DeviceLogonEvents
Gjelder for:
- Microsoft Defender XDR
- Microsoft Defender for endepunkt
Tabellen DeviceLogonEvents i det avanserte jaktskjemaet inneholder informasjon om brukerpålogginger og andre godkjenningshendelser på enheter. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
DeviceId |
string |
Unik identifikator for enheten i tjenesten |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
ActionType |
string |
Aktivitetstype som utløste hendelsen |
LogonType |
string |
Type påloggingsøkt, spesielt: - Interaktiv – brukeren samhandler fysisk med enheten ved hjelp av det lokale tastaturet og skjermen - Ekstern interaktiv pålogging (RDP) – Brukeren samhandler med enheten eksternt ved hjelp av Eksternt skrivebord, Terminal Services, Fjernhjelp eller andre RDP-klienter - Nettverk – Økt startet når enheten åpnes ved hjelp av PsExec, eller når delte ressurser på enheten, for eksempel skrivere og delte mapper, åpnes - Gruppe – økt initiert av planlagte aktiviteter - Tjeneste – økt initiert av tjenester når de starter |
AccountDomain |
string |
Domene for kontoen |
AccountName |
string |
Brukernavn for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
Protocol |
string |
Protokollen som brukes under kommunikasjonen |
FailureReason |
string |
Informasjon som forklarer hvorfor den registrerte handlingen mislyktes |
IsLocalAdmin |
boolean |
Boolsk indikator for om brukeren er en lokal administrator på enheten |
LogonId |
long |
Identifikator for en påloggingsøkt. Denne identifikatoren er unik på samme enhet bare mellom omstarter. |
RemoteDeviceName |
string |
Navnet på enheten som utførte en ekstern operasjon på den berørte enheten. Avhengig av hendelsen som rapporteres, kan dette navnet være et fullstendig domenenavn (FQDN), et NetBIOS-navn eller et vertsnavn uten domeneinformasjon. |
RemoteIP |
string |
IP-adressen til enheten som påloggingsforsøket ble utført fra |
RemoteIPType |
string |
Type IP-adresse, for eksempel Offentlig, Privat, Reservert, Tilbakekobling, Teredo, FourToSixMapping og Kringkasting |
RemotePort |
int |
TCP-port på den eksterne enheten som ble koblet til |
InitiatingProcessAccountDomain |
string |
Domene for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountName |
string |
Brukernavnet til kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountUpn |
string |
Brukerhovednavn (UPN) for kontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-ID for brukerkontoen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivå for prosessen som startet hendelsen. Windows tilordner integritetsnivåer til prosesser basert på bestemte egenskaper, for eksempel om de ble startet fra en nedlasting på Internett. Disse integritetsnivåene påvirker tillatelser til ressurser. |
InitiatingProcessTokenElevation |
string |
Tokentype som angir tilstedeværelsen eller fraværet av rettigheter for bruker Access Control (UAC) som brukes på prosessen som startet hendelsen |
InitiatingProcessSHA1 |
string |
SHA-1-hash for prosessen (bildefil) som startet hendelsen |
InitiatingProcessSHA256 |
string |
SHA-256-hash for prosessen (bildefil) som startet hendelsen. Dette feltet er vanligvis ikke fylt ut . Bruk SHA1-kolonnen når det er tilgjengelig. |
InitiatingProcessMD5 |
string |
MD5-hash for prosessen (bildefil) som startet hendelsen |
InitiatingProcessFileName |
string |
Navnet på prosessfilen som startet hendelsen. hvis det ikke er tilgjengelig, kan navnet på prosessen som startet hendelsen, vises i stedet |
InitiatingProcessFileSize |
long |
Størrelsen på filen som kjørte prosessen som var ansvarlig for hendelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Firmanavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversjon fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Opprinnelig filnavn fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivelse fra versjonsinformasjonen for prosessen (bildefil) som er ansvarlig for hendelsen |
InitiatingProcessId |
long |
Prosess-ID (PID) for prosessen som startet hendelsen |
InitiatingProcessCommandLine |
string |
Kommandolinje som brukes til å kjøre prosessen som startet hendelsen |
InitiatingProcessCreationTime |
datetime |
Dato og klokkeslett da prosessen som startet hendelsen, ble startet |
InitiatingProcessFolderPath |
string |
Mappe som inneholder prosessen (bildefilen) som startet hendelsen |
InitiatingProcessParentId |
long |
Prosess-ID (PID) for den overordnede prosessen som utløste prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentFileName |
string |
Navn eller fullstendig bane for den overordnede prosessen som startet prosessen som var ansvarlig for hendelsen |
InitiatingProcessParentCreationTime |
datetime |
Dato og klokkeslett da den overordnede for prosessen som var ansvarlig for hendelsen, ble startet |
ReportId |
long |
Hendelsesidentifikator basert på en gjentatt teller. Denne kolonnen må brukes sammen med kolonnene DeviceName og Timestamp for å identifisere unike hendelser. |
AppGuardContainerId |
string |
Identifikator for den virtualiserte beholderen som brukes av Application Guard til å isolere nettleseraktivitet |
AdditionalFields |
string |
Tilleggsinformasjon om hendelsen i JSON-matriseformat |
InitiatingProcessSessionId |
long |
Windows-økt-ID for startprosessen |
IsInitiatingProcessRemoteSession |
bool |
Angir om startprosessen ble kjørt under en RDP-økt (remote desktop protocol) (sann) eller lokalt (usann) |
InitiatingProcessRemoteSessionDeviceName |
string |
Enhetsnavnet til den eksterne enheten der startprosessens RDP-økt ble startet |
InitiatingProcessRemoteSessionIP |
string |
IP-adressen til den eksterne enheten der startprosessens RDP-økt ble startet |
Obs!
Samlingen av DeviceLogonEvents støttes ikke på Windows 7- eller Windows Server 2008R2-enheter som er koblet til Defender for Endpoint. Vi anbefaler at du oppgraderer til et nyere operativsystem for å få optimal innsyn i påloggingsaktiviteten for brukeren.
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.