DeviceLogonEvents
Koskee seuraavia:
- Microsoft Defender XDR
- Microsoft Defender for Endpoint
DeviceLogonEvents
Kehittyneen metsästysrakenteen taulukko sisältää tietoja käyttäjien kirjautumisista ja muista laitteiden todennustapahtumista. Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja tästä taulukosta.
Vihje
Jos haluat tarkempia tietoja taulukon tukemista tapahtumatyypeistä (ActionTypearvoista), käytä Microsoft Defender XDR käytettävissä olevaa sisäistä rakenneviittausta.
Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuma kirjattiin |
DeviceId |
string |
Palvelun laitteen yksilöllinen tunniste |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
ActionType |
string |
Tapahtuman käynnistäneen toiminnon tyyppi |
LogonType |
string |
Kirjautumisistunnon tyyppi, erityisesti: - Interactive – Käyttäjä on fyysisesti vuorovaikutuksessa laitteen kanssa paikallisen näppäimistön ja näytön avulla - Vuorovaikutteiset etäkirjautumiset ( RDP) – Käyttäjä on etäyhteydessä laitteen kanssa etätyöpöydän, päätepalvelujen, etätuen tai muiden RDP-asiakkaiden avulla - Verkko – Istunto aloitettiin, kun laitetta käytetään PsExecillä tai kun laitteen jaettuja resursseja, kuten tulostimia ja jaettuja kansioita, käytetään - Batch – Ajoitettujen tehtävien aloittama istunto - Palvelu – Palveluiden aloittama istunto niiden käynnistyessä |
AccountDomain |
string |
Tilin toimialue |
AccountName |
string |
Tilin käyttäjänimi |
AccountSid |
string |
Tilin suojaustunnus (SID) |
Protocol |
string |
Tiedonsiirron aikana käytettävä protokolla |
FailureReason |
string |
Tiedot, jotka selittävät, miksi tallennettu toiminto epäonnistui |
IsLocalAdmin |
boolean |
Totuusarvon ilmaisin siitä, onko käyttäjä laitteen paikallinen järjestelmänvalvoja |
LogonId |
long |
Kirjautumisistunnon tunnus. Tämä tunnus on yksilöllinen samassa laitteessa vain uudelleenkäynnistysten välillä. |
RemoteDeviceName |
string |
Sen laitteen nimi, joka suoritti etätoiminnon kyseisessä laitteessa. Raportoitavasta tapahtumasta riippuen tämä nimi voi olla täydellinen toimialuenimi (FQDN), NetBIOS-nimi tai isäntänimi ilman toimialuetietoja. |
RemoteIP |
string |
Sen laitteen IP-osoite, josta kirjautumisyritys suoritettiin |
RemoteIPType |
string |
IP-osoitteen tyyppi, esimerkiksi Julkinen, Yksityinen, Varattu, Silmukka, Teredo, FourToSixMapping ja Yleislähetys |
RemotePort |
int |
TCP-portti etälaitteessa, johon oli muodostettu yhteys |
InitiatingProcessAccountDomain |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin toimialue |
InitiatingProcessAccountName |
string |
Tapahtumasta vastuussa olevan prosessin suorittaneen tilin käyttäjänimi |
InitiatingProcessAccountSid |
string |
Tapahtumasta vastuussa olevan tilin suojaustunnus (SID) |
InitiatingProcessAccountUpn |
string |
Tapahtumasta vastuussa olevan tilin täydellinen käyttäjätunnus (UPN) |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra sen käyttäjätilin objektitunnuksen, joka suoritti tapahtumasta vastaavan prosessin |
InitiatingProcessIntegrityLevel |
string |
Tapahtuman aloittaneen prosessin eheystaso. Windows määrittää prosesseille eheystasot tiettyjen ominaisuuksien perusteella, esimerkiksi jos ne käynnistettiin Internet-latauksesta. Nämä eheystasot vaikuttavat resurssien käyttöoikeuksiin. |
InitiatingProcessTokenElevation |
string |
Tunnustyyppi, joka ilmaisee tapahtuman aloittaneessa prosessissa käytetyn Käyttäjän Käyttöoikeuksien hallinta (UAC) -oikeuksien korotuksen olemassaolon tai puuttumisen |
InitiatingProcessSHA1 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-1-hajautusarvo |
InitiatingProcessSHA256 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) SHA-256-hajautusarvo. Tätä kenttää ei yleensä täytetä – käytä SHA1-saraketta, kun se on käytettävissä. |
InitiatingProcessMD5 |
string |
Tapahtuman aloittaneen prosessin (kuvatiedoston) MD5-hajautusarvo |
InitiatingProcessFileName |
string |
Tapahtuman aloittaneen prosessitiedoston nimi. jos se ei ole käytettävissä, tapahtuman aloittaneen prosessin nimi saatetaan näyttää sen sijaan |
InitiatingProcessFileSize |
long |
Tapahtumasta vastuussa olevan prosessin suorittaneen tiedoston koko |
InitiatingProcessVersionInfoCompanyName |
string |
Yrityksen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductName |
string |
Tuotteen nimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoProductVersion |
string |
Tuoteversio tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto). |
InitiatingProcessVersionInfoInternalFileName |
string |
Sisäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoOriginalFileName |
string |
Alkuperäinen tiedostonimi tapahtumasta vastaavan prosessin versiotiedoista (kuvatiedosto) |
InitiatingProcessVersionInfoFileDescription |
string |
Tapahtumasta vastaavan prosessin (kuvatiedoston) versiotietojen kuvaus |
InitiatingProcessId |
long |
Tapahtuman aloittaneen prosessin prosessitunnus (PID) |
InitiatingProcessCommandLine |
string |
Komentorivi, jota käytetään tapahtuman aloittaneen prosessin suorittamiseen |
InitiatingProcessCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtuman käynnistänyt prosessi käynnistettiin |
InitiatingProcessFolderPath |
string |
Kansio, joka sisältää tapahtuman aloittaneen prosessin (kuvatiedoston). |
InitiatingProcessParentId |
long |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin prosessitunnus (PID) |
InitiatingProcessParentFileName |
string |
Tapahtumasta vastuussa olevan prosessin luoneen pääprosessin nimi tai koko polku |
InitiatingProcessParentCreationTime |
datetime |
Päivämäärä ja kellonaika, jolloin tapahtumasta vastaavan prosessin pääelementtiä on aloitettu |
ReportId |
long |
Toistuvaan laskuriin perustuva tapahtumatunnus. Jos haluat tunnistaa yksilölliset tapahtumat, tätä saraketta on käytettävä yhdessä DeviceName- ja Timestamp-sarakkeiden kanssa. |
AppGuardContainerId |
string |
Tunnus virtualisoidulle säilölle, jota Sovellussuoja käyttää selaimen toiminnan eristämiseen |
AdditionalFields |
string |
Lisätietoja tapahtumasta JSON-matriisimuodossa |
InitiatingProcessSessionId |
long |
Käynnistysprosessin Windows-istuntotunnus |
IsInitiatingProcessRemoteSession |
bool |
Ilmaisee, suoritettiinko aloitusprosessi RDP-etäistunnossa (tosi) vai paikallisesti (epätosi) |
InitiatingProcessRemoteSessionDeviceName |
string |
Sen etälaitteen nimi, josta aloitusprosessin RDP-istunto aloitettiin |
InitiatingProcessRemoteSessionIP |
string |
Sen etälaitteen IP-osoite, josta aloitusprosessin RDP-istunto aloitettiin |
Huomautus
DeviceLogonEvents-kokoelmaa ei tueta Windows 7- tai Windows Server 2008R2 -laitteissa, jotka on liitetty Defender for Endpointiin. Suosittelemme päivittämään uusimpaan käyttöjärjestelmään, jotta näkyvyys käyttäjän kirjautumistoimintaan olisi optimaalinen.
Aiheeseen liittyvät artikkelit
- Tarkennetun etsinnän yleiskatsaus
- Opi kyselyn kieli
- Jaettujen kyselyjen käyttäminen
- Etsi eri laitteista, sähköposteista, sovelluksista ja identiteeteistä
- Rakenteen ymmärtäminen
- Käytä kyselyn parhaita käytäntöjä
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.