DeviceLogonEvents
Van toepassing op:
- Microsoft Defender XDR
- Microsoft Defender voor Eindpunt
De DeviceLogonEvents tabel in het geavanceerde opsporingsschema bevat informatie over aanmeldingen van gebruikers en andere verificatie-gebeurtenissen op apparaten. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.
Tip
Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.
Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.
| Kolomnaam | Gegevenstype: | Beschrijving |
|---|---|---|
Timestamp |
datetime |
Datum en tijd waarop de gebeurtenis is vastgelegd |
DeviceId |
string |
Unieke id voor het apparaat in de service |
DeviceName |
string |
Fully Qualified Domain Name (FQDN) van het apparaat |
ActionType |
string |
Type activiteit dat de gebeurtenis heeft geactiveerd |
LogonType |
string |
Type aanmeldingssessie, met name: - Interactief : gebruiker communiceert fysiek met het apparaat met behulp van het lokale toetsenbord en scherm - Remote Interactive (RDP) aanmeldingen : gebruiker communiceert op afstand met het apparaat met behulp van Extern bureaublad, Terminal Services, Hulp op afstand of andere RDP-clients - Netwerk : sessie gestart wanneer het apparaat wordt geopend met Behulp van PsExec of wanneer gedeelde resources op het apparaat, zoals printers en gedeelde mappen, worden geopend - Batch - Sessie geïnitieerd door geplande taken - Service - Sessie geïnitieerd door services wanneer deze worden gestart |
AccountDomain |
string |
Domein van het account |
AccountName |
string |
Gebruikersnaam van het account |
AccountSid |
string |
Beveiligings-id (SID) van het account |
Protocol |
string |
Protocol dat tijdens de communicatie wordt gebruikt |
FailureReason |
string |
Informatie die uitlegt waarom de vastgelegde actie is mislukt |
IsLocalAdmin |
boolean |
Booleaanse indicator of de gebruiker een lokale beheerder op het apparaat is |
LogonId |
long |
Id voor een aanmeldingssessie. Deze id is alleen uniek op hetzelfde apparaat tussen het opnieuw opstarten. |
RemoteDeviceName |
string |
Naam van het apparaat dat een externe bewerking heeft uitgevoerd op het betreffende apparaat. Afhankelijk van de gebeurtenis die wordt gerapporteerd, kan deze naam een FQDN (Fully Qualified Domain Name), een NetBIOS-naam of een hostnaam zonder domeingegevens zijn. |
RemoteIP |
string |
IP-adres van het apparaat van waaruit de aanmeldingspoging is uitgevoerd |
RemoteIPType |
string |
Type IP-adres, bijvoorbeeld Openbaar, Privé, Reserved, Loopback, Teredo, FourToSixMapping en Broadcast |
RemotePort |
int |
TCP-poort op het externe apparaat waarmee verbinding werd gemaakt |
InitiatingProcessAccountDomain |
string |
Domein van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountName |
string |
Gebruikersnaam van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountSid |
string |
Beveiligings-id (SID) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountUpn |
string |
UPN (User Principal Name) van het account dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra object-id van het gebruikersaccount dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessIntegrityLevel |
string |
Integriteitsniveau van het proces dat de gebeurtenis heeft geïnitieerd. Windows wijst integriteitsniveaus toe aan processen op basis van bepaalde kenmerken, bijvoorbeeld als ze zijn gestart vanuit een internetdownload. Deze integriteitsniveaus zijn van invloed op machtigingen voor resources. |
InitiatingProcessTokenElevation |
string |
Tokentype dat de aanwezigheid of afwezigheid aangeeft van uitbreiding van gebruikersrechten Access Control (UAC) die is toegepast op het proces dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessSHA1 |
string |
SHA-1-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessSHA256 |
string |
SHA-256-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd. Dit veld wordt meestal niet ingevuld. Gebruik de kolom SHA1 indien beschikbaar. |
InitiatingProcessMD5 |
string |
MD5-hash van het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessFileName |
string |
Naam van het procesbestand dat de gebeurtenis heeft geïnitieerd; indien niet beschikbaar, kan de naam van het proces dat de gebeurtenis heeft geïnitieerd, in plaats daarvan worden weergegeven |
InitiatingProcessFileSize |
long |
Grootte van het bestand dat het proces heeft uitgevoerd dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoCompanyName |
string |
Bedrijfsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductName |
string |
Productnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoProductVersion |
string |
Productversie van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoInternalFileName |
string |
Interne bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoOriginalFileName |
string |
Oorspronkelijke bestandsnaam uit de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessVersionInfoFileDescription |
string |
Beschrijving van de versiegegevens van het proces (afbeeldingsbestand) dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessId |
long |
Proces-id (PID) van het proces dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCommandLine |
string |
Opdrachtregel die wordt gebruikt om het proces uit te voeren dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessCreationTime |
datetime |
Datum en tijd waarop het proces dat de gebeurtenis heeft geïnitieerd, is gestart |
InitiatingProcessFolderPath |
string |
Map met het proces (afbeeldingsbestand) dat de gebeurtenis heeft geïnitieerd |
InitiatingProcessParentId |
long |
Proces-id (PID) van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentFileName |
string |
Naam of volledig pad van het bovenliggende proces dat het proces heeft voortgebracht dat verantwoordelijk is voor de gebeurtenis |
InitiatingProcessParentCreationTime |
datetime |
Datum en tijd waarop de bovenliggende van het proces dat verantwoordelijk is voor de gebeurtenis is gestart |
ReportId |
long |
Gebeurtenis-id op basis van een herhalende teller. Om unieke gebeurtenissen te identificeren, moet deze kolom worden gebruikt in combinatie met de kolommen DeviceName en Timestamp. |
AppGuardContainerId |
string |
Id voor de gevirtualiseerde container die door Application Guard wordt gebruikt om browseractiviteit te isoleren |
AdditionalFields |
string |
Aanvullende informatie over de gebeurtenis in JSON-matrixindeling |
InitiatingProcessSessionId |
long |
Windows-sessie-id van het initiërende proces |
IsInitiatingProcessRemoteSession |
bool |
Geeft aan of het initiërende proces is uitgevoerd onder een RDP-sessie (Remote Desktop Protocol) (true) of lokaal (onwaar) |
InitiatingProcessRemoteSessionDeviceName |
string |
Apparaatnaam van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
InitiatingProcessRemoteSessionIP |
string |
IP-adres van het externe apparaat waarop de RDP-sessie van het initiërende proces is gestart |
Opmerking
De verzameling DeviceLogonEvents wordt niet ondersteund op Windows 7- of Windows Server 2008R2-apparaten die zijn toegevoegd aan Defender voor Eindpunt. U wordt aangeraden een upgrade uit te voeren naar een recenter besturingssysteem voor optimaal inzicht in de aanmeldingsactiviteit van gebruikers.
Verwante onderwerpen
- Overzicht van geavanceerd opsporen
- De querytaal leren
- Gedeelde query's gebruiken
- Opsporen op apparaten en in e-mailberichten, apps en identiteiten
- Meer informatie over het schema
- Aanbevolen procedures voor query's toepassen
Tip
Wil je meer weten? Neem contact op met de Microsoft Beveiliging-community in onze Tech Community: Microsoft Defender XDR Tech Community.