Partilhar via

IdentityLogonEvents

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

A IdentityLogonEvents tabela no esquema de investigação avançada contém informações sobre atividades de autenticação realizadas através do seu Active Directory no local capturadas por atividades de autenticação e Microsoft Defender para Identidade relacionadas com o Microsoft serviços online capturadas pelo Microsoft Defender for Cloud Apps. Utilize esta referência para construir consultas que devolvem informações desta tabela.

Sugestão

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.

Nota

Esta tabela abrange Microsoft Entra atividades de início de sessão controladas pelo Defender para Cloud Apps, especificamente inícios de sessão interativos e atividades de autenticação com o ActiveSync e outros protocolos legados. Os inícios de sessão não interativos que não estão disponíveis nesta tabela podem ser visualizados no Microsoft Entra registo de auditoria. Saiba mais sobre como ligar o Defender para Cloud Apps ao Microsoft 365

Para obter informações sobre outras tabelas no esquema de investigação avançada, veja a referência de investigação avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o evento foi gravado
ActionType string Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes
Application string Aplicação que executou a ação gravada
LogonType string Tipo de sessão de início de sessão. Para obter mais informações, veja Tipos de início de sessão suportados.
Protocol string Protocolo de rede utilizado
FailureReason string Informações que explicam o motivo pelo qual a ação registada falhou
AccountName string Nome de utilizador da conta
AccountDomain string Domínio da conta
AccountUpn string Nome principal de utilizador (UPN) da conta
AccountSid string Identificador de Segurança (SID) da conta
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountDisplayName string Nome do utilizador da conta apresentado no livro de endereços. Normalmente, uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido.
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
DeviceType string Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora
OSPlatform string Plataforma do sistema operativo em execução no dispositivo. Isto indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7.
IPAddress string Endereço IP atribuído ao ponto final e utilizado durante comunicações de rede relacionadas
Port int Porta TCP utilizada durante a comunicação
DestinationDeviceName string Nome do dispositivo que executa a aplicação de servidor que processou a ação registada
DestinationIPAddress string Endereço IP do dispositivo que executa a aplicação de servidor que processou a ação registada
DestinationPort int Porta de destino de comunicações de rede relacionadas
TargetDeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo ao qual a ação registada foi aplicada
TargetAccountDisplayName string Nome a apresentar da conta à qual a ação gravada foi aplicada
Location string Cidade, país/região ou outra localização geográfica associada ao evento
Isp string Fornecedor de serviços Internet (ISP) associado ao endereço IP do ponto final
ReportId string Identificador exclusivo do evento
AdditionalFields dynamic Informações adicionais sobre a entidade ou evento

Tipos de início de sessão suportados

A tabela seguinte lista os valores suportados para a LogonType coluna.

Tipo de início de sessão Atividade monitorizada Descrição
Tipo de início de sessão 2 Validação de Credenciais Evento de autenticação de conta de domínio com os métodos de autenticação NTLM e Kerberos.
Tipo de início de sessão 2 Início de Sessão Interativo O utilizador obteve acesso à rede ao introduzir um nome de utilizador e palavra-passe (método de autenticação Kerberos ou NTLM).
Tipo de início de sessão 2 Início de Sessão Interativo com Certificado O utilizador obteve acesso à rede com um certificado.
Tipo de início de sessão 2 Ligação VPN Utilizador ligado por VPN – Autenticação com o protocolo RADIUS.
Tipo de início de sessão 3 Acesso a Recursos O utilizador acedeu a um recurso com a autenticação Kerberos ou NTLM.
Tipo de início de sessão 3 Acesso a Recursos Delegados O utilizador acedeu a um recurso com a delegação de Kerberos.
Tipo de início de sessão 8 LDAP Cleartext Utilizador autenticado com LDAP com uma palavra-passe de texto não encriptado (Autenticação simples).
Tipo de início de sessão 10 Ambiente de Trabalho Remoto O utilizador realizou uma sessão RDP num computador remoto com a autenticação Kerberos.
--- Início de Sessão Falhado Falha na tentativa de autenticação da conta de domínio (através de NTLM e Kerberos) devido ao seguinte: a conta foi desativada/expirou/bloqueou/utilizou um certificado não fidedigno ou devido a horas de início de sessão inválidas/palavra-passe antiga/palavra-passe expirada/palavra-passe errada.
--- Início de Sessão Com Falha com Certificado Falha na tentativa de autenticação da conta de domínio (através de Kerberos) devido ao seguinte: a conta foi desativada/expirou/bloqueou/utilizou um certificado não fidedigno ou devido a horas de início de sessão inválidas/palavra-passe antiga/palavra-passe expirada/palavra-passe errada.

Sugestão

Quer saber mais? Interaja com a comunidade do Microsoft Security na nossa Tech Community: Microsoft Defender XDR Tech Community.