DeviceLogonEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
- Uç Nokta için Microsoft Defender
Gelişmiş DeviceLogonEventstehdit avcılığı şemasındaki tablo, cihazlardaki kullanıcı oturum açma işlemleri ve diğer kimlik doğrulama olayları hakkında bilgi içerir. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
DeviceId |
string |
Hizmetteki cihaz için benzersiz tanımlayıcı |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
ActionType |
string |
Olayı tetikleyen etkinlik türü |
LogonType |
string |
Özellikle oturum açma oturumunun türü: - Etkileşimli - Kullanıcı, yerel klavyeyi ve ekranı kullanarak cihazla fiziksel olarak etkileşim kurar - Uzaktan etkileşimli (RDP) oturum açmalar - Kullanıcı Uzak Masaüstü, Terminal Hizmetleri, Uzaktan Yardım veya diğer RDP istemcilerini kullanarak cihazla uzaktan etkileşim kurar - Ağ - Cihaza PsExec kullanılarak erişildiğinde veya cihazdaki yazıcılar ve paylaşılan klasörler gibi paylaşılan kaynaklara erişildiğinde başlatılan oturum - Batch - Zamanlanmış görevler tarafından başlatılan oturum - Hizmet - Hizmetler başlatılırken başlatılan oturum |
AccountDomain |
string |
Hesabın etki alanı |
AccountName |
string |
Hesabın kullanıcı adı |
AccountSid |
string |
Hesabın Güvenlik Tanımlayıcısı (SID) |
Protocol |
string |
İletişim sırasında kullanılan protokol |
FailureReason |
string |
Kaydedilen eylemin neden başarısız olduğunu açıklayan bilgiler |
IsLocalAdmin |
boolean |
Kullanıcının cihazda yerel yönetici olup olmadığını gösteren Boole göstergesi |
LogonId |
long |
Oturum açma oturumlarının tanımlayıcısı. Bu tanımlayıcı aynı cihazda yalnızca yeniden başlatmalar arasında benzersizdir. |
RemoteDeviceName |
string |
Etkilenen cihazda uzaktan işlem gerçekleştiren cihazın adı. Bildirilen olaya bağlı olarak, bu ad tam etki alanı adı (FQDN), NetBIOS adı veya etki alanı bilgisi olmayan bir ana bilgisayar adı olabilir. |
RemoteIP |
string |
Oturum açma girişiminin gerçekleştirildiği cihazın IP adresi |
RemoteIPType |
string |
Genel, Özel, Ayrılmış, Geri Döngü, Teredo, FourToSixMapping ve Broadcast gibi IP adresi türü |
RemotePort |
int |
Bağlı olan uzak cihazda TCP bağlantı noktası |
InitiatingProcessAccountDomain |
string |
Olaydan sorumlu işlemi çalıştıran hesabın etki alanı |
InitiatingProcessAccountName |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı adı |
InitiatingProcessAccountSid |
string |
Olaydan sorumlu işlemi çalıştıran hesabın Güvenlik Tanımlayıcısı (SID) |
InitiatingProcessAccountUpn |
string |
Olaydan sorumlu işlemi çalıştıran hesabın kullanıcı asıl adı (UPN) |
InitiatingProcessAccountObjectId |
string |
Olaydan sorumlu işlemi çalıştıran kullanıcı hesabının nesne kimliğini Microsoft Entra |
InitiatingProcessIntegrityLevel |
string |
Olayı başlatan işlemin bütünlük düzeyi. Windows, bir internet indirmesinden başlatılmış olmaları gibi belirli özelliklere göre işlemlere bütünlük düzeyleri atar. Bu bütünlük düzeyleri kaynaklara yönelik izinleri etkiler. |
InitiatingProcessTokenElevation |
string |
Olayı başlatan işleme uygulanan Kullanıcı Access Control (UAC) ayrıcalık yükseltmesinin varlığını veya yokluğunu gösteren belirteç türü |
InitiatingProcessSHA1 |
string |
Olayı başlatan işlemin SHA-1 karması (görüntü dosyası) |
InitiatingProcessSHA256 |
string |
Olayı başlatan işlemin (görüntü dosyası) SHA-256 karması. Bu alan genellikle doldurulmamaktadır; kullanılabilir olduğunda SHA1 sütununu kullanın. |
InitiatingProcessMD5 |
string |
Olayı başlatan işlemin MD5 karması (görüntü dosyası) |
InitiatingProcessFileName |
string |
Olayı başlatan işlem dosyasının adı; kullanılamıyorsa, bunun yerine olayı başlatan işlemin adı gösterilebilir |
InitiatingProcessFileSize |
long |
Olaydan sorumlu işlemi çalıştıran dosyanın boyutu |
InitiatingProcessVersionInfoCompanyName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) şirket adı |
InitiatingProcessVersionInfoProductName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün adı |
InitiatingProcessVersionInfoProductVersion |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) ürün sürümü |
InitiatingProcessVersionInfoInternalFileName |
string |
Olayın sorumlu olduğu işlemin sürüm bilgilerinden (görüntü dosyası) iç dosya adı |
InitiatingProcessVersionInfoOriginalFileName |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden (görüntü dosyası) özgün dosya adı |
InitiatingProcessVersionInfoFileDescription |
string |
Olaydan sorumlu işlemin sürüm bilgilerinden açıklama (görüntü dosyası) |
InitiatingProcessId |
long |
Olayı başlatan işlemin İşlem Kimliği (PID) |
InitiatingProcessCommandLine |
string |
Olayı başlatan işlemi çalıştırmak için kullanılan komut satırı |
InitiatingProcessCreationTime |
datetime |
Olayı başlatan işlemin başlatıldığı tarih ve saat |
InitiatingProcessFolderPath |
string |
Olayı başlatan işlemi (görüntü dosyası) içeren klasör |
InitiatingProcessParentId |
long |
Olaydan sorumlu işlemi oluşturan üst işlemin İşlem Kimliği (PID) |
InitiatingProcessParentFileName |
string |
Olaydan sorumlu işlemi oluşturan üst işlemin adı veya tam yolu |
InitiatingProcessParentCreationTime |
datetime |
Olaydan sorumlu işlemin üst öğesinin başlatıldığı tarih ve saat |
ReportId |
long |
Yinelenen sayacı temel alan olay tanımlayıcısı. Benzersiz olayları tanımlamak için bu sütunun DeviceName ve Timestamp sütunlarıyla birlikte kullanılması gerekir. |
AppGuardContainerId |
string |
tarayıcı etkinliğini yalıtmak için Application Guard tarafından kullanılan sanallaştırılmış kapsayıcının tanımlayıcısı |
AdditionalFields |
string |
JSON dizi biçimindeki olay hakkında ek bilgi |
InitiatingProcessSessionId |
long |
Başlatma işleminin Windows oturum kimliği |
IsInitiatingProcessRemoteSession |
bool |
Başlatma işleminin uzak masaüstü protokolü (RDP) oturumu altında mı (true) yoksa yerel olarak mı (false) çalıştırıldığını gösterir |
InitiatingProcessRemoteSessionDeviceName |
string |
Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın cihaz adı |
InitiatingProcessRemoteSessionIP |
string |
Başlatma işleminin RDP oturumunun başlatıldığı uzak cihazın IP adresi |
Not
Uç Nokta için Defender'a eklenen Windows 7 veya Windows Server 2008R2 cihazlarında DeviceLogonEvents koleksiyonu desteklenmez. Kullanıcı oturum açma etkinliğine en uygun görünürlük için daha yeni bir işletim sistemine yükseltmenizi öneririz.
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.