DeviceLogonEvents

Uwaga

Chcesz skorzystać z usługi Microsoft Defender XDR? Dowiedz się więcej o tym, jak można oceniać i pilotować usługę Microsoft Defender XDR.

Dotyczy:

  • Microsoft Defender XDR
  • Ochrona punktu końcowego w usłudze Microsoft Defender

Tabela DeviceLogonEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o logowaniach użytkowników i innych zdarzeniach uwierzytelniania na urządzeniach. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
DeviceId string Unikatowy identyfikator urządzenia w usłudze
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
ActionType string Typ działania, które wyzwoliło zdarzenie
LogonType string Typ sesji logowania, w szczególności:

- Interaktywne — użytkownik fizycznie wchodzi w interakcję z urządzeniem przy użyciu lokalnej klawiatury i ekranu

- Zdalne logowanie interakcyjne (RDP) — użytkownik korzysta z urządzenia zdalnie przy użyciu pulpitu zdalnego, usług terminalowych, pomocy zdalnej lub innych klientów RDP

- Sieć — sesja inicjowana, gdy dostęp do urządzenia jest uzyskiwany przy użyciu programu PsExec lub gdy są dostępne zasoby udostępnione na urządzeniu, takie jak drukarki i foldery udostępnione

- Batch — sesja zainicjowana przez zaplanowane zadania

- Usługa — sesja zainicjowana przez usługi podczas ich uruchamiania
AccountDomain string Domena konta
AccountName string Nazwa użytkownika konta
AccountSid string Identyfikator zabezpieczeń (SID) konta
Protocol string Protokół używany podczas komunikacji
FailureReason string Informacje wyjaśniające, dlaczego zarejestrowana akcja nie powiodła się
IsLocalAdmin boolean Wskaźnik logiczny określający, czy użytkownik jest administratorem lokalnym na urządzeniu
LogonId long Identyfikator sesji logowania. Ten identyfikator jest unikatowy na tym samym urządzeniu tylko między ponownymi uruchomieniami.
RemoteDeviceName string Nazwa urządzenia, które wykonało zdalną operację na urządzeniu, którego dotyczy problem. W zależności od zgłoszonego zdarzenia ta nazwa może być w pełni kwalifikowaną nazwą domeny (FQDN), nazwą NetBIOS lub nazwą hosta bez informacji o domenie.
RemoteIP string Adres IP urządzenia, z którego wykonano próbę logowania
RemoteIPType string Typ adresu IP, na przykład Publiczny, Prywatny, Zarezerwowany, Loopback, Teredo, FourToSixMapping i Broadcast
RemotePort int Port TCP na urządzeniu zdalnym, z
InitiatingProcessAccountDomain string Domena konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountName string Nazwa użytkownika konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountSid string Identyfikator zabezpieczeń (SID) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountUpn string Główna nazwa użytkownika (UPN) konta, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessAccountObjectId string Microsoft Entra identyfikatora obiektu konta użytkownika, które uruchomiło proces odpowiedzialny za zdarzenie
InitiatingProcessIntegrityLevel string Poziom integralności procesu, który zainicjował zdarzenie. System Windows przypisuje poziomy integralności do procesów w oparciu o pewne cechy, takie jak uruchamianie ich z pobierania z Internetu. Te poziomy integralności mają wpływ na uprawnienia do zasobów.
InitiatingProcessTokenElevation string Typ tokenu wskazujący obecność lub brak podniesienia uprawnień użytkownika Access Control (UAC) zastosowaną do procesu, który zainicjował zdarzenie
InitiatingProcessSHA1 string Skrót SHA-1 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessSHA256 string Skrót SHA-256 procesu (pliku obrazu), który zainicjował zdarzenie. To pole zwykle nie jest wypełnione — użyj kolumny SHA1, jeśli jest dostępne.
InitiatingProcessMD5 string Skrót MD5 procesu (pliku obrazu), który zainicjował zdarzenie
InitiatingProcessFileName string Nazwa procesu, który zainicjował zdarzenie
InitiatingProcessFileSize long Rozmiar pliku, który uruchomił proces odpowiedzialny za zdarzenie
InitiatingProcessVersionInfoCompanyName string Nazwa firmy z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductName string Nazwa produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoProductVersion string Wersja produktu z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoInternalFileName string Wewnętrzna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoOriginalFileName string Oryginalna nazwa pliku z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessVersionInfoFileDescription string Opis z informacji o wersji procesu (pliku obrazu) odpowiedzialnego za zdarzenie
InitiatingProcessId long Identyfikator procesu (PID) procesu, który zainicjował zdarzenie
InitiatingProcessCommandLine string Wiersz polecenia używany do uruchamiania procesu, który zainicjował zdarzenie
InitiatingProcessCreationTime datetime Data i godzina rozpoczęcia procesu, który zainicjował zdarzenie
InitiatingProcessFolderPath string Folder zawierający proces (plik obrazu), który zainicjował zdarzenie
InitiatingProcessParentId long Identyfikator procesu (PID) procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentFileName string Nazwa lub pełna ścieżka procesu nadrzędnego, który zduplikował proces odpowiedzialny za zdarzenie
InitiatingProcessParentCreationTime datetime Data i godzina rozpoczęcia nadrzędnego procesu odpowiedzialnego za zdarzenie
ReportId long Identyfikator zdarzenia na podstawie licznika powtarzającego się. Aby zidentyfikować unikatowe zdarzenia, ta kolumna musi być używana w połączeniu z kolumnami DeviceName i Timestamp.
AppGuardContainerId string Identyfikator zwirtualizowanego kontenera używanego przez Application Guard do izolowania aktywności przeglądarki
AdditionalFields string Dodatkowe informacje o zdarzeniu w formacie tablicy JSON

Uwaga

Kolekcja elementów DeviceLogonEvents nie jest obsługiwana na urządzeniach z systemem Windows 7 lub Windows Server 2008R2 dołączonych do usługi Defender for Endpoint. Zalecamy uaktualnienie do nowszego systemu operacyjnego w celu uzyskania optymalnego wglądu w działania logowania użytkowników.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.