IdentityLogonEvents

适用于:

  • Microsoft Defender XDR

IdentityLogonEvents 高级搜寻架构中的表包含有关通过Microsoft Defender for Identity捕获的本地 Active Directory进行的身份验证活动的信息,以及与 Microsoft 联机服务 捕获的身份验证活动相关的身份验证活动的信息Microsoft Defender for Cloud Apps。 使用此参考来构建从此表返回信息的查询。

提示

有关表支持的事件类型 (ActionType 值) 的详细信息,请使用 Microsoft Defender XDR 中提供的内置架构参考。

注意

此表介绍了 Defender for Cloud Apps 跟踪的Microsoft Entra登录活动,特别是使用 ActiveSync 和其他旧版协议的交互式登录和身份验证活动。 可以在Microsoft Entra审核日志中查看此表中不可用的非交互式登录。 详细了解如何将 Defender for Cloud Apps 连接到 Microsoft 365

有关高级搜寻架构中其他表的信息,请参阅高级搜寻参考

列名称 数据类型 说明
Timestamp datetime 记录事件的日期和时间
ActionType string 触发事件的活动类型。 有关详细信息,请参阅门户内架构参考
Application string 执行录制操作的应用程序
LogonType string 登录会话的类型。 有关详细信息,请参阅 支持的登录类型
Protocol string 使用的网络协议
FailureReason string 说明录制的操作失败的原因的信息
AccountName string 帐户的用户名
AccountDomain string 帐户的域
AccountUpn string 用户主体名称 (帐户的 UPN)
AccountSid string 帐户的安全标识符 (SID)
AccountObjectId string Microsoft Entra ID 中帐户的唯一标识符
AccountDisplayName string 通讯簿中显示的帐户用户的名称。 通常,是给定或名字、中间首字母和姓氏的组合。
DeviceName string 设备的 FQDN) (完全限定的域名
DeviceType string 基于用途和功能的设备类型,例如网络设备、工作站、服务器、移动设备、游戏主机或打印机
OSPlatform string 在设备上运行的操作系统的平台。 这表示特定的操作系统,包括同一系列中的变体,例如Windows 11、Windows 10和 Windows 7。
IPAddress string 分配给终结点并在相关网络通信期间使用的 IP 地址
Port int 通信期间使用的 TCP 端口
DestinationDeviceName string 运行处理记录操作的服务器应用程序的设备的名称
DestinationIPAddress string 运行处理记录操作的服务器应用程序的设备的 IP 地址
DestinationPort int 相关网络通信的目标端口
TargetDeviceName string (FQDN) 应用的设备的完全限定域名
TargetAccountDisplayName string 记录的操作应用于的帐户的显示名称
Location string 与事件关联的城市、国家/地区或其他地理位置
Isp string 与终结点 IP 地址关联的 Internet 服务提供商 (ISP)
ReportId string 事件的唯一标识符
AdditionalFields dynamic 有关实体或事件的其他信息

支持的登录类型

下表列出了列支持的值 LogonType

登录类型 受监视的活动 说明
登录类型 2 凭据验证 使用 NTLM 和 Kerberos 身份验证方法的域帐户身份验证事件。
登录类型 2 交互式登录 用户通过输入用户名和密码 (身份验证方法 Kerberos 或 NTLM) 获得网络访问权限。
登录类型 2 使用证书进行交互式登录 用户使用证书获得了网络访问权限。
登录类型 2 VPN 连接 通过 VPN 连接的用户 - 使用 RADIUS 协议进行身份验证。
登录类型 3 资源访问 用户使用 Kerberos 或 NTLM 身份验证访问了资源。
登录类型 3 委派的资源访问 用户使用 Kerberos 委派访问了资源。
登录类型 8 LDAP Cleartext 用户使用 LDAP 和明文密码 (简单身份验证) 进行身份验证。
登录类型 10 远程桌面 用户使用 Kerberos 身份验证执行了与远程计算机的 RDP 会话。
--- 登录失败 由于以下原因,通过 NTLM 和 Kerber) os (域帐户身份验证尝试失败:帐户已禁用/已过期/锁定/使用了不受信任的证书,或者登录时间无效/密码旧/密码过期/密码错误。
--- 使用证书登录失败 域帐户身份验证尝试失败, (Kerberos) ,原因如下:帐户已禁用/已过期/锁定/使用了不受信任的证书,或者由于登录时间无效/旧密码/密码过期/密码错误。

提示

想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区