IdentityLogonEvents
Gjelder for:
- Microsoft Defender XDR
Tabellen IdentityLogonEvents i det avanserte jaktskjemaet inneholder informasjon om godkjenningsaktiviteter som er gjort gjennom lokal Active Directory som er registrert av Microsoft Defender for identitet- og godkjenningsaktiviteter relatert til Microsoft onlinetjenester som er registrert av Microsoft Defender for Cloud Apps. Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra denne tabellen.
Tips
Hvis du vil ha detaljert informasjon om hendelsestypene (ActionTypeverdiene) som støttes av en tabell, kan du bruke den innebygde skjemareferansen som er tilgjengelig i Microsoft Defender XDR.
Obs!
Denne tabellen dekker Microsoft Entra påloggingsaktiviteter som spores av Defender for Cloud Apps, spesielt interaktive pålogginger og godkjenningsaktiviteter ved hjelp av ActiveSync og andre eldre protokoller. Ikke-interaktive pålogginger som ikke er tilgjengelige i denne tabellen, kan vises i Microsoft Entra overvåkingslogg. Mer informasjon om å koble Defender for Cloud Apps til Microsoft 365
Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett hendelsen ble registrert |
ActionType |
string |
Type aktivitet som utløste hendelsen. Se skjemareferansen i portalen for mer informasjon |
Application |
string |
Program som utførte den registrerte handlingen |
LogonType |
string |
Type påloggingsøkt. Hvis du vil ha mer informasjon, kan du se støttede påloggingstyper. |
Protocol |
string |
Nettverksprotokoll brukt |
FailureReason |
string |
Informasjon som forklarer hvorfor den registrerte handlingen mislyktes |
AccountName |
string |
Brukernavn for kontoen |
AccountDomain |
string |
Domene for kontoen |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
AccountSid |
string |
Sikkerhetsidentifikator (SID) for kontoen |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountDisplayName |
string |
Navnet på kontobrukeren som vises i adresseboken. Vanligvis en kombinasjon av et gitt eller fornavn, en mellom initial, og et etternavn eller etternavn. |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
DeviceType |
string |
Enhetstype basert på formål og funksjonalitet, for eksempel nettverksenhet, arbeidsstasjon, server, mobil, spillkonsoll eller skriver |
OSPlatform |
string |
Plattformen for operativsystemet som kjører på enheten. Dette indikerer bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7. |
IPAddress |
string |
IP-adresse tilordnet til endepunktet og brukt under relatert nettverkskommunikasjon |
Port |
int |
TCP-port som brukes under kommunikasjon |
DestinationDeviceName |
string |
Navnet på enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationIPAddress |
string |
IP-adressen til enheten som kjører serverprogrammet som behandlet den registrerte handlingen |
DestinationPort |
int |
Målport for relatert nettverkskommunikasjon |
TargetDeviceName |
string |
Fullstendig domenenavn (FQDN) for enheten som den registrerte handlingen ble brukt på |
TargetAccountDisplayName |
string |
Visningsnavn for kontoen som den registrerte handlingen ble brukt på |
Location |
string |
By, land/område eller annen geografisk plassering knyttet til hendelsen |
Isp |
string |
Internett-leverandør (ISP) som er knyttet til IP-adressen for endepunktet |
ReportId |
string |
Unik identifikator for hendelsen |
AdditionalFields |
dynamic |
Tilleggsinformasjon om enheten eller hendelsen |
Støttede påloggingstyper
Tabellen nedenfor viser de støttede verdiene for LogonType kolonnen.
| Påloggingstype | Overvåket aktivitet | Beskrivelse |
|---|---|---|
| Påloggingstype 2 | Validering av legitimasjon | Godkjenningshendelse for domenekonto ved hjelp av godkjenningsmetodene NTLM og Kerberos. |
| Påloggingstype 2 | Interaktiv pålogging | Brukeren fikk nettverkstilgang ved å skrive inn brukernavn og passord (godkjenningsmetoden Kerberos eller NTLM). |
| Påloggingstype 2 | Interaktiv pålogging med sertifikat | Brukeren fikk nettverkstilgang ved hjelp av et sertifikat. |
| Påloggingstype 2 | VPN-tilkobling | Bruker tilkoblet av VPN – godkjenning ved hjelp av RADIUS-protokoll. |
| Påloggingstype 3 | Ressurstilgang | Brukeren fikk tilgang til en ressurs ved hjelp av Kerberos- eller NTLM-godkjenning. |
| Påloggingstype 3 | Delegert ressurstilgang | Bruker åpnet en ressurs ved hjelp av Kerberos-delegering. |
| Påloggingstype 8 | LDAP-klartekst | Bruker godkjent ved hjelp av LDAP med et passord for klartekst (enkel godkjenning). |
| Påloggingstype 10 | Eksternt skrivebord | Brukeren utførte en RDP-økt på en ekstern datamaskin ved hjelp av Kerberos-godkjenning. |
| --- | Mislykket pålogging | Godkjenningsforsøk på domenekonto mislyktes (via NTLM og Kerberos) på grunn av følgende: kontoen ble deaktivert/utløpt/låst/brukt et ikke-klarert sertifikat eller på grunn av ugyldig påloggingstid/gammelt passord/utløpt passord/feil passord. |
| --- | Mislykket pålogging med sertifikat | Godkjenningsforsøk på domenekonto mislyktes (via Kerberos) på grunn av følgende: kontoen ble deaktivert/utløpt/låst/brukt et ikke-klarert sertifikat eller på grunn av ugyldig påloggingstid/gammelt passord/utløpt passord/feil passord. |
Beslektede emner
- Oversikt over avansert jakt
- Lær spørringsspråket
- Bruke delte spørringer
- Jakt på tvers av enheter, e-postmeldinger, apper og identiteter
- Forstå skjemaet
- Bruk anbefalte fremgangsmåter for spørring
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.