IdentityLogonEvents
Gælder for:
- Microsoft Defender XDR
Tabellen IdentityLogonEvents i det avancerede jagtskema indeholder oplysninger om godkendelsesaktiviteter, der udføres via dine Active Directory i det lokale miljø, der registreres af Microsoft Defender for Identity- og godkendelsesaktiviteter, der er relateret til Microsoft onlinetjenester registreret af Microsoft Defender for Cloud Apps. Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra denne tabel.
Tip
Du kan finde detaljerede oplysninger om de hændelsestyper (ActionTypeværdier), der understøttes af en tabel, ved at bruge den indbyggede skemareference, der er tilgængelig i Microsoft Defender XDR.
Bemærk!
Denne tabel dækker Microsoft Entra logonaktiviteter, der spores af Defender for Cloud Apps, specifikt interaktive logon- og godkendelsesaktiviteter ved hjælp af ActiveSync og andre ældre protokoller. Ikke-interaktive logons, der ikke er tilgængelige i denne tabel, kan ses i Microsoft Entra overvågningslog. Få mere at vide om, hvordan du opretter forbindelse mellem Defender for Cloud Apps og Microsoft 365
Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for registrering af hændelsen |
ActionType |
string |
Aktivitetstype, der udløste hændelsen. Se skemareferencen i portalen for at få flere oplysninger |
Application |
string |
Program, der udførte den registrerede handling |
LogonType |
string |
Type af logonsession. Du kan få flere oplysninger under Understøttede logontyper. |
Protocol |
string |
Netværksprotokol, der bruges |
FailureReason |
string |
Oplysninger, der forklarer, hvorfor den registrerede handling mislykkedes |
AccountName |
string |
Brugernavnet på kontoen |
AccountDomain |
string |
Kontoens domæne |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
AccountSid |
string |
Sikkerheds-id (SID) for kontoen |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
AccountDisplayName |
string |
Navnet på den kontobruger, der vises i adressekartoteket. Typisk en kombination af et givet eller fornavn, et mellemnavn og et efternavn eller efternavn. |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
DeviceType |
string |
Enhedstype baseret på formål og funktionalitet, f.eks. netværksenhed, arbejdsstation, server, mobil, spillekonsol eller printer |
OSPlatform |
string |
Platform for det operativsystem, der kører på enheden. Dette angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7. |
IPAddress |
string |
IP-adresse, der er tildelt slutpunktet og bruges under relateret netværkskommunikation |
Port |
int |
TCP-port, der bruges under kommunikation |
DestinationDeviceName |
string |
Navnet på den enhed, der kører det serverprogram, der behandlede den registrerede handling |
DestinationIPAddress |
string |
IP-adressen på den enhed, der kører det serverprogram, der behandlede den registrerede handling |
DestinationPort |
int |
Destinationsport for relateret netværkskommunikation |
TargetDeviceName |
string |
Fuldt domænenavn (FQDN) for den enhed, som den registrerede handling blev anvendt på |
TargetAccountDisplayName |
string |
Vist navn på den konto, som den registrerede handling blev anvendt på |
Location |
string |
By, land/område eller anden geografisk placering, der er knyttet til hændelsen |
Isp |
string |
Internetudbyder, der er knyttet til slutpunktets IP-adresse |
ReportId |
string |
Entydigt id for hændelsen |
AdditionalFields |
dynamic |
Yderligere oplysninger om enheden eller hændelsen |
Understøttede logontyper
I følgende tabel vises de understøttede værdier for kolonnen LogonType .
| Logontype | Overvåget aktivitet | Beskrivelse |
|---|---|---|
| Logontype 2 | Validering af legitimationsoplysninger | Godkendelseshændelse for domænekonto ved hjælp af NTLM- og Kerberos-godkendelsesmetoderne. |
| Logontype 2 | Interaktivt logon | Brugeren fik netværksadgang ved at angive et brugernavn og en adgangskode (godkendelsesmetode Kerberos eller NTLM). |
| Logontype 2 | Interaktivt logon med certifikat | Brugeren fik netværksadgang ved hjælp af et certifikat. |
| Logontype 2 | VPN-forbindelse | Bruger, der har forbindelse via VPN – Godkendelse ved hjælp af RADIUS-protokollen. |
| Logontype 3 | Ressourceadgang | Brugeren har fået adgang til en ressource ved hjælp af Kerberos- eller NTLM-godkendelse. |
| Logontype 3 | Delegeret ressourceadgang | Brugeren har åbnet en ressource ved hjælp af Kerberos-delegering. |
| Logontype 8 | LDAP-klartekst | Bruger godkendt ved hjælp af LDAP med en klartekstadgangskode (simpel godkendelse). |
| Logontype 10 | Fjernskrivebord | Brugeren udførte en RDP-session på en fjerncomputer ved hjælp af Kerberos-godkendelse. |
| --- | Logon mislykkedes | Forsøg på godkendelse af en domænekonto mislykkedes (via NTLM og Kerberos) på grund af følgende: Kontoen blev deaktiveret/udløbet/låst/brugt et certifikat, der ikke er tillid til, eller på grund af ugyldige logontimer/gammel adgangskode/udløbet adgangskode/forkert adgangskode. |
| --- | Logon med certifikat mislykkedes | Forsøg på godkendelse af en domænekonto mislykkedes (via Kerberos) på grund af følgende: Kontoen blev deaktiveret/udløbet/låst/brugt et certifikat, der ikke er tillid til, eller på grund af ugyldige logontimer/gammel adgangskode/udløbet adgangskode/forkert adgangskode. |
Relaterede emner
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Brug delte forespørgsler
- Lede på tværs af enheder, mails, apps og identiteter
- Forstå skemaet
- Anvend bedste praksis for forespørgsler
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.