IdentityLogonEvents
적용 대상:
- Microsoft Defender XDR
IdentityLogonEvents
고급 헌팅 스키마의 표에는 Microsoft Defender for Identity 캡처한 온-프레미스 Active Directory 통해 수행된 인증 활동 및 캡처된 Microsoft 온라인 서비스 관련된 인증 활동에 대한 정보가 포함되어 있습니다. Microsoft Defender for Cloud Apps. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.
참고
이 표에서는 Defender for Cloud Apps에서 추적하는 Microsoft Entra 로그온 활동, 특히 ActiveSync 및 기타 레거시 프로토콜을 사용하는 대화형 로그인 및 인증 활동에 대해 설명합니다. 이 테이블에서 사용할 수 없는 비대화형 로그온은 Microsoft Entra 감사 로그에서 볼 수 있습니다. Defender for Cloud Apps를 Microsoft 365에 연결하는 방법에 대해 자세히 알아보기
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요. |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
LogonType |
string |
로그온 세션의 유형입니다. 자세한 내용은 지원되는 로그온 유형을 참조하세요. |
Protocol |
string |
사용되는 네트워크 프로토콜 |
FailureReason |
string |
기록된 작업이 실패한 이유를 설명하는 정보 |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
AccountSid |
string |
계정의 SID(보안 식별자) |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountDisplayName |
string |
주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다. |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
DeviceType |
string |
네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함한 특정 운영 체제를 나타냅니다. |
IPAddress |
string |
엔드포인트에 할당되고 관련 네트워크 통신 중에 사용되는 IP 주소 |
Port |
int |
통신 중에 사용되는 TCP 포트 |
DestinationDeviceName |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 이름 |
DestinationIPAddress |
string |
기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 IP 주소 |
DestinationPort |
int |
관련 네트워크 통신의 대상 포트 |
TargetDeviceName |
string |
기록된 작업이 적용된 디바이스의 FQDN(정규화된 도메인 이름) |
TargetAccountDisplayName |
string |
기록된 작업이 적용된 계정의 표시 이름 |
Location |
string |
이벤트와 연결된 도시, 국가/지역 또는 기타 지리적 위치 |
Isp |
string |
엔드포인트 IP 주소와 연결된 ISP(인터넷 서비스 공급자) |
ReportId |
string |
이벤트에 대한 고유 식별자 |
AdditionalFields |
dynamic |
엔터티 또는 이벤트에 대한 추가 정보 |
지원되는 로그온 유형
다음 표에서는 열에 대해 지원되는 값을 나열합니다 LogonType .
| 로그온 유형 | 모니터링된 활동 | 설명 |
|---|---|---|
| 로그온 유형 2 | 자격 증명 유효성 검사 | NTLM 및 Kerberos 인증 방법을 사용하는 도메인 계정 인증 이벤트입니다. |
| 로그온 유형 2 | 대화형 로그온 | 사용자는 사용자 이름 및 암호(인증 방법 Kerberos 또는 NTLM)를 입력하여 네트워크 액세스 권한을 얻었습니다. |
| 로그온 유형 2 | 인증서를 사용하여 대화형 로그온 | 사용자는 인증서를 사용하여 네트워크 액세스 권한을 얻었습니다. |
| 로그온 유형 2 | VPN 연결 | VPN으로 연결된 사용자 - RADIUS 프로토콜을 사용한 인증. |
| 로그온 유형 3 | 리소스 액세스 | 사용자가 Kerberos 또는 NTLM 인증을 사용하여 리소스에 액세스했습니다. |
| 로그온 유형 3 | 위임된 리소스 액세스 | 사용자가 Kerberos 위임을 사용하여 리소스에 액세스했습니다. |
| 로그온 유형 8 | LDAP 지우기 텍스트 | 사용자가 일반 텍스트 암호(단순 인증)로 LDAP를 사용하여 인증했습니다. |
| 로그온 유형 10 | 원격 데스크톱 | 사용자는 Kerberos 인증을 사용하여 원격 컴퓨터에 RDP 세션을 수행했습니다. |
| --- | 실패한 로그온 | NTLM 및 Kerberos를 통해 도메인 계정 인증 시도가 실패했습니다. 계정이 사용 안 함/만료/잠기거나 신뢰할 수 없는 인증서를 사용했거나 잘못된 로그온 시간/이전 암호/만료된 암호/잘못된 암호로 인해 사용되었습니다. |
| --- | 인증서를 사용하여 실패한 로그온 | 계정 사용 안 함/만료/잠금/신뢰할 수 없는 인증서 사용 또는 잘못된 로그온 시간/이전 암호/만료된 암호/잘못된 암호로 인해 도메인 계정에서 Kerberos를 통한 인증 시도가 실패했습니다. |
관련 항목
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.