IdentityLogonEvents
Si applica a:
- Microsoft Defender XDR
La IdentityLogonEvents tabella nello schema di ricerca avanzata contiene informazioni sulle attività di autenticazione eseguite tramite l'Active Directory locale acquisite da Microsoft Defender per identità e attività di autenticazione correlate a Microsoft Servizi online acquisite da Microsoft Defender for Cloud Apps. Usare questo riferimento per creare query che restituiscono informazioni dalla tabella.
Consiglio
Per informazioni dettagliate sui tipi di eventi (ActionTypevalori) supportati da una tabella, usare il riferimento allo schema predefinito disponibile in Microsoft Defender XDR.
Nota
Questa tabella illustra le attività di accesso Microsoft Entra monitorate da Defender per app cloud, in particolare gli accessi interattivi e le attività di autenticazione tramite ActiveSync e altri protocolli legacy. Gli accessi non interattivi non disponibili in questa tabella possono essere visualizzati nel log di controllo Microsoft Entra. Altre informazioni sulla connessione di Defender for Cloud Apps a Microsoft 365
Per informazioni su altre tabelle nello schema per Ricerca avanzata, vedere il riferimento sulla Ricerca avanzata.
| Nome colonna | Tipo di dati | Descrizione |
|---|---|---|
Timestamp |
datetime |
Data e ora di registrazione dell'evento |
ActionType |
string |
Tipo di attività che ha attivato l'evento. Per informazioni dettagliate, vedere le informazioni di riferimento sullo schema nel portale |
Application |
string |
Applicazione che ha eseguito l'azione registrata |
LogonType |
string |
Tipo di sessione di accesso. Per altre informazioni, vedere Tipi di accesso supportati. |
Protocol |
string |
Protocollo di rete usato |
FailureReason |
string |
Informazioni che spiegano perché l'azione registrata non è riuscita |
AccountName |
string |
Nome utente dell'account |
AccountDomain |
string |
Dominio dell'account |
AccountUpn |
string |
Nome dell'entità utente (UPN) dell'account |
AccountSid |
string |
Identificatore di sicurezza (SID) dell'account |
AccountObjectId |
string |
Identificatore univoco per l'account in Microsoft Entra ID |
AccountDisplayName |
string |
Nome dell'utente dell'account visualizzato nella rubrica. In genere una combinazione di un nome specificato o di un nome, un iniziale centrale e un cognome o un cognome. |
DeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo |
DeviceType |
string |
Tipo di dispositivo in base allo scopo e alla funzionalità, ad esempio dispositivo di rete, workstation, server, dispositivi mobili, console di gioco o stampante |
OSPlatform |
string |
Piattaforma del sistema operativo in esecuzione nel dispositivo. Indica sistemi operativi specifici, incluse varianti all'interno della stessa famiglia, ad esempio Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Indirizzo IP assegnato all'endpoint e usato durante le comunicazioni di rete correlate |
Port |
int |
Porta TCP usata durante la comunicazione |
DestinationDeviceName |
string |
Nome del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationIPAddress |
string |
Indirizzo IP del dispositivo che esegue l'applicazione server che ha elaborato l'azione registrata |
DestinationPort |
int |
Porta di destinazione delle comunicazioni di rete correlate |
TargetDeviceName |
string |
Nome di dominio completo (FQDN) del dispositivo a cui è stata applicata l'azione registrata |
TargetAccountDisplayName |
string |
Nome visualizzato dell'account a cui è stata applicata l'azione registrata |
Location |
string |
Città, paese/area geografica o altra posizione geografica associata all'evento |
Isp |
string |
Provider di servizi Internet (ISP) associato all'indirizzo IP dell'endpoint |
ReportId |
string |
Identificatore univoco per l'evento |
AdditionalFields |
dynamic |
Informazioni aggiuntive sull'entità o sull'evento |
Tipi di accesso supportati
Nella tabella seguente sono elencati i valori supportati per la LogonType colonna.
| Tipo di accesso | Attività monitorata | Descrizione |
|---|---|---|
| Tipo di accesso 2 | Convalida delle credenziali | Evento di autenticazione dell'account di dominio con i metodi di autenticazione NTLM e Kerberos. |
| Tipo di accesso 2 | Accesso interattivo | L'utente ha ottenuto l'accesso alla rete immettendo un nome utente e una password (metodo di autenticazione Kerberos o NTLM). |
| Tipo di accesso 2 | Accesso interattivo con certificato | L'utente ha ottenuto l'accesso alla rete usando un certificato. |
| Tipo di accesso 2 | Connexion VPN | Utente connesso tramite VPN : autenticazione tramite protocollo RADIUS. |
| Tipo di accesso 3 | Accesso alle risorse | L'utente ha eseguito l'accesso a una risorsa usando l'autenticazione Kerberos o NTLM. |
| Tipo di accesso 3 | Accesso delegato alle risorse | L'utente ha eseguito l'accesso a una risorsa usando la delega Kerberos. |
| Tipo di accesso 8 | Testo non crittografato LDAP | Utente autenticato tramite LDAP con una password non crittografata (autenticazione semplice). |
| Tipo di accesso 10 | Desktop remoto | L'utente ha eseguito una sessione RDP in un computer remoto usando l'autenticazione Kerberos. |
| --- | Accesso non riuscito | Tentativo di autenticazione con account di dominio non riuscito (tramite NTLM e Kerberos) a causa dei seguenti problemi: l'account è stato disabilitato/scaduto/bloccato/ha usato un certificato non attendibile o a causa di ore di accesso non valide/password obsoleta/password scaduta/password errata. |
| --- | Accesso non riuscito con certificato | Tentativo di autenticazione con account di dominio non riuscito (tramite Kerberos) a causa del seguente: l'account è stato disabilitato/scaduto/bloccato/ha usato un certificato non attendibile o a causa di ore di accesso non valide/password precedente/password scaduta/password errata. |
Argomenti correlati
- Panoramica della rilevazione avanzata
- Capire il linguaggio delle query
- Utilizzare le query condivise
- Cercare tra dispositivi, posta elettronica, app e identità
- Comprendere lo schema
- Applicare le procedure consigliate per le query
Consiglio
Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender XDR Tech Community.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per