DeviceLogonEvents
Gælder for:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
Tabellen DeviceLogonEvents i det avancerede jagtskema indeholder oplysninger om brugerlogon og andre godkendelseshændelser på enheder. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Tip
Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
DeviceId |
string |
Entydigt id for enheden i tjenesten |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
ActionType |
string |
Aktivitetstype, der udløste hændelsen |
LogonType |
string |
Type af logonsession, specifikt: - Interaktiv – Brugeren interagerer fysisk med enheden ved hjælp af det lokale tastatur og den lokale skærm - RDP-logon (Remote Interactive) – Brugeren interagerer med enheden eksternt ved hjælp af Fjernskrivebord, Terminal Services, Fjernsupport eller andre RDP-klienter - Netværk – Sessionen startes, når enheden tilgås ved hjælp af PsExec, eller når der tilgås delte ressourcer på enheden, f.eks. printere og delte mapper - Batch – Session startet af planlagte opgaver - Service – Session startet af tjenester, når de starter |
AccountDomain |
string |
Kontoens domæne |
AccountName |
string |
Brugernavnet på kontoen |
AccountSid |
string |
Sikkerheds-id (SID) for kontoen |
Protocol |
string |
Protokol, der bruges under kommunikationen |
FailureReason |
string |
Oplysninger, der forklarer, hvorfor den registrerede handling mislykkedes |
IsLocalAdmin |
boolean |
Boolesk indikator for, om brugeren er en lokal administrator på enheden |
LogonId |
long |
Id for en logonsession. Dette id er kun entydigt på den samme enhed mellem genstart. |
RemoteDeviceName |
string |
Navnet på den enhed, der udførte en fjernhandling på den pågældende enhed. Afhængigt af den hændelse, der rapporteres, kan dette navn være et fuldt kvalificeret domænenavn (FQDN), et NetBIOS-navn eller et værtsnavn uden domæneoplysninger. |
RemoteIP |
string |
IP-adressen på den enhed, som logonforsøget blev udført fra |
RemoteIPType |
string |
IP-adressetype, f.eks. offentlig, privat, reserveret, tilbagekobling, Teredo, FourToSixMapping og broadcast |
RemotePort |
int |
TCP-port på den eksterne enhed, der blev tilsluttet |
InitiatingProcessAccountDomain |
string |
Domænet for den konto, der kørte processen, som er ansvarlig for hændelsen |
InitiatingProcessAccountName |
string |
Brugernavnet på den konto, der kørte den proces, der er ansvarlig for hændelsen |
InitiatingProcessAccountSid |
string |
Sikkerheds-id (SID) for den konto, der kørte processen, der er ansvarlig for hændelsen |
InitiatingProcessAccountUpn |
string |
Brugerens hovednavn (UPN) for den konto, der kørte den proces, der er ansvarlig for hændelsen |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-id for den brugerkonto, der kørte den proces, der er ansvarlig for hændelsen |
InitiatingProcessIntegrityLevel |
string |
Integritetsniveau for den proces, der startede hændelsen. Windows tildeler integritetsniveauer til processer baseret på visse egenskaber, f.eks. hvis de blev startet fra en internetdownload. Disse integritetsniveauer påvirker tilladelser til ressourcer. |
InitiatingProcessTokenElevation |
string |
Tokentype, der angiver tilstedeværelsen eller fraværet af udvidede rettigheder for Bruger Access Control (UAC) for den proces, der startede hændelsen |
InitiatingProcessSHA1 |
string |
SHA-1-hash for den proces (billedfil), der startede hændelsen |
InitiatingProcessSHA256 |
string |
SHA-256-hash for den proces (billedfil), der startede hændelsen. Dette felt er normalt ikke udfyldt. Brug kolonnen SHA1, når det er tilgængeligt. |
InitiatingProcessMD5 |
string |
MD5-hash for den proces (billedfil), der startede hændelsen |
InitiatingProcessFileName |
string |
Navnet på den procesfil, der startede hændelsen. Hvis den ikke er tilgængelig, vises navnet på den proces, der startede hændelsen, muligvis i stedet for |
InitiatingProcessFileSize |
long |
Størrelsen på den fil, der kørte den proces, der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oprindeligt filnavn fra versionsoplysningerne for processen (billedfilen), der er ansvarlig for hændelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versionsoplysningerne for den proces (billedfil), der er ansvarlig for hændelsen |
InitiatingProcessId |
long |
Proces-id (PID) for den proces, der startede hændelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje, der bruges til at køre den proces, der startede hændelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslæt for, hvornår den proces, der startede hændelsen, blev startet |
InitiatingProcessFolderPath |
string |
Mappe, der indeholder den proces (billedfil), der startede hændelsen |
InitiatingProcessParentId |
long |
Proces-id (PID) for den overordnede proces, der forgrenede processen, der er ansvarlig for hændelsen |
InitiatingProcessParentFileName |
string |
Navn eller fuldstændig sti for den overordnede proces, der forgrenede processen, der er ansvarlig for hændelsen |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslæt for, hvornår den overordnede for den proces, der er ansvarlig for hændelsen, blev startet |
ReportId |
long |
Hændelses-id baseret på en gentaget tæller. Hvis du vil identificere entydige hændelser, skal denne kolonne bruges sammen med kolonnerne DeviceName og Timestamp. |
AppGuardContainerId |
string |
Id for den virtualiserede objektbeholder, der bruges af Application Guard til at isolere browseraktivitet |
AdditionalFields |
string |
Yderligere oplysninger om hændelsen i JSON-matrixformat |
InitiatingProcessSessionId |
long |
Windows-sessions-id for startprocessen |
IsInitiatingProcessRemoteSession |
bool |
Angiver, om startprocessen blev kørt under en RDP-session (Remote Desktop Protocol) (sand) eller lokalt (falsk) |
InitiatingProcessRemoteSessionDeviceName |
string |
Enhedsnavnet på den eksterne enhed, som startprocessens RDP-session blev startet fra |
InitiatingProcessRemoteSessionIP |
string |
IP-adressen på den eksterne enhed, som startprocessens RDP-session blev startet fra |
Bemærk!
Samlingen af DeviceLogonEvents understøttes ikke på Windows 7- eller Windows Server 2008R2-enheder, der er onboardet til Defender for Endpoint. Vi anbefaler, at du opgraderer til et nyere operativsystem for at få optimal synlighed i brugerlogonaktiviteten.
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.