IdentityLogonEvents
适用于:
- Microsoft Defender XDR
IdentityLogonEvents
高级搜寻架构中的表包含有关通过Microsoft Defender for Identity捕获的本地 Active Directory进行的身份验证活动的信息,以及与 Microsoft 联机服务 捕获的身份验证活动相关的身份验证活动的信息Microsoft Defender for Cloud Apps。 使用此参考来构建从此表返回信息的查询。
提示
有关表支持的事件类型 (ActionType
值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。
注意
此表介绍了 Defender for Cloud Apps 跟踪的Microsoft Entra登录活动,特别是使用 ActiveSync 和其他旧版协议的交互式登录和身份验证活动。 可以在Microsoft Entra审核日志中查看此表中不可用的非交互式登录。 详细了解如何将 Defender for Cloud Apps 连接到 Microsoft 365
有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考。
列名称 | 数据类型 | 说明 |
---|---|---|
Timestamp |
datetime |
记录事件的日期和时间 |
ActionType |
string |
触发事件的活动类型。 有关详细信息,请参阅门户内架构参考 |
Application |
string |
执行录制操作的应用程序 |
LogonType |
string |
登录会话的类型。 有关详细信息,请参阅 支持的登录类型。 |
Protocol |
string |
使用的网络协议 |
FailureReason |
string |
说明录制的操作失败的原因的信息 |
AccountName |
string |
帐户的用户名 |
AccountDomain |
string |
帐户的域 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
AccountSid |
string |
帐户的安全标识符 (SID) |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountDisplayName |
string |
通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
DeviceType |
string |
基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机 |
OSPlatform |
string |
在设备上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如Windows 11、Windows 10和 Windows 7。 |
IPAddress |
string |
分配给终结点并在相关网络通信期间使用的 IP 地址 |
Port |
int |
通信期间使用的 TCP 端口 |
DestinationDeviceName |
string |
运行处理记录操作的服务器应用程序的设备的名称 |
DestinationIPAddress |
string |
运行处理记录操作的服务器应用程序的设备的 IP 地址 |
DestinationPort |
int |
相关网络通信的目标端口 |
TargetDeviceName |
string |
(FQDN) 应用的设备的完全限定域名 |
TargetAccountDisplayName |
string |
记录的操作应用于的帐户的显示名称 |
Location |
string |
与事件关联的城市、国家/地区或其他地理位置 |
Isp |
string |
与终结点 IP 地址关联的 Internet 服务提供商 (ISP) |
ReportId |
string |
事件的唯一标识符 |
AdditionalFields |
dynamic |
有关实体或事件的其他信息 |
支持的登录类型
下表列出了列支持的值 LogonType
。
登录类型 | 受监视的活动 | 说明 |
---|---|---|
登录类型 2 | 凭据验证 | 使用 NTLM 和 Kerberos 身份验证方法的域帐户身份验证事件。 |
登录类型 2 | 交互式登录 | 用户通过输入用户名和密码 (身份验证方法 Kerberos 或 NTLM) 获得网络访问权限。 |
登录类型 2 | 使用证书进行交互式登录 | 用户使用证书获得了网络访问权限。 |
登录类型 2 | VPN 连接 | 通过 VPN 连接的用户 - 使用 RADIUS 协议进行身份验证。 |
登录类型 3 | 资源访问 | 用户使用 Kerberos 或 NTLM 身份验证访问了资源。 |
登录类型 3 | 委派的资源访问 | 用户使用 Kerberos 委派访问了资源。 |
登录类型 8 | LDAP Cleartext | 用户使用 LDAP 和明文密码 (简单身份验证) 进行身份验证。 |
登录类型 10 | 远程桌面 | 用户使用 Kerberos 身份验证执行了与远程计算机的 RDP 会话。 |
--- | 登录失败 | 由于以下原因,通过 NTLM 和 Kerber) os (域帐户身份验证尝试失败:帐户已禁用/已过期/锁定/使用了不受信任的证书,或者登录时间无效/密码旧/密码过期/密码错误。 |
--- | 使用证书登录失败 | 域帐户身份验证尝试失败, (Kerberos) ,原因如下:帐户已禁用/已过期/锁定/使用了不受信任的证书,或者由于登录时间无效/旧密码/密码过期/密码错误。 |
相关主题
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。