DeviceLogonEvents
Область применения:
- Microsoft Defender XDR
- Microsoft Defender для конечной точки
Таблица DeviceLogonEvents в схеме расширенной охоты содержит сведения о входе пользователей и других событиях проверки подлинности на устройствах. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
DeviceId |
string |
Уникальный идентификатор устройства в службе |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
ActionType |
string |
Тип действия, активировав событие |
LogonType |
string |
Тип сеанса входа, в частности: - Интерактивный . Пользователь физически взаимодействует с устройством с помощью локальной клавиатуры и экрана - Удаленный интерактивный вход (RDP) — пользователь удаленно взаимодействует с устройством с помощью удаленного рабочего стола, служб терминалов, удаленного помощника или других клиентов RDP - Сеть — сеанс инициируется при доступе к устройству с помощью PsExec или при доступе к общим ресурсам на устройстве, таким как принтеры и общие папки. - Пакетная служба — сеанс, инициированный запланированными задачами - Служба — сеанс, инициируемый службами при запуске |
AccountDomain |
string |
Домен учетной записи |
AccountName |
string |
Имя пользователя учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
Protocol |
string |
Протокол, используемый во время обмена данными |
FailureReason |
string |
Сведения, объясняющие, почему записанное действие завершилось сбоем |
IsLocalAdmin |
boolean |
Логический индикатор того, является ли пользователь локальным администратором на устройстве |
LogonId |
long |
Идентификатор сеанса входа. Этот идентификатор уникален на одном и том же устройстве только между перезапусками. |
RemoteDeviceName |
string |
Имя устройства, которое выполнило удаленную операцию на затронутом устройстве. В зависимости от сообщаемого события это имя может быть полным доменным именем (FQDN), netBIOS-именем или именем узла без сведений о домене. |
RemoteIP |
string |
IP-адрес устройства, с которого была выполнена попытка входа |
RemoteIPType |
string |
Тип IP-адреса, например Public, Private, Reserved, Loopback, Teredo, FourToSixMapping и Broadcast |
RemotePort |
int |
TCP-порт на удаленном устройстве, к которому было подключено |
InitiatingProcessAccountDomain |
string |
Домен учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountName |
string |
Имя пользователя учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountSid |
string |
Идентификатор безопасности (SID) учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи, которая запустила процесс, отвечающий за событие |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra идентификатор объекта учетной записи пользователя, запустившего процесс, отвечающий за событие |
InitiatingProcessIntegrityLevel |
string |
Уровень целостности процесса, инициирующего событие. Windows назначает уровни целостности процессам на основе определенных характеристик, например, если они были запущены из Интернета. Эти уровни целостности влияют на разрешения для ресурсов. |
InitiatingProcessTokenElevation |
string |
Тип маркера, указывающий на наличие или отсутствие повышения привилегий user контроль доступа (UAC), примененного к процессу, который инициировал событие |
InitiatingProcessSHA1 |
string |
Хэш SHA-1 процесса (файла изображения), который инициировал событие |
InitiatingProcessSHA256 |
string |
Хэш SHA-256 процесса (файла изображения), который инициировал событие. Обычно это поле не заполняется— используйте столбец SHA1, если он доступен. |
InitiatingProcessMD5 |
string |
Хэш MD5 процесса (файла образа), который инициировал событие |
InitiatingProcessFileName |
string |
Имя файла процесса, который инициировал событие; Если он недоступен, вместо него может отображаться имя процесса, который инициировал событие. |
InitiatingProcessFileSize |
long |
Размер файла, в который был запущен процесс, ответственный за событие |
InitiatingProcessVersionInfoCompanyName |
string |
Название компании из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductName |
string |
Название продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoProductVersion |
string |
Версия продукта из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoInternalFileName |
string |
Внутреннее имя файла из сведений о версии процесса (файла образа), ответственного за событие |
InitiatingProcessVersionInfoOriginalFileName |
string |
Исходное имя файла из сведений о версии процесса (файл изображения), ответственного за событие |
InitiatingProcessVersionInfoFileDescription |
string |
Описание из сведений о версии процесса (файла изображения), ответственного за событие |
InitiatingProcessId |
long |
Идентификатор процесса (PID) процесса, который инициировал событие |
InitiatingProcessCommandLine |
string |
Командная строка, используемая для запуска процесса, который инициировал событие |
InitiatingProcessCreationTime |
datetime |
Дата и время запуска процесса, инициирующего событие |
InitiatingProcessFolderPath |
string |
Папка, содержащая процесс (файл изображения), который инициировал событие |
InitiatingProcessParentId |
long |
Идентификатор процесса (PID) родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentFileName |
string |
Имя или полный путь родительского процесса, который породил процесс, ответственный за событие |
InitiatingProcessParentCreationTime |
datetime |
Дата и время запуска родительского элемента процесса, ответственного за событие |
ReportId |
long |
Идентификатор события на основе повторяющегося счетчика. Для идентификации уникальных событий этот столбец должен использоваться вместе со столбцами DeviceName и Timestamp. |
AppGuardContainerId |
string |
Идентификатор виртуализированного контейнера, используемого Application Guard для изоляции действий браузера |
AdditionalFields |
string |
Дополнительные сведения о событии в формате массива JSON |
InitiatingProcessSessionId |
long |
Идентификатор сеанса Windows для инициации процесса |
IsInitiatingProcessRemoteSession |
bool |
Указывает, был ли процесс инициации запущен в сеансе протокола удаленного рабочего стола (RDP) (true) или локально (false). |
InitiatingProcessRemoteSessionDeviceName |
string |
Имя устройства удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
InitiatingProcessRemoteSessionIP |
string |
IP-адрес удаленного устройства, с которого был инициирован сеанс RDP процесса инициации |
Примечание.
Коллекция DeviceLogonEvents не поддерживается на устройствах с Windows 7 или Windows Server 2008R2, подключенных к Defender для конечной точки. Мы рекомендуем выполнить обновление до более новой операционной системы, чтобы обеспечить оптимальную видимость действий входа пользователей.
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Общайтесь с членами сообщества Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Tech Community.