IdentityLogonEvents

  • Artykuł

Dotyczy:

  • Microsoft Defender XDR

Tabela IdentityLogonEvents w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o działaniach uwierzytelniania wykonywanych za pośrednictwem lokalna usługa Active Directory przechwytywanych przez działania Microsoft Defender for Identity i uwierzytelniania związane z przechwyconymi Usługi online firmy Microsoft według Microsoft Defender for Cloud Apps. To odwołanie służy do konstruowania zapytań, które zwracają informacje z tej tabeli.

Porada

Aby uzyskać szczegółowe informacje na temat typów zdarzeń (ActionTypewartości) obsługiwanych przez tabelę, użyj wbudowanego odwołania do schematu dostępnego w Microsoft Defender XDR.

Uwaga

Ta tabela obejmuje działania logowania Microsoft Entra śledzone przez usługę Defender for Cloud Apps, w szczególności interaktywne logowania i działania uwierzytelniania przy użyciu narzędzia ActiveSync i innych starszych protokołów. Nieinterakcyjne logowania, które nie są dostępne w tej tabeli, można wyświetlić w dzienniku inspekcji Microsoft Entra. Dowiedz się więcej na temat łączenia usługi Defender for Cloud Apps z platformą Microsoft 365

Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina zarejestrowania zdarzenia
ActionType string Typ działania, które wyzwoliło zdarzenie. Aby uzyskać szczegółowe informacje, zobacz dokumentację schematu w portalu
Application string Aplikacja, która wykonała zarejestrowaną akcję
LogonType string Typ sesji logowania. Aby uzyskać więcej informacji, zobacz Obsługiwane typy logowania.
Protocol string Używany protokół sieci
FailureReason string Informacje wyjaśniające, dlaczego zarejestrowana akcja nie powiodła się
AccountName string Nazwa użytkownika konta
AccountDomain string Domena konta
AccountUpn string Główna nazwa użytkownika (UPN) konta
AccountSid string Identyfikator zabezpieczeń (SID) konta
AccountObjectId string Unikatowy identyfikator konta w Tożsamość Microsoft Entra
AccountDisplayName string Nazwa użytkownika konta wyświetlanego w książce adresowej. Zazwyczaj kombinacja danego lub imienia, środkowego inicjała i nazwiska lub nazwiska.
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
DeviceType string Typ urządzenia w oparciu o przeznaczenie i funkcje, takie jak urządzenie sieciowe, stacja robocza, serwer, urządzenia przenośne, konsola do gier lub drukarka
OSPlatform string Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje to określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7.
IPAddress string Adres IP przypisany do punktu końcowego i używany podczas powiązanej komunikacji sieciowej
Port int Port TCP używany podczas komunikacji
DestinationDeviceName string Nazwa urządzenia z uruchomioną aplikacją serwera, która przetworzła zarejestrowaną akcję
DestinationIPAddress string Adres IP urządzenia z uruchomioną aplikacją serwera, która przetworyła zarejestrowaną akcję
DestinationPort int Port docelowy powiązanej komunikacji sieciowej
TargetDeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia, do którego zastosowano zarejestrowaną akcję
TargetAccountDisplayName string Nazwa wyświetlana konta, do którego została zastosowana zarejestrowana akcja
Location string Miasto, kraj/region lub inna lokalizacja geograficzna skojarzona ze zdarzeniem
Isp string Dostawca usług internetowych (ISP) skojarzony z adresem IP punktu końcowego
ReportId string Unikatowy identyfikator zdarzenia
AdditionalFields dynamic Dodatkowe informacje o jednostce lub zdarzeniu

Obsługiwane typy logowania

W poniższej tabeli wymieniono obsługiwane wartości kolumny LogonType .

Typ logowania Monitorowane działanie Opis
Typ logowania 2 Weryfikacja poświadczeń Zdarzenie uwierzytelniania konta domeny przy użyciu metod uwierzytelniania NTLM i Kerberos.
Typ logowania 2 Interakcyjne Użytkownik uzyskał dostęp do sieci, wprowadzając nazwę użytkownika i hasło (metoda uwierzytelniania Kerberos lub NTLM).
Typ logowania 2 Logowanie interakcyjne za pomocą certyfikatu Użytkownik uzyskał dostęp do sieci przy użyciu certyfikatu.
Typ logowania 2 Połączenie sieci VPN Użytkownik połączony za pomocą sieci VPN — uwierzytelnianie przy użyciu protokołu RADIUS.
Typ logowania 3 Dostęp do zasobów Użytkownik uzyskiwał dostęp do zasobu przy użyciu uwierzytelniania Kerberos lub NTLM.
Typ logowania 3 Delegowany dostęp do zasobów Użytkownik uzyskiwał dostęp do zasobu przy użyciu delegowania protokołu Kerberos.
Typ logowania 8 LDAP Cleartext Użytkownik uwierzytelniony przy użyciu protokołu LDAP przy użyciu hasła zwykłego tekstu (uwierzytelnianie proste).
Typ logowania 10 Pulpit zdalny Użytkownik wykonał sesję RDP na komputerze zdalnym przy użyciu uwierzytelniania Kerberos.
--- Logowanie zakończone niepowodzeniem Próba uwierzytelniania konta domeny nie powiodła się (za pośrednictwem protokołów NTLM i Kerberos) z powodu następujących przyczyn: konto zostało wyłączone/wygasłe/zablokowane/użyto niezaufanego certyfikatu lub z powodu nieprawidłowego czasu logowania/starego hasła/wygasłego hasła/nieprawidłowego hasła.
--- Logowanie zakończone niepowodzeniem z certyfikatem Próba uwierzytelniania konta domeny nie powiodła się (za pośrednictwem protokołu Kerberos) z powodu następujących przyczyn: konto zostało wyłączone/wygasłe/zablokowane/użyto niezaufanego certyfikatu lub z powodu nieprawidłowego logowania godzin/starego hasła/wygasłego hasła/nieprawidłowego hasła.

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.