Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Tabela IdentityLogonEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o działaniach uwierzytelniania wykonywanych za pośrednictwem lokalna usługa Active Directory przechwytywanych przez działania Microsoft Defender for Identity i uwierzytelniania związane z przechwyconymi Usługi online firmy Microsoft według Microsoft Defender for Cloud Apps. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.
Porada
Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.
Uwaga
Ta tabela obejmuje działania logowania Microsoft Entra śledzone przez Defender for Cloud Apps, w szczególności interaktywne logowania i działania uwierzytelniania przy użyciu programu ActiveSync i innych starszych protokołów. Nieinterakcyjne logowania, które nie są dostępne w tej tabeli, można wyświetlić w dzienniku inspekcji Microsoft Entra. Dowiedz się więcej o nawiązywaniu połączenia Defender for Cloud Apps z platformą Microsoft 365
Ta zaawansowana tabela wyszukiwania zagrożeń jest wypełniana przez rekordy z Microsoft Defender for Identity lub Microsoft Sentinel i Tożsamość Microsoft Entra. Jeśli twoja organizacja nie wdrożyła usługi w Microsoft Defender XDR, zapytania korzystające z tabeli nie będą działać ani nie będą zwracać żadnych wyników. Aby uzyskać więcej informacji na temat wdrażania usługi Defender for Identity w Defender XDR, zobacz Wdrażanie obsługiwanych usług.
Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina zarejestrowania zdarzenia |
ActionType |
string |
Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
LogonType |
string |
Typ sesji logowania. Aby uzyskać więcej informacji, zobacz Obsługiwane typy logowania. |
Protocol |
string |
Używany protokół sieci |
FailureReason |
string |
Informacje wyjaśniające, dlaczego zarejestrowana akcja nie powiodła się |
AccountName |
string |
Nazwa użytkownika konta |
AccountDomain |
string |
Domena konta |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
AccountSid |
string |
Identyfikator zabezpieczeń (SID) konta |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountDisplayName |
string |
Nazwa użytkownika konta wyświetlanego w książce adresowej. Zazwyczaj kombinacja danego lub imienia, środkowego inicjała i nazwiska lub nazwiska. |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
DeviceType |
string |
Typ urządzenia w oparciu o przeznaczenie i funkcje, takie jak urządzenie sieciowe, stacja robocza, serwer, urządzenia przenośne, konsola do gier lub drukarka |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje to określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
IPAddress |
string |
Adres IP przypisany do punktu końcowego i używany podczas powiązanej komunikacji sieciowej |
Port |
int |
Port TCP używany podczas komunikacji |
DestinationDeviceName |
string |
Nazwa urządzenia z uruchomioną aplikacją serwera, która przetworzła zarejestrowaną akcję |
DestinationIPAddress |
string |
Adres IP urządzenia z uruchomioną aplikacją serwera, która przetworyła zarejestrowaną akcję |
DestinationPort |
int |
Port docelowy powiązanej komunikacji sieciowej |
TargetDeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia, do którego zastosowano zarejestrowaną akcję |
TargetAccountDisplayName |
string |
Nazwa wyświetlana konta, do którego została zastosowana zarejestrowana akcja |
Location |
string |
Miasto, kraj/region lub inna lokalizacja geograficzna skojarzona ze zdarzeniem |
Isp |
string |
Dostawca usług internetowych (ISP) skojarzony z adresem IP punktu końcowego |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
AdditionalFields |
dynamic |
Dodatkowe informacje o jednostce lub zdarzeniu |
Obsługiwane typy logowania
W poniższej tabeli wymieniono obsługiwane wartości kolumny LogonType .
| Typ logowania | Monitorowane działanie | Opis |
|---|---|---|
| Typ logowania 2 | Weryfikacja poświadczeń | Zdarzenie uwierzytelniania konta domeny przy użyciu metod uwierzytelniania NTLM i Kerberos. |
| Typ logowania 2 | Logowanie interakcyjne | Użytkownik uzyskał dostęp do sieci, wprowadzając nazwę użytkownika i hasło (metoda uwierzytelniania Kerberos lub NTLM). |
| Typ logowania 2 | Logowanie interakcyjne za pomocą certyfikatu | Użytkownik uzyskał dostęp do sieci przy użyciu certyfikatu. |
| Typ logowania 2 | Połączenie sieci VPN | Użytkownik połączony za pomocą sieci VPN — uwierzytelnianie przy użyciu protokołu RADIUS. |
| Typ logowania 3 | Dostęp do zasobów | Użytkownik uzyskiwał dostęp do zasobu przy użyciu uwierzytelniania Kerberos lub NTLM. |
| Typ logowania 3 | Delegowany dostęp do zasobów | Użytkownik uzyskiwał dostęp do zasobu przy użyciu delegowania protokołu Kerberos. |
| Typ logowania 8 | LDAP Cleartext | Użytkownik uwierzytelniony przy użyciu protokołu LDAP przy użyciu hasła zwykłego tekstu (uwierzytelnianie proste). |
| Typ logowania 10 | Pulpit zdalny | Użytkownik wykonał sesję RDP na komputerze zdalnym przy użyciu uwierzytelniania Kerberos. |
| --- | Logowanie zakończone niepowodzeniem | Próba uwierzytelniania konta domeny nie powiodła się (za pośrednictwem protokołów NTLM i Kerberos) z powodu następujących przyczyn: konto zostało wyłączone/wygasłe/zablokowane/użyto niezaufanego certyfikatu lub z powodu nieprawidłowego czasu logowania/starego hasła/wygasłego hasła/nieprawidłowego hasła. |
| --- | Logowanie zakończone niepowodzeniem z certyfikatem | Próba uwierzytelniania konta domeny nie powiodła się (za pośrednictwem protokołu Kerberos) z powodu następujących przyczyn: konto zostało wyłączone/wygasłe/zablokowane/użyto niezaufanego certyfikatu lub z powodu nieprawidłowego logowania godzin/starego hasła/wygasłego hasła/nieprawidłowego hasła. |
Tematy pokrewne
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Używanie zapytań udostępnionych
- Wyszukiwanie zagrożeń na urządzeniach, w wiadomościach e-mail, aplikacjach i tożsamościach
- Analiza schematu
- Stosowanie najlepszych rozwiązań dla zapytań
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.