IdentityLogonEvents
進階搜尋結構中的表格包含透過內部部署的 Active Directory 所進行的認證活動資訊,這些活動由 適用於身分識別的 Microsoft Defender 捕捉,以及與 Microsoft 線上服務相關的認證活動Microsoft Defender for Cloud Apps. 使用這個參考來建立從此表格取回之資訊的查詢。
提示
如需詳細了解資料表所支援 (ActionType) 事件類型值,請使用 Microsoft Defender 全面偵測回應 內建的結構參考。
注意事項
本表涵蓋 Defender for Cloud Apps 追蹤的 Microsoft Entra 登入活動,特別是使用 ActiveSync 及其他舊有協定進行的互動式登入與驗證活動。 本表中未包含的非互動式登錄可於 Microsoft Entra 稽核日誌中查看。 了解更多關於將 Defender for Cloud Apps 連接到 Microsoft 365 的資訊
這個進階狩獵表包含適用於身分識別的 Microsoft Defender、Microsoft Sentinel和Microsoft Entra ID的紀錄。 如果您的組織尚未在 Microsoft Defender 全面偵測回應中部署該服務,使用該表格的查詢將無法運作或回傳任何結果。 欲了解更多如何在 Defender 全面偵測回應中部署 Defender for Identity 的資訊,請閱讀「部署支援服務」。
如需進階搜捕結構描述中其他表格的資訊,請參閱進階搜捕參考 (部分內容為機器翻譯)。
| 欄名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
事件記錄的日期和時間 |
ActionType |
string |
觸發事件的活動類型。 詳情請參閱入口內的架構參考 |
Application |
string |
執行記錄動作的應用程式 |
LogonType |
string |
登入會話的類型。 欲了解更多資訊,請參閱 支援的登入類型。 |
Protocol |
string |
使用的網路協定 |
FailureReason |
string |
解釋為何錄音動作失敗的資訊 |
AccountName |
string |
帳號使用者名稱 |
AccountDomain |
string |
帳號網域 |
AccountUpn |
string |
使用者主體名稱 (帳號的 UPN) |
AccountSid |
string |
安全識別碼 (帳號的 SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一識別碼 |
AccountDisplayName |
string |
通訊錄中顯示的帳號使用者名稱。 通常是名字或名字、中間名首字母,以及姓氏或姓氏的組合。 |
DeviceName |
string |
完全限定的網域名稱 (裝置的 FQDN) |
DeviceType |
string |
根據用途與功能選擇的裝置類型,例如網路裝置、工作站、伺服器、行動裝置、遊戲主機或印表機 |
OSPlatform |
string |
裝置上運行的作業系統平台。 這表示特定作業系統,包括同一家族內的變體,如 Windows 11、Windows 10 和 Windows 7。 |
IPAddress |
string |
分配給端點並在相關網路通訊中使用的 IP 位址 |
Port |
int |
通訊時使用的 TCP 埠 |
DestinationDeviceName |
string |
執行伺服器應用程式的裝置名稱,該應用程式處理了記錄的動作 |
DestinationIPAddress |
string |
執行伺服器應用程式的裝置 IP 位址,該應用程式處理該記錄動作 |
DestinationPort |
int |
相關網路通訊的目的埠 |
TargetDeviceName |
string |
完全限定的網域名稱 (FQDN) ,該裝置被記錄的動作被套用 |
TargetAccountDisplayName |
string |
顯示該記錄行動所應用的帳號名稱 |
Location |
string |
與活動相關的城市、國家/地區或其他地理位置 |
Isp |
string |
網際網路服務提供者 (ISP) 與端點IP位址相關聯 |
ReportId |
string |
事件的唯一識別碼 |
AdditionalFields |
dynamic |
關於該實體或事件的更多資訊 |
支援的登入類型
下表列出該 LogonType 欄位所支援的數值。
| 登入類型 | 監控活動 | 描述 |
|---|---|---|
| Logon 類型 2 | 憑證驗證 | 使用 NTLM 與 Kerberos 認證方法的網域帳號認證事件。 |
| Logon 類型 2 | 互動登入 | 使用者需輸入使用者名稱與密碼 (認證方式 Kerberos 或 NTLM) 取得網路存取權。 |
| Logon 類型 2 | 帶憑證的互動登入 | 使用者透過憑證取得網路存取權。 |
| Logon 類型 2 | VPN 連線 | 使用者透過 VPN 連線 - 使用 RADIUS 協定進行認證。 |
| Logon 類型 3 | 資源存取 | 使用者透過 Kerberos 或 NTLM 認證存取資源。 |
| Logon 類型 3 | 授權資源存取 | 使用者使用 Kerberos 委派存取資源。 |
| Logon 類型 8 | LDAP 明文 | 使用者使用 LDAP 進行認證,並使用明文密碼 (Simple 認證) 。 |
| Logon 類型 10 | 遠端桌面 | 使用者使用 Kerberos 認證對遠端電腦執行 RDP 會話。 |
| --- | 失敗的登入 | 網域帳號驗證嘗試失敗, (NTLM 和 Kerberos) ,原因如下:帳號被停用/過期/鎖定/使用不信任憑證,或登入時間無效/舊密碼/過期密碼/錯誤密碼。 |
| --- | 登入失敗(附憑證) | 網域帳號驗證失敗, (Kerberos) ,原因如下:帳號被停用/過期/鎖定/使用不信任憑證,或登入時間無效/舊密碼/過期密碼/錯誤密碼。 |
相關主題
提示
想要深入了解? 請到我們的技術社群中與 Microsoft 安全性社群互動: Microsoft Defender 全面偵測回應技術社群。