IdentityLogonEvents
適用於:
- Microsoft Defender XDR
進IdentityLogonEvents階搜捕架構中的數據表包含透過 適用於身分識別的 Microsoft Defender 擷取的 內部部署的 Active Directory 所進行的驗證活動資訊,以及所擷取的 Microsoft 線上服務 相關驗證活動Microsoft Defender for Cloud Apps。 使用這個參考來建立從此表格取回之資訊的查詢。
提示
如需數據表支援的事件類型 (ActionType 值) 詳細資訊,請使用 Microsoft Defender 全面偵測回應 中提供的內建架構參考。
注意事項
下表涵蓋適用於雲端應用程式的Defender所追蹤 Microsoft Entra 登入活動,特別是使用ActiveSync和其他舊版通訊協定的互動式登入和驗證活動。 無法在此數據表中使用的非互動式登入,可以在 Microsoft Entra 稽核記錄中檢視。 深入瞭解如何將適用於雲端應用程式的Defender連線到 Microsoft 365
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ActionType |
string |
觸發事件的活動類型。 如需詳細資訊,請參閱入口網站內架構參考 |
Application |
string |
執行已錄製動作的應用程式 |
LogonType |
string |
登入會話的類型。 如需詳細資訊,請參閱 支援的登入類型。 |
Protocol |
string |
使用的網路協定 |
FailureReason |
string |
說明記錄動作失敗原因的資訊 |
AccountName |
string |
帳戶的用戶名稱 |
AccountDomain |
string |
帳戶的網域 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
AccountSid |
string |
帳戶 (SID) 的安全識別符 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountDisplayName |
string |
通訊錄中顯示的帳戶用戶名稱。 通常是指定或名字、中間初始名稱和姓氏或姓氏的組合。 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
DeviceType |
string |
以用途和功能為基礎的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲控制台或印表機 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 這表示特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
指派給端點並在相關網路通訊期間使用的IP位址 |
Port |
int |
通訊期間使用的 TCP 連接埠 |
DestinationDeviceName |
string |
執行處理已錄製動作之伺服器應用程式的裝置名稱 |
DestinationIPAddress |
string |
執行處理所錄製動作之伺服器應用程式的裝置IP位址 |
DestinationPort |
int |
相關網路通訊的目的地埠 |
TargetDeviceName |
string |
已記錄動作套用至之裝置的完整域名 (FQDN) |
TargetAccountDisplayName |
string |
已套用記錄動作的帳戶顯示名稱 |
Location |
string |
與事件相關聯的城市、國家/地區或其他地理位置 |
Isp |
string |
與端點 IP 位址相關聯的因特網服務提供者 (ISP) |
ReportId |
string |
事件的唯一標識碼 |
AdditionalFields |
dynamic |
實體或事件的其他相關信息 |
支援的登入類型
下表列出數據行支援的值 LogonType 。
| 登入類型 | 受監視的活動 | 描述 |
|---|---|---|
| 登入類型 2 | 認證驗證 | 使用 NTLM 和 Kerberos 驗證方法的網域帳戶驗證事件。 |
| 登入類型 2 | 互動式登錄 | 用戶藉由輸入使用者名稱和密碼 (驗證方法 Kerberos 或 NTLM) 來取得網路存取權。 |
| 登入類型 2 | 使用憑證進行互動式登錄 | 使用者使用憑證取得網路存取權。 |
| 登入類型 2 | VPN 連線 | 由 VPN 連線的使用者 - 使用 RADIUS 通訊協定進行驗證。 |
| 登入類型 3 | 資源存取 | 使用者使用 Kerberos 或 NTLM 驗證存取資源。 |
| 登入類型 3 | 委派的資源存取 | 使用者使用 Kerberos 委派存取資源。 |
| 登入類型8 | LDAP Cleartext | 使用LDAP與純文字密碼進行驗證的使用者 (簡單驗證) 。 |
| 登入類型 10 | 遠端桌面 | 使用者使用 Kerberos 驗證對遠端電腦執行 RDP 工作階段。 |
| --- | 登入失敗 | 網域帳戶無法透過NTLM和 Kerberos) (驗證嘗試,因為下列原因:帳戶已停用/過期/鎖定/使用不受信任的憑證,或因為登入時數/舊密碼/密碼過期/密碼錯誤所致。 |
| --- | 使用憑證登入失敗 | 網域帳戶無法透過 Kerberos) (驗證嘗試,因為下列原因:帳戶已停用/過期/鎖定/使用不受信任的憑證,或因為登入時數/舊密碼/密碼過期/密碼錯誤而無效。 |
相關主題
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。