DeviceLogonEvents
Dotyczy:
- Microsoft Defender XDR
- Ochrona punktu końcowego w usłudze Microsoft Defender
Tabela DeviceLogonEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o logowaniach użytkowników i innych zdarzeniach uwierzytelniania na urządzeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
DeviceId |
string |
Unikatowy identyfikator urządzenia w usłudze |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie |
LogonType |
string |
Typ sesji logowania, w szczególności: - Interaktywne — użytkownik fizycznie wchodzi w interakcję z urządzeniem przy użyciu lokalnej klawiatury i ekranu - Zdalne logowanie interakcyjne (RDP) — użytkownik korzysta z urządzenia zdalnie przy użyciu pulpitu zdalnego, usług terminalowych, pomocy zdalnej lub innych klientów RDP - Sieć — sesja inicjowana, gdy dostęp do urządzenia jest uzyskiwany przy użyciu programu PsExec lub gdy są dostępne zasoby udostępnione na urządzeniu, takie jak drukarki i foldery udostępnione - Batch — sesja zainicjowana przez zaplanowane zadania - Usługa — sesja zainicjowana przez usługi podczas ich uruchamiania |
AccountDomain |
string |
Domena konta |
AccountName |
string |
Nazwa użytkownika konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
Protocol |
string |
Protokół używany podczas komunikacji |
FailureReason |
string |
Informacje wyjaśniające, dlaczego zarejestrowana akcja nie powiodła się |
IsLocalAdmin |
boolean |
Wskaźnik logiczny określający, czy użytkownik jest administratorem lokalnym na urządzeniu |
LogonId |
long |
Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami. |
RemoteDeviceName |
string |
Nazwa urządzenia, które wykonało zdalną operację na urządzeniu, którego dotyczy problem. W zależności od zgłoszonego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie. |
RemoteIP |
string |
Adres IP urządzenia, z którego wykonano próbę logowania |
RemoteIPType |
string |
Typ adresu IP, na przykład Publiczny, Prywatny, Zarezerwowany, Loopback, Teredo, FourToSixMapping i Broadcast |
RemotePort |
int |
Port TCP na urządzeniu zdalnym, z |
InitiatingProcessAccountDomain |
string |
Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountName |
string |
Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountSid |
string |
Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountUpn |
string |
Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie |
InitiatingProcessIntegrityLevel |
string |
Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów. |
InitiatingProcessTokenElevation |
string |
Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie |
InitiatingProcessSHA1 |
string |
Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessSHA256 |
string |
Skrót SHA-256 procesu (pliku obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępne. |
InitiatingProcessMD5 |
string |
Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie |
InitiatingProcessFileName |
string |
Nazwa pliku procesu, który zainicjował zdarzenie; Jeśli jest niedostępny, nazwa procesu, który zainicjował zdarzenie, może być wyświetlana zamiast tego |
InitiatingProcessFileSize |
long |
Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie |
InitiatingProcessVersionInfoCompanyName |
string |
Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductName |
string |
Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoProductVersion |
string |
Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoInternalFileName |
string |
Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessVersionInfoFileDescription |
string |
Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie |
InitiatingProcessId |
long |
Identyfikator procesu (PID) procesu, który zainicjował zdarzenie |
InitiatingProcessCommandLine |
string |
Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie |
InitiatingProcessCreationTime |
datetime |
Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie |
InitiatingProcessFolderPath |
string |
Folder zawierający proces (plik obrazu), który zainicjował zdarzenie |
InitiatingProcessParentId |
long |
Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentFileName |
string |
Nazwa lub pełna ścieżka procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie |
InitiatingProcessParentCreationTime |
datetime |
Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie |
ReportId |
long |
Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp. |
AppGuardContainerId |
string |
Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki |
AdditionalFields |
string |
Dodatkowe informacje o zdarzeniu w formacie tablicy JSON |
InitiatingProcessSessionId |
long |
Identyfikator sesji systemu Windows procesu inicjowania |
IsInitiatingProcessRemoteSession |
bool |
Wskazuje, czy proces inicjujący został uruchomiony w ramach sesji protokołu PULPITU zdalnego (RDP) (true), czy lokalnie (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
Nazwa urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
InitiatingProcessRemoteSessionIP |
string |
Adres IP urządzenia zdalnego, z którego zainicjowano sesję RDP procesu inicjowania |
Uwaga
Kolekcja elementów DeviceLogonEvents nie jest obsługiwana na urządzeniach z systemem Windows 7 lub Windows Server 2008R2 dołączonych do usługi Defender for Endpoint. Zalecamy uaktualnienie do nowszego systemu operacyjnego w celu uzyskania optymalnego wglądu w działania logowania użytkowników.
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.