分享方式:


IdentityLogonEvents

適用於:

  • Microsoft Defender XDR

IdentityLogonEvents搜捕架構中的數據表包含透過 適用於身分識別的 Microsoft Defender 擷取的 內部部署的 Active Directory 所進行的驗證活動資訊,以及所擷取的 Microsoft 線上服務 相關驗證活動Microsoft Defender for Cloud Apps。 使用這個參考來建立從此表格取回之資訊的查詢。

提示

如需數據表支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中提供的內建架構參考。

注意事項

下表涵蓋適用於雲端應用程式的Defender所追蹤 Microsoft Entra 登入活動,特別是使用ActiveSync和其他舊版通訊協定的互動式登入和驗證活動。 無法在此數據表中使用的非互動式登入,可以在 Microsoft Entra 稽核記錄中檢視。 深入瞭解如何將適用於雲端應用程式的Defender連線到 Microsoft 365

如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。

欄名稱 資料類型 描述
Timestamp datetime 事件記錄的日期和時間
ActionType string 觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考
Application string 執行已錄製動作的應用程式
LogonType string 登入會話的類型。 如需詳細資訊,請參閱 支援的登入類型
Protocol string 使用的網路協定
FailureReason string 說明記錄動作失敗原因的資訊
AccountName string 帳戶的用戶名稱
AccountDomain string 帳戶的網域
AccountUpn string 帳戶的UPN) (用戶主體名稱
AccountSid string 帳戶 (SID) 的安全識別符
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountDisplayName string 通訊錄中顯示的帳戶用戶名稱。 通常是指定或名字、中間初始名稱和姓氏或姓氏的組合。
DeviceName string 裝置的 FQDN) (完整功能變數名稱
DeviceType string 以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機
OSPlatform string 在裝置上執行之作業系統的平臺。 這表示特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。
IPAddress string 指派給端點並在相關網路通訊期間使用的IP位址
Port int 通訊期間使用的 TCP 連接埠
DestinationDeviceName string 執行處理已錄製動作之伺服器應用程式的裝置名稱
DestinationIPAddress string 執行處理所錄製動作之伺服器應用程式的裝置IP位址
DestinationPort int 相關網路通訊的目的地埠
TargetDeviceName string 已記錄動作套用至之裝置的完整域名 (FQDN)
TargetAccountDisplayName string 已套用記錄動作的帳戶顯示名稱
Location string 與事件相關聯的城市、國家/地區或其他地理位置
Isp string 與端點 IP 位址相關聯的因特網服務提供者 (ISP)
ReportId string 事件的唯一標識碼
AdditionalFields dynamic 實體或事件的其他相關信息

支援的登入類型

下表列出數據行支援的值 LogonType

登入類型 受監視的活動 描述
登入類型 2 認證驗證 使用 NTLM 和 Kerberos 驗證方法的網域帳戶驗證事件。
登入類型 2 互動式登錄 用戶藉由輸入使用者名稱和密碼 (驗證方法 Kerberos 或 NTLM) 來取得網路存取權。
登入類型 2 使用憑證進行互動式登錄 使用者使用憑證取得網路存取權。
登入類型 2 VPN 連線 由 VPN 連線的使用者 - 使用 RADIUS 通訊協定進行驗證。
登入類型 3 資源存取 使用者使用 Kerberos 或 NTLM 驗證存取資源。
登入類型 3 委派的資源存取 使用者使用 Kerberos 委派存取資源。
登入類型8 LDAP Cleartext 使用LDAP與純文字密碼進行驗證的使用者 (簡單驗證) 。
登入類型 10 遠端桌面 使用者使用 Kerberos 驗證對遠端電腦執行 RDP 工作階段。
--- 登入失敗 網域帳戶無法透過NTLM和 Kerberos) (驗證嘗試,因為下列原因:帳戶已停用/過期/鎖定/使用不受信任的憑證,或因為登入時數/舊密碼/密碼過期/密碼錯誤所致。
--- 使用憑證登入失敗 網域帳戶無法透過 Kerberos) (驗證嘗試,因為下列原因:帳戶已停用/過期/鎖定/使用不受信任的憑證,或因為登入時數/舊密碼/密碼過期/密碼錯誤而無效。

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。