DeviceLogonEvents
适用于:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceLogonEvents
高级搜寻架构中的表包含有关设备上的用户登录和其他身份验证事件的信息。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
DeviceId |
string |
服务中设备的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
ActionType |
string |
触发事件的活动类型 |
LogonType |
string |
登录会话的类型,具体来说: - 交互式 - 用户使用本地键盘和屏幕以物理方式与设备交互 - 远程交互式 (RDP) 登录 - 用户使用远程桌面、终端服务、远程协助或其他 RDP 客户端与设备远程交互 - 网络 - 使用 PsExec 访问设备或访问设备上的共享资源(如打印机和共享文件夹)时启动的会话 - Batch - 由计划任务启动的会话 - 服务 - 服务启动时由服务启动的会话 |
AccountDomain |
string |
帐户的域 |
AccountName |
string |
帐户的用户名 |
AccountSid |
string |
帐户的安全标识符 (SID) |
Protocol |
string |
通信期间使用的协议 |
FailureReason |
string |
说明录制的操作失败的原因的信息 |
IsLocalAdmin |
boolean |
指示用户是否为设备上的本地管理员的布尔指示器 |
LogonId |
long |
登录会话的标识符。 此标识符仅在重启之间在同一设备上是唯一的。 |
RemoteDeviceName |
string |
在受影响的设备上执行远程操作的设备的名称。 根据所报告的事件,此名称可以是完全限定的域名 (FQDN) 、NetBIOS 名称或主机名(不包含域信息)。 |
RemoteIP |
string |
从中执行登录尝试的设备 IP 地址 |
RemoteIPType |
string |
IP 地址类型,例如公共、专用、保留、环回、Teredo、FourToSixMapping 和 Broadcast |
RemotePort |
int |
连接到的远程设备上的 TCP 端口 |
InitiatingProcessAccountDomain |
string |
运行负责事件的进程的帐户的域 |
InitiatingProcessAccountName |
string |
运行负责事件的进程的帐户的用户名 |
InitiatingProcessAccountSid |
string |
安全标识符 (SID) 运行负责事件的进程的帐户 |
InitiatingProcessAccountUpn |
string |
用户主体名称 (运行负责事件的进程的帐户的 UPN) |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra运行负责事件的进程的用户帐户的对象 ID |
InitiatingProcessIntegrityLevel |
string |
启动事件的进程的完整性级别。 Windows 根据某些特征(例如,是否从 Internet 下载启动)为进程分配完整性级别。 这些完整性级别会影响对资源的权限。 |
InitiatingProcessTokenElevation |
string |
指示是否存在用户访问控制 (UAC 的令牌类型,) 特权提升应用于发起事件的进程 |
InitiatingProcessSHA1 |
string |
启动事件的进程的 SHA-1 哈希 (图像文件) |
InitiatingProcessSHA256 |
string |
启动事件的进程的 SHA-256 哈希 (图像文件) 。 此字段通常不会填充 - 使用 SHA1 列(如果可用)。 |
InitiatingProcessMD5 |
string |
发起事件的进程 (映像文件) 的 MD5 哈希 |
InitiatingProcessFileName |
string |
启动事件的进程文件的名称;如果不可用,则可能会改为显示启动事件的进程的名称 |
InitiatingProcessFileSize |
long |
运行负责事件的进程的文件的大小 |
InitiatingProcessVersionInfoCompanyName |
string |
进程版本信息中的公司名称 (映像文件) 负责事件 |
InitiatingProcessVersionInfoProductName |
string |
进程版本信息中的产品名称 (图像文件) 负责事件 |
InitiatingProcessVersionInfoProductVersion |
string |
来自进程版本信息的产品版本 (映像文件) 负责事件 |
InitiatingProcessVersionInfoInternalFileName |
string |
进程版本信息中的内部文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoOriginalFileName |
string |
进程版本信息中的原始文件名 (负责事件的映像文件) |
InitiatingProcessVersionInfoFileDescription |
string |
来自进程版本信息的说明 (负责事件的映像文件) |
InitiatingProcessId |
long |
进程 ID (启动事件的进程的 PID) |
InitiatingProcessCommandLine |
string |
用于运行启动事件的进程的命令行 |
InitiatingProcessCreationTime |
datetime |
启动事件的进程的日期和时间 |
InitiatingProcessFolderPath |
string |
包含发起事件的进程 (图像文件) 的文件夹 |
InitiatingProcessParentId |
long |
进程 ID (PID) 生成负责事件的进程的父进程 |
InitiatingProcessParentFileName |
string |
生成负责事件的进程的父进程的名称或完整路径 |
InitiatingProcessParentCreationTime |
datetime |
负责事件的进程的父级的启动日期和时间 |
ReportId |
long |
基于重复计数器的事件标识符。 若要标识唯一事件,此列必须与 DeviceName 和 Timestamp 列结合使用。 |
AppGuardContainerId |
string |
应用程序防护用于隔离浏览器活动的虚拟化容器的标识符 |
AdditionalFields |
string |
有关 JSON 数组格式的事件的其他信息 |
InitiatingProcessSessionId |
long |
启动进程的 Windows 会话 ID |
IsInitiatingProcessRemoteSession |
bool |
指示启动进程是在远程桌面协议 (RDP) 会话 (true) 还是本地 (false) |
InitiatingProcessRemoteSessionDeviceName |
string |
从中启动发起进程的 RDP 会话的远程设备的设备名称 |
InitiatingProcessRemoteSessionIP |
string |
从中启动发起进程的 RDP 会话的远程设备的 IP 地址 |
注意
载入到 Defender for Endpoint 的 Windows 7 或 Windows Server 2008R2 设备不支持 DeviceLogonEvents 的集合。 建议升级到更新的操作系统,以最佳方式了解用户登录活动。
相关主题
提示
想要了解更多信息? 请在我们的技术社区中与 Microsoft 安全社区互动:Microsoft Defender XDR 技术社区。