IdentityLogonEvents

Van toepassing op:

• Microsoft Defender XDR

De IdentityLogonEvents tabel in het geavanceerde opsporingsschema bevat informatie over verificatieactiviteiten die via uw on-premises Active Directory zijn vastgelegd door Microsoft Defender for Identity en verificatieactiviteiten met betrekking tot Microsoft onlineservices vastgelegd door Microsoft Defender for Cloud Apps. Gebruik deze verwijzing om query's te maken die informatie uit deze tabel retourneren.

Tip

Voor gedetailleerde informatie over de gebeurtenistypen (ActionTypewaarden) die door een tabel worden ondersteund, gebruikt u de ingebouwde schemaverwijzing die beschikbaar is in Microsoft Defender XDR.

Opmerking

In deze tabel worden Microsoft Entra aanmeldingsactiviteiten beschreven die worden bijgehouden door Defender for Cloud Apps, met name interactieve aanmeldingen en verificatieactiviteiten met behulp van ActiveSync en andere verouderde protocollen. Niet-interactieve aanmeldingen die niet beschikbaar zijn in deze tabel, kunnen worden weergegeven in het Microsoft Entra auditlogboek. Meer informatie over het verbinden van Defender voor Cloud-apps met Microsoft 365

Zie de geavanceerde opsporingsreferentie voor meer informatie over andere tabellen in het geavanceerde opsporingsschema.

Kolomnaam	Gegevenstype:	Beschrijving
Timestamp	datetime	Datum en tijd waarop de gebeurtenis is vastgelegd
ActionType	string	Type activiteit dat de gebeurtenis heeft geactiveerd. Zie de naslaginformatie over het schema in de portal voor meer informatie
Application	string	Toepassing die de vastgelegde actie heeft uitgevoerd
LogonType	string	Type aanmeldingssessie. Zie Ondersteunde aanmeldingstypen voor meer informatie.
Protocol	string	Gebruikte netwerkprotocol
FailureReason	string	Informatie die uitlegt waarom de vastgelegde actie is mislukt
AccountName	string	Gebruikersnaam van het account
AccountDomain	string	Domein van het account
AccountUpn	string	UPN (User Principal Name) van het account
AccountSid	string	Beveiligings-id (SID) van het account
AccountObjectId	string	Unieke id voor het account in Microsoft Entra ID
AccountDisplayName	string	De naam van de accountgebruiker die wordt weergegeven in het adresboek. Meestal een combinatie van een opgegeven of voornaam, een middelste initial en een achternaam of achternaam.
DeviceName	string	Fully Qualified Domain Name (FQDN) van het apparaat
DeviceType	string	Type apparaat op basis van doel en functionaliteit, zoals netwerkapparaat, werkstation, server, mobiel, gameconsole of printer
OSPlatform	string	Platform van het besturingssysteem dat op het apparaat wordt uitgevoerd. Dit geeft specifieke besturingssystemen aan, inclusief variaties binnen dezelfde familie, zoals Windows 11, Windows 10 en Windows 7.
IPAddress	string	IP-adres dat is toegewezen aan het eindpunt en wordt gebruikt tijdens gerelateerde netwerkcommunicatie
Port	int	TCP-poort die wordt gebruikt tijdens communicatie
DestinationDeviceName	string	Naam van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationIPAddress	string	IP-adres van het apparaat waarop de servertoepassing wordt uitgevoerd die de vastgelegde actie heeft verwerkt
DestinationPort	int	Doelpoort van gerelateerde netwerkcommunicatie
TargetDeviceName	string	Fully Qualified Domain Name (FQDN) van het apparaat waarop de geregistreerde actie is toegepast
TargetAccountDisplayName	string	Weergavenaam van het account waarop de vastgelegde actie is toegepast
Location	string	Plaats, land/regio of andere geografische locatie die aan de gebeurtenis is gekoppeld
Isp	string	Internetprovider (ISP) die is gekoppeld aan het IP-adres van het eindpunt
ReportId	string	Unieke id voor de gebeurtenis
AdditionalFields	dynamic	Aanvullende informatie over de entiteit of gebeurtenis

Ondersteunde aanmeldingstypen

De volgende tabel bevat de ondersteunde waarden voor de LogonType kolom.

Aanmeldingstype	Bewaakte activiteit	Omschrijving
Aanmeldingstype 2	Validatie van referenties	Verificatiegebeurtenis voor domeinaccounts met behulp van de verificatiemethoden NTLM en Kerberos.
Aanmeldingstype 2	Interactieve aanmelding	De gebruiker heeft netwerktoegang verkregen door een gebruikersnaam en wachtwoord in te voeren (verificatiemethode Kerberos of NTLM).
Aanmeldingstype 2	Interactieve aanmelding met certificaat	De gebruiker heeft netwerktoegang verkregen met behulp van een certificaat.
Aanmeldingstype 2	VPN-verbinding	Gebruiker verbonden via VPN: verificatie met behulp van HET RADIUS-protocol.
Aanmeldingstype 3	Resourcetoegang	De gebruiker heeft toegang tot een resource met kerberos- of NTLM-verificatie.
Aanmeldingstype 3	Gedelegeerde resourcetoegang	Gebruiker heeft toegang tot een resource met behulp van Kerberos-delegering.
Aanmeldingstype 8	LDAP Cleartext	Gebruiker geverifieerd met LDAP met een wachtwoord zonder tekst (eenvoudige verificatie).
Aanmeldingstype 10	Extern bureaublad	Gebruiker heeft een RDP-sessie uitgevoerd op een externe computer met behulp van Kerberos-verificatie.
---	Aanmelden mislukt	Verificatiepoging voor domeinaccount is mislukt (via NTLM en Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/een niet-vertrouwd certificaat gebruikt of vanwege ongeldige aanmeldingstijden/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord.
---	Aanmelden met certificaat mislukt	Verificatiepoging voor domeinaccount is mislukt (via Kerberos) vanwege het volgende: account is uitgeschakeld/verlopen/vergrendeld/gebruikt een niet-vertrouwd certificaat of vanwege ongeldige aanmeldingsuren/oud wachtwoord/verlopen wachtwoord/onjuist wachtwoord.

Verwante onderwerpen

• Overzicht van geavanceerd opsporen
• De querytaal leren
• Gedeelde query's gebruiken
• Opsporen op apparaten en in e-mailberichten, apps en identiteiten
• Meer informatie over het schema
• Aanbevolen procedures voor query's toepassen

Tip

Wil je meer weten? Engage met de Microsoft Security-community in onze Tech Community: Microsoft Defender XDR Tech Community.