Compartilhar via


IdentityLogonEvents

Aplica-se a:

  • Microsoft Defender XDR

A IdentityLogonEvents tabela no esquema de caça avançado contém informações sobre atividades de autenticação feitas por meio de sua Active Directory local capturadas por atividades de Microsoft Defender para Identidade e autenticação relacionadas à Microsoft serviços online capturadas pelo Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.

Dica

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.

Observação

Esta tabela aborda Microsoft Entra atividades de logon rastreadas pelo Defender para Aplicativos de Nuvem, especificamente as atividades interativas de entrada e autenticação usando o ActiveSync e outros protocolos herdados. Logons não interativos que não estão disponíveis nesta tabela podem ser exibidos no log de auditoria Microsoft Entra. Saiba mais sobre como conectar o Defender para Aplicativos de Nuvem ao Microsoft 365

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
ActionType string Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes
Application string Aplicativo que executou a ação gravada
LogonType string Tipo de sessão de logon. Para obter mais informações, consulte Tipos de logon com suporte.
Protocol string Protocolo de rede usado
FailureReason string Informações explicando por que a ação gravada falhou
AccountName string Nome de usuário da conta
AccountDomain string Domínio da conta
AccountUpn string Nome da entidade de usuário (UPN) da conta
AccountSid string Sid (Identificador de Segurança) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountDisplayName string Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome.
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, celular, console de jogos ou impressora
OSPlatform string Plataforma do sistema operacional em execução no dispositivo. Isso indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7.
IPAddress string Endereço IP atribuído ao ponto de extremidade e usado durante comunicações de rede relacionadas
Port int Porta TCP usada durante a comunicação
DestinationDeviceName string Nome do dispositivo que executa o aplicativo do servidor que processou a ação gravada
DestinationIPAddress string Endereço IP do dispositivo que executa o aplicativo do servidor que processou a ação gravada
DestinationPort int Porta de destino das comunicações de rede relacionadas
TargetDeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo ao qual a ação gravada foi aplicada
TargetAccountDisplayName string Nome de exibição da conta à qual a ação gravada foi aplicada
Location string Cidade, país/região ou outra localização geográfica associada ao evento
Isp string Provedor de serviços de Internet (ISP) associado ao endereço IP do ponto de extremidade
ReportId string Identificador exclusivo para o evento
AdditionalFields dynamic Informações adicionais sobre a entidade ou evento

Tipos de logon com suporte

A tabela a seguir lista os valores com suporte para a LogonType coluna.

Tipo de logon Atividade monitorada Descrição
Tipo de logon 2 Validação de credenciais Evento de autenticação de conta de domínio usando os métodos de autenticação NTLM e Kerberos.
Tipo de logon 2 Logon interativo O usuário obteve acesso à rede inserindo um nome de usuário e senha (método de autenticação Kerberos ou NTLM).
Tipo de logon 2 Logon interativo com certificado O usuário obteve acesso à rede usando um certificado.
Tipo de logon 2 Conexão VPN Usuário conectado por VPN – Autenticação usando protocolo RADIUS.
Tipo de logon 3 Acesso a recursos O usuário acessou um recurso usando Kerberos ou autenticação NTLM.
Tipo de logon 3 Acesso delegado a recursos O usuário acessou um recurso usando a delegação Kerberos.
Tipo de logon 8 LDAP Cleartext Usuário autenticado usando LDAP com uma senha de texto claro (autenticação simples).
Tipo de logon 10 Área de Trabalho Remota O usuário realizou uma sessão RDP em um computador remoto usando a autenticação Kerberos.
--- Logon com falha Tentativa de autenticação com falha na conta de domínio (via NTLM e Kerberos) devido ao seguinte: a conta foi desabilitada/expirada/bloqueada/usada um certificado não confiável ou devido a horas de logon inválidas/senha antiga/senha expirada/senha errada.
--- Logon com falha no certificado Tentativa de autenticação com falha na conta de domínio (via Kerberos) devido ao seguinte: a conta foi desabilitada/expirada/bloqueada/usada um certificado não confiável ou devido a horas de logon inválidas/senha antiga/senha expirada/senha errada.

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.