Delen via


IdentityLogonEvents

Van toepassing op:

  • Microsoft Defender XDR

De IdentityLogonEvents tabel in het geavanceerde opsporingsschema bevat informatie over verificatieactiviteiten die via uw on-premises Active Directory zijn vastgelegd door Microsoft Defender for Identity en verificatieactiviteiten met betrekking tot Microsoft onlineservices vastgelegd door Microsoft Defender for Cloud Apps. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Tip

Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.

Opmerking

In deze tabel worden Microsoft Entra aanmeldingsactiviteiten beschreven die worden bijgehouden door Defender for Cloud Apps, met name interactieve aanmeldingen en verificatieactiviteiten met behulp van ActiveSync en andere verouderde protocollen. Niet-interactieve aanmeldingen die niet beschikbaar zijn in deze tabel, kunnen worden weergegeven in het Microsoft Entra auditlogboek. Meer informatie over het verbinden van Defender voor Cloud-apps met Microsoft 365

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam Gegevenstype: Beschrijving
Timestamp datetime Datum en tijd waarop de gebeurtenis is vastgelegd
ActionType string Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie
Application string Toepassing die de vastgelegde actie heeft uitgevoerd
LogonType string Type aanmeldingssessie. Zie Ondersteunde aanmeldingstypen voor meer informatie.
Protocol string Gebruikte netwerkprotocol
FailureReason string Informatie die uitlegt waarom de vastgelegde actie is mislukt
AccountName string Gebruikersnaam van het account
AccountDomain string Domein van het account
AccountUpn string UPN (User Principal Name) van het account
AccountSid string Beveiligings-id (SID) van het account
AccountObjectId string Unieke id voor het account in Microsoft Entra ID
AccountDisplayName string De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam.
DeviceName string Fully Qualified Domain Name (FQDN) van het apparaat
DeviceType string Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer
OSPlatform string Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. Dit geeft specifieke besturingssystemen aan, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7.
IPAddress string IP-adres dat is toegewezen aan het eindpunt en wordt gebruikt tijdens gerelateerde netwerkcommunicatie
Port int TCP-poort die wordt gebruikt tijdens communicatie
DestinationDeviceName string Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationIPAddress string IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationPort int Doelpoort van gerelateerde netwerkcommunicatie
TargetDeviceName string Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast
TargetAccountDisplayName string Weergavenaam van het account waarop de vastgelegde actie is toegepast
Location string Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld
Isp string Internetprovider (ISP) die is gekoppeld aan het IP-adres van het eindpunt
ReportId string Unieke id voor de gebeurtenis
AdditionalFields dynamic Aanvullende informatie over de entiteit of gebeurtenis

Ondersteunde aanmeldingstypen

De volgende tabel bevat de ondersteunde waarden voor de LogonType kolom.

Aanmeldingstype Bewaakte activiteit Omschrijving
Aanmeldingstype 2 Validatie van referenties Verificatiegebeurtenis voor domeinaccounts met behulp van de verificatiemethoden NTLM en Kerberos.
Aanmeldingstype 2 Interactieve aanmelding De gebruiker heeft netwerktoegang verkregen door een gebruikersnaam en wachtwoord in te voeren (verificatiemethode Kerberos of NTLM).
Aanmeldingstype 2 Interactieve aanmelding met certificaat De gebruiker heeft netwerktoegang verkregen met behulp van een certificaat.
Aanmeldingstype 2 VPN-verbinding Gebruiker verbonden via VPN: verificatie met behulp van HET RADIUS-protocol.
Aanmeldingstype 3 Resourcetoegang De gebruiker heeft toegang tot een resource met kerberos- of NTLM-verificatie.
Aanmeldingstype 3 Gedelegeerde resourcetoegang Gebruiker heeft toegang tot een resource met behulp van Kerberos-delegering.
Aanmeldingstype 8 LDAP Cleartext Gebruiker geverifieerd met LDAP met een wachtwoord zonder tekst (eenvoudige verificatie).
Aanmeldingstype 10 Extern bureaublad Gebruiker heeft een RDP-sessie uitgevoerd op een externe computer met behulp van Kerberos-verificatie.
--- Aanmelden mislukt Verificatiepoging voor domeinaccount is mislukt (via NTLM en Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/een niet-vertrouwd certificaat gebruikt of vanwege ongeldige aanmeldingstijden/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord.
--- Aanmelden met certificaat mislukt Verificatiepoging voor domeinaccount is mislukt (via Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/gebruikt een niet-vertrouwd certificaat of vanwege ongeldige aanmeldingsuren/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord.

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.