IdentityLogonEvents
참고
Microsoft 365 Defender를 경험해 보고 싶으신가요? Microsoft 365 Defender 평가하고 파일럿하는 방법에 대해 자세히 알아보세요.
적용 대상:
- Microsoft 365 Defender
고급 헌팅 계획의 표에는 Id에 대해 Microsoft Defender에서 캡처한 사내 Active Directory를 통한 인증 활동 및 클라우드 앱용 Microsoft Defender에서 캡처한 Microsoft 온라인 서비스와 관련된 인증 활동에 대한 정보가 포함되어 IdentityLogonEvents 있습니다. 이 참조를 사용하여 이 표의 정보를 반환하는 쿼리를 생성합니다.
팁
테이블에서 지원하는 이벤트 유형(값)에 대한 자세한 내용은 클라우드용 Defender에서 사용할 수 있는 기본 제공 ActionType Schema 참조를 사용합니다.
참고
이 표에서는 클라우드 앱용 Defender에서 추적하는 Azure Active Directory(Azure AD) 로그온 활동, 특히 ActiveSync 및 기타 레거시 프로토콜을 사용하는 대화형 로그인 및 인증 활동에 대해 설명합니다. 이 표에서 사용할 수 없는 비대화형 로그온은 Azure AD 감사 로그에서 볼 수 있습니다. 클라우드 앱용 Defender를 앱에 연결하는 방법을 Microsoft 365
고급 헌팅 스키마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
이벤트가 기록된 날짜와 시간 |
ActionType |
string |
이벤트를 트리거한 활동의 유형입니다. 자세한 내용은 포털 내 Schema 참조를 참조합니다. |
Application |
string |
기록된 작업을 수행한 응용 프로그램 |
LogonType |
string |
로그온 세션의 유형, 특히 다음과 같습니다. - 대화형 - 사용자가 로컬 키보드 및 화면을 사용하여 컴퓨터와 물리적으로 상호 작용합니다. - RDP(원격 대화형) 로그널 - 사용자가 원격 데스크톱, 터미널 서비스, 원격 지원 또는 기타 RDP 클라이언트를 사용하여 원격으로 컴퓨터와 상호 작용합니다. - 네트워크 - PsExec을 사용하여 컴퓨터 액세스 또는 컴퓨터의 공유 리소스(예: 프린터 및 공유 폴더)에 액세스할 때 시작된 세션 - Batch - 예약된 작업으로 시작된 세션 - 서비스 - 서비스가 시작할 때 시작된 세션 |
Protocol |
string |
사용된 네트워크 프로토콜 |
FailureReason |
string |
기록된 작업이 실패한 이유를 설명하는 정보 |
AccountName |
string |
계정의 사용자 이름 |
AccountDomain |
string |
계정의 도메인 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
AccountSid |
string |
계정의 SID(보안 식별자)입니다. |
AccountObjectId |
string |
Azure AD에서 계정의 고유 식별자 |
AccountDisplayName |
string |
주소부에 표시된 계정 사용자의 이름입니다. 일반적으로 지정한 이름이나 이름, 중간 시작, 성 또는 성의 조합입니다. |
DeviceName |
string |
장치의 FQDN(FQDN) |
DeviceType |
string |
디바이스 유형 |
OSPlatform |
string |
컴퓨터에서 실행 중인 운영 체제의 플랫폼 이는 Windows 11, Windows 10 및 Windows 7과 같은 동일한 패밀리 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
IPAddress |
string |
끝점에 할당되어 관련 네트워크 통신 중에 사용되는 IP 주소 |
Port |
string |
통신 중에 사용되는 TCP 포트 |
DestinationDeviceName |
string |
기록된 작업을 처리한 서버 응용 프로그램을 실행하는 장치의 이름입니다. |
DestinationIPAddress |
string |
기록된 작업을 처리한 서버 응용 프로그램을 실행하는 장치의 IP 주소 |
DestinationPort |
string |
관련 네트워크 통신의 대상 포트 |
TargetDeviceName |
string |
기록된 작업이 적용된 장치의 FQDN(FQDN) |
TargetAccountDisplayName |
string |
기록된 작업이 적용된 계정의 표시 이름 |
Location |
string |
이벤트와 관련된 도시, 국가 또는 기타 지리적 위치 |
Isp |
string |
끝점 IP 주소와 연결된 ISP(인터넷 서비스 공급자) |
ReportId |
long |
이벤트의 고유 식별자 |
AdditionalFields |
string |
엔터티 또는 이벤트에 대한 추가 정보 |