IdentityLogonEvents
Область применения:
- Microsoft Defender XDR
Таблица IdentityLogonEvents в схеме расширенной охоты содержит сведения о действиях проверки подлинности, выполняемых с помощью локальная служба Active Directory, захваченных Microsoft Defender для удостоверений и действиях проверки подлинности, связанных с Microsoft веб-службы захвачено Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.
Совет
Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.
Примечание.
В этой таблице рассматриваются Microsoft Entra действия входа, отслеживаемые Defender for Cloud Apps, в частности интерактивные операции входа и проверки подлинности с помощью ActiveSync и других устаревших протоколов. Неинтерактивные входы, недоступные в этой таблице, можно просмотреть в журнале аудита Microsoft Entra. Дополнительные сведения о подключении Defender для облачных приложений к Microsoft 365
Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время записи события |
ActionType |
string |
Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале. |
Application |
string |
Приложение, выполняющее записанное действие |
LogonType |
string |
Тип сеанса входа. Дополнительные сведения см. в разделе Поддерживаемые типы входа. |
Protocol |
string |
Используемый сетевой протокол |
FailureReason |
string |
Сведения, объясняющие, почему записанное действие завершилось сбоем |
AccountName |
string |
Имя пользователя учетной записи |
AccountDomain |
string |
Домен учетной записи |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
AccountSid |
string |
Идентификатор безопасности (SID) учетной записи |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountDisplayName |
string |
Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии. |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
DeviceType |
string |
Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер |
OSPlatform |
string |
Платформа операционной системы, работающей на устройстве. Это указывает на определенные операционные системы, включая варианты в пределах одного семейства, такие как Windows 11, Windows 10 и Windows 7. |
IPAddress |
string |
IP-адрес, назначенный конечной точке и используемый во время связанных сетевых подключений |
Port |
int |
TCP-порт, используемый во время обмена данными |
DestinationDeviceName |
string |
Имя устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationIPAddress |
string |
IP-адрес устройства, на котором запущено серверное приложение, обрабатывающее записанное действие |
DestinationPort |
int |
Порт назначения связанных сетевых подключений |
TargetDeviceName |
string |
Полное доменное имя (FQDN) устройства, к которому было применено записанное действие |
TargetAccountDisplayName |
string |
Отображаемое имя учетной записи, к которому было применено записанное действие |
Location |
string |
Город, страна или регион или другое географическое расположение, связанное с событием |
Isp |
string |
Поставщик услуг Интернета (ISP), связанный с IP-адресом конечной точки |
ReportId |
string |
Уникальный идентификатор события |
AdditionalFields |
dynamic |
Дополнительные сведения о сущности или событии |
Поддерживаемые типы входа
В следующей таблице перечислены поддерживаемые значения для столбца LogonType .
| Тип входа | Отслеживаемые действия | Описание |
|---|---|---|
| Тип входа 2 | Проверка учетных данных | Событие проверки подлинности учетной записи домена с использованием методов проверки подлинности NTLM и Kerberos. |
| Тип входа 2 | Интерактивный вход | Пользователь получил доступ к сети, введя имя пользователя и пароль (метод проверки подлинности Kerberos или NTLM). |
| Тип входа 2 | Интерактивный вход с помощью сертификата | Пользователь получил доступ к сети с помощью сертификата. |
| Тип входа 2 | VPN-соединение | Пользователь, подключенный через VPN, — проверка подлинности по протоколу RADIUS. |
| Тип входа 3 | Доступ к ресурсам | Пользователь обращается к ресурсу с помощью проверки подлинности Kerberos или NTLM. |
| Тип входа 3 | Делегированный доступ к ресурсам | Пользователь обращается к ресурсу с помощью делегирования Kerberos. |
| Тип входа 8 | LDAP Cleartext | Пользователь прошел проверку подлинности с помощью ПРОТОКОЛА LDAP с паролем в виде ясного текста (простая проверка подлинности). |
| Тип входа 10 | Удаленный рабочий стол | Пользователь выполнил сеанс RDP на удаленном компьютере с помощью проверки подлинности Kerberos. |
| --- | Сбой входа | Сбой попытки проверки подлинности учетной записи домена (через NTLM и Kerberos) из-за следующего: учетная запись была отключена, просрочена, заблокирована, использована ненадежный сертификат или из-за недопустимых часов входа, старого пароля, пароля с истекшим сроком действия или неправильного пароля. |
| --- | Сбой входа с помощью сертификата | Сбой проверки подлинности учетной записи домена (через Kerberos) из-за следующего: учетная запись была отключена, просрочена, заблокирована или использована недоверенный сертификат или из-за недопустимых часов входа, старого пароля, пароля с истекшим сроком действия или неправильного пароля. |
Статьи по теме
- Обзор расширенной охоты
- Изучение языка запросов
- Использование общих запросов
- Охота на различных устройствах, в письмах, приложениях и удостоверениях
- Сведения о схеме
- Применение рекомендаций по использованию запросов
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.