IdentityLogonEvents
Van toepassing op:
- Microsoft Defender XDR
De IdentityLogonEvents tabel in het geavanceerde opsporingsschema bevat informatie over verificatieactiviteiten die via uw on-premises Active Directory zijn vastgelegd door Microsoft Defender for Identity en verificatieactiviteiten met betrekking tot Microsoft onlineservices vastgelegd door Microsoft Defender for Cloud Apps. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Opmerking
In deze tabel worden Microsoft Entra aanmeldingsactiviteiten beschreven die worden bijgehouden door Defender for Cloud Apps, met name interactieve aanmeldingen en verificatieactiviteiten met behulp van ActiveSync en andere verouderde protocollen. Niet-interactieve aanmeldingen die niet beschikbaar zijn in deze tabel, kunnen worden weergegeven in het Microsoft Entra auditlogboek. Meer informatie over het verbinden van Defender voor Cloud-apps met Microsoft 365
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie |
Application |
string |
Toepassing die de vastgelegde actie heeft uitgevoerd |
LogonType |
string |
Type aanmeldingssessie. Zie Ondersteunde aanmeldingstypen voor meer informatie. |
Protocol |
string |
Gebruikte netwerkprotocol |
FailureReason |
string |
Informatie die uitlegt waarom de vastgelegde actie is mislukt |
AccountName |
string |
Gebruikersnaam van het account |
AccountDomain |
string |
Domein van het account |
AccountUpn |
string |
UPN (User Principal Name) van het account |
AccountSid |
string |
Beveiligings-id (SID) van het account |
AccountObjectId |
string |
Unieke id voor het account in Microsoft Entra ID |
AccountDisplayName |
string |
De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam. |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
DeviceType |
string |
Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer |
OSPlatform |
string |
Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. Dit geeft specifieke besturingssystemen aan, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7. |
IPAddress |
string |
IP-adres dat is toegewezen aan het eindpunt en wordt gebruikt tijdens gerelateerde netwerkcommunicatie |
Port |
int |
TCP-poort die wordt gebruikt tijdens communicatie |
DestinationDeviceName |
string |
Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationIPAddress |
string |
IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt |
DestinationPort |
int |
Doelpoort van gerelateerde netwerkcommunicatie |
TargetDeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast |
TargetAccountDisplayName |
string |
Weergavenaam van het account waarop de vastgelegde actie is toegepast |
Location |
string |
Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld |
Isp |
string |
Internetprovider (ISP) die is gekoppeld aan het IP-adres van het eindpunt |
ReportId |
string |
Unieke id voor de gebeurtenis |
AdditionalFields |
dynamic |
Aanvullende informatie over de entiteit of gebeurtenis |
Ondersteunde aanmeldingstypen
De volgende tabel bevat de ondersteunde waarden voor de LogonType kolom.
| Aanmeldingstype | Bewaakte activiteit | Omschrijving |
|---|---|---|
| Aanmeldingstype 2 | Validatie van referenties | Verificatiegebeurtenis voor domeinaccounts met behulp van de verificatiemethoden NTLM en Kerberos. |
| Aanmeldingstype 2 | Interactieve aanmelding | De gebruiker heeft netwerktoegang verkregen door een gebruikersnaam en wachtwoord in te voeren (verificatiemethode Kerberos of NTLM). |
| Aanmeldingstype 2 | Interactieve aanmelding met certificaat | De gebruiker heeft netwerktoegang verkregen met behulp van een certificaat. |
| Aanmeldingstype 2 | VPN-verbinding | Gebruiker verbonden via VPN: verificatie met behulp van HET RADIUS-protocol. |
| Aanmeldingstype 3 | Resourcetoegang | De gebruiker heeft toegang tot een resource met kerberos- of NTLM-verificatie. |
| Aanmeldingstype 3 | Gedelegeerde resourcetoegang | Gebruiker heeft toegang tot een resource met behulp van Kerberos-delegering. |
| Aanmeldingstype 8 | LDAP Cleartext | Gebruiker geverifieerd met LDAP met een wachtwoord zonder tekst (eenvoudige verificatie). |
| Aanmeldingstype 10 | Extern bureaublad | Gebruiker heeft een RDP-sessie uitgevoerd op een externe computer met behulp van Kerberos-verificatie. |
| --- | Aanmelden mislukt | Verificatiepoging voor domeinaccount is mislukt (via NTLM en Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/een niet-vertrouwd certificaat gebruikt of vanwege ongeldige aanmeldingstijden/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord. |
| --- | Aanmelden met certificaat mislukt | Verificatiepoging voor domeinaccount is mislukt (via Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/gebruikt een niet-vertrouwd certificaat of vanwege ongeldige aanmeldingsuren/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord. |
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.