다음을 통해 공유


IdentityLogonEvents

적용 대상:

  • Microsoft Defender XDR

IdentityLogonEvents고급 헌팅 스키마의 표에는 Microsoft Defender for Identity 캡처한 온-프레미스 Active Directory 통해 수행된 인증 활동 및 캡처된 Microsoft 온라인 서비스 관련된 인증 활동에 대한 정보가 포함되어 있습니다. Microsoft Defender for Cloud Apps. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.

테이블에서 지원하는 이벤트 유형(ActionType값)에 대한 자세한 내용은 Microsoft Defender XDR 사용할 수 있는 기본 제공 스키마 참조를 사용합니다.

참고

이 표에서는 Defender for Cloud Apps에서 추적하는 Microsoft Entra 로그온 활동, 특히 ActiveSync 및 기타 레거시 프로토콜을 사용하는 대화형 로그인 및 인증 활동에 대해 설명합니다. 이 테이블에서 사용할 수 없는 비대화형 로그온은 Microsoft Entra 감사 로그에서 볼 수 있습니다. Defender for Cloud Apps를 Microsoft 365에 연결하는 방법에 대해 자세히 알아보기

고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.

열 이름 데이터 형식 설명
Timestamp datetime 이벤트가 기록된 날짜와 시간
ActionType string 이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 스키마 참조를 참조하세요.
Application string 기록된 작업을 수행한 애플리케이션
LogonType string 로그온 세션의 유형입니다. 자세한 내용은 지원되는 로그온 유형을 참조하세요.
Protocol string 사용되는 네트워크 프로토콜
FailureReason string 기록된 작업이 실패한 이유를 설명하는 정보
AccountName string 계정의 사용자 이름
AccountDomain string 계정의 도메인
AccountUpn string 계정의 UPN(사용자 계정 이름)
AccountSid string 계정의 SID(보안 식별자)
AccountObjectId string Microsoft Entra ID 계정의 고유 식별자
AccountDisplayName string 주소록에 표시되는 계정 사용자의 이름입니다. 일반적으로 지정된 이름 또는 이름, 중간 이니셜 및 성 또는 성의 조합입니다.
DeviceName string 디바이스의 FQDN(정규화된 도메인 이름)
DeviceType string 네트워크 디바이스, 워크스테이션, 서버, 모바일, 게임 콘솔 또는 프린터와 같은 용도 및 기능에 따라 디바이스 유형
OSPlatform string 디바이스에서 실행되는 운영 체제의 플랫폼입니다. 이는 Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함한 특정 운영 체제를 나타냅니다.
IPAddress string 엔드포인트에 할당되고 관련 네트워크 통신 중에 사용되는 IP 주소
Port int 통신 중에 사용되는 TCP 포트
DestinationDeviceName string 기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 이름
DestinationIPAddress string 기록된 작업을 처리한 서버 애플리케이션을 실행하는 디바이스의 IP 주소
DestinationPort int 관련 네트워크 통신의 대상 포트
TargetDeviceName string 기록된 작업이 적용된 디바이스의 FQDN(정규화된 도메인 이름)
TargetAccountDisplayName string 기록된 작업이 적용된 계정의 표시 이름
Location string 이벤트와 연결된 도시, 국가/지역 또는 기타 지리적 위치
Isp string 엔드포인트 IP 주소와 연결된 ISP(인터넷 서비스 공급자)
ReportId string 이벤트에 대한 고유 식별자
AdditionalFields dynamic 엔터티 또는 이벤트에 대한 추가 정보

지원되는 로그온 유형

다음 표에서는 열에 대해 지원되는 값을 나열합니다 LogonType .

로그온 유형 모니터링된 활동 설명
로그온 유형 2 자격 증명 유효성 검사 NTLM 및 Kerberos 인증 방법을 사용하는 도메인 계정 인증 이벤트입니다.
로그온 유형 2 대화형 로그온 사용자는 사용자 이름 및 암호(인증 방법 Kerberos 또는 NTLM)를 입력하여 네트워크 액세스 권한을 얻었습니다.
로그온 유형 2 인증서를 사용하여 대화형 로그온 사용자는 인증서를 사용하여 네트워크 액세스 권한을 얻었습니다.
로그온 유형 2 VPN 연결 VPN으로 연결된 사용자 - RADIUS 프로토콜을 사용한 인증.
로그온 유형 3 리소스 액세스 사용자가 Kerberos 또는 NTLM 인증을 사용하여 리소스에 액세스했습니다.
로그온 유형 3 위임된 리소스 액세스 사용자가 Kerberos 위임을 사용하여 리소스에 액세스했습니다.
로그온 유형 8 LDAP 지우기 텍스트 사용자가 일반 텍스트 암호(단순 인증)로 LDAP를 사용하여 인증했습니다.
로그온 유형 10 원격 데스크톱 사용자는 Kerberos 인증을 사용하여 원격 컴퓨터에 RDP 세션을 수행했습니다.
--- 실패한 로그온 NTLM 및 Kerberos를 통해 도메인 계정 인증 시도가 실패했습니다. 계정이 사용 안 함/만료/잠기거나 신뢰할 수 없는 인증서를 사용했거나 잘못된 로그온 시간/이전 암호/만료된 암호/잘못된 암호로 인해 사용되었습니다.
--- 인증서를 사용하여 실패한 로그온 계정 사용 안 함/만료/잠금/신뢰할 수 없는 인증서 사용 또는 잘못된 로그온 시간/이전 암호/만료된 암호/잘못된 암호로 인해 도메인 계정에서 Kerberos를 통한 인증 시도가 실패했습니다.

더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.