切れのパスワード/間違ったパスワードが原因です。

ヒント

さらに多くの情報を得るには、 Tech Community: Microsoft Defender XDR Tech Community の Microsoft Security コミュニティとEngageします