DeviceLogonEvents
Aplica-se a:
- Microsoft Defender XDR
- Microsoft Defender para Ponto de Extremidade
A DeviceLogonEvents
tabela no esquema de caça avançada contém informações sobre logons de usuário e outros eventos de autenticação em dispositivos. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionType
valores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
Nome da coluna | Tipo de dados | Descrição |
---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
DeviceId |
string |
Identificador exclusivo para o dispositivo no serviço |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
ActionType |
string |
Tipo de atividade que desencadeou o evento |
LogonType |
string |
Tipo de sessão de logon, especificamente: - Interativo – O usuário interage fisicamente com o dispositivo usando o teclado e a tela locais - Logotipos rdp interativos remotos – o usuário interage com o dispositivo remotamente usando Área de Trabalho Remota, Serviços de Terminal, Assistência Remota ou outros clientes RDP - Rede – A sessão iniciada quando o dispositivo é acessado usando psExec ou quando recursos compartilhados no dispositivo, como impressoras e pastas compartilhadas, são acessados - Lote – Sessão iniciada por tarefas agendadas - Serviço – Sessão iniciada pelos serviços quando eles começam |
AccountDomain |
string |
Domínio da conta |
AccountName |
string |
Nome de usuário da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
Protocol |
string |
Protocolo usado durante a comunicação |
FailureReason |
string |
Informações explicando por que a ação gravada falhou |
IsLocalAdmin |
boolean |
Indicador booliano de se o usuário é um administrador local no dispositivo |
LogonId |
long |
Identificador para uma sessão de logon. Esse identificador é exclusivo no mesmo dispositivo somente entre reinicializações. |
RemoteDeviceName |
string |
Nome do dispositivo que realizou uma operação remota no dispositivo afetado. Dependendo do evento que está sendo relatado, esse nome pode ser um FQDN (nome de domínio totalmente qualificado), um nome NetBIOS ou um nome de host sem informações de domínio. |
RemoteIP |
string |
Endereço IP do dispositivo do qual a tentativa de logon foi executada |
RemoteIPType |
string |
Tipo de endereço IP, por exemplo, Public, Private, Reserved, Loopback, Teredo, FourToSixMapping e Broadcast |
RemotePort |
int |
Porta TCP no dispositivo remoto ao qual estava sendo conectado |
InitiatingProcessAccountDomain |
string |
Domínio da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountName |
string |
Nome de usuário da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountSid |
string |
SID (Identificador de Segurança) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountUpn |
string |
Nome da entidade de usuário (UPN) da conta que executou o processo responsável pelo evento |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra ID do objeto da conta de usuário que executou o processo responsável pelo evento |
InitiatingProcessIntegrityLevel |
string |
Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como se eles foram iniciados a partir de um download na Internet. Esses níveis de integridade influenciam as permissões para os recursos. |
InitiatingProcessTokenElevation |
string |
Tipo de token que indica a presença ou ausência da elevação de privilégio do UAC (Controle de Acesso de usuário) aplicada ao processo que iniciou o evento |
InitiatingProcessSHA1 |
string |
Hash SHA-1 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessSHA256 |
string |
Hash SHA-256 do processo (arquivo de imagem) que iniciou o evento. Esse campo geralmente não é preenchido – use a coluna SHA1 quando disponível. |
InitiatingProcessMD5 |
string |
Hash MD5 do processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessFileName |
string |
Nome do processo que iniciou o evento |
InitiatingProcessFileSize |
long |
Tamanho do arquivo que executou o processo responsável pelo evento |
InitiatingProcessVersionInfoCompanyName |
string |
Nome da empresa das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductName |
string |
Nome do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoProductVersion |
string |
Versão do produto das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoInternalFileName |
string |
Nome do arquivo interno das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoOriginalFileName |
string |
Nome do arquivo original das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessVersionInfoFileDescription |
string |
Descrição das informações de versão do processo (arquivo de imagem) responsável pelo evento |
InitiatingProcessId |
long |
ID do processo (PID) do processo que iniciou o evento |
InitiatingProcessCommandLine |
string |
Linha de comando usada para executar o processo que iniciou o evento |
InitiatingProcessCreationTime |
datetime |
Data e hora em que o processo que iniciou o evento foi iniciado |
InitiatingProcessFolderPath |
string |
Pasta que contém o processo (arquivo de imagem) que iniciou o evento |
InitiatingProcessParentId |
long |
ID do processo (PID) do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentFileName |
string |
Nome ou caminho completo do processo pai que gerou o processo responsável pelo evento |
InitiatingProcessParentCreationTime |
datetime |
Data e hora em que o pai do processo responsável pelo evento foi iniciado |
ReportId |
long |
Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna deve ser usada em conjunto com as colunas DeviceName e Timestamp. |
AppGuardContainerId |
string |
Identificador do contêiner virtualizado usado por Application Guard para isolar a atividade do navegador |
AdditionalFields |
string |
Informações adicionais sobre o evento no formato de matriz JSON |
Observação
A coleção de DeviceLogonEvents não tem suporte em dispositivos Windows 7 ou Windows Server 2008R2 integrados ao Defender para Ponto de Extremidade. Recomendamos atualizar para um sistema operacional mais recente para obter uma visibilidade ideal na atividade de logon do usuário.
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de