IdentityLogonEvents

  • Статья

Область применения:

  • Microsoft Defender XDR

Таблица IdentityLogonEvents в схеме расширенной охоты содержит сведения о действиях проверки подлинности, выполняемых с помощью локальная служба Active Directory, захваченных Microsoft Defender для удостоверений и действиях проверки подлинности, связанных с Microsoft веб-службы захвачено Microsoft Defender for Cloud Apps. Используйте этот справочник для создания запросов, возвращающих данные из этой таблицы.

Совет

Подробные сведения о типах событий (ActionTypeзначениях), поддерживаемых таблицей, см. в справочнике по встроенной схеме, доступной в Microsoft Defender XDR.

Примечание.

В этой таблице рассматриваются Microsoft Entra действия входа, отслеживаемые Defender for Cloud Apps, в частности интерактивные операции входа и проверки подлинности с помощью ActiveSync и других устаревших протоколов. Неинтерактивные входы, недоступные в этой таблице, можно просмотреть в журнале аудита Microsoft Entra. Дополнительные сведения о подключении Defender для облачных приложений к Microsoft 365

Сведения о других таблицах в схеме расширенного поиска см. в справочнике по расширенному поиску.

Имя столбца Тип данных Описание
Timestamp datetime Дата и время записи события
ActionType string Тип действия, которое активировало событие. Дополнительные сведения см. в справочнике по схеме на портале.
Application string Приложение, выполняющее записанное действие
LogonType string Тип сеанса входа. Дополнительные сведения см. в разделе Поддерживаемые типы входа.
Protocol string Используемый сетевой протокол
FailureReason string Сведения, объясняющие, почему записанное действие завершилось сбоем
AccountName string Имя пользователя учетной записи
AccountDomain string Домен учетной записи
AccountUpn string Имя участника-пользователя (UPN) учетной записи
AccountSid string Идентификатор безопасности (SID) учетной записи
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountDisplayName string Имя пользователя учетной записи, отображаемое в адресной книге. Как правило, сочетание заданного или имени, среднего инициала и фамилии или фамилии.
DeviceName string Полное доменное имя (FQDN) устройства
DeviceType string Тип устройства в зависимости от назначения и функциональности, например сетевое устройство, рабочая станция, сервер, мобильные устройства, игровая консоль или принтер
OSPlatform string Платформа операционной системы, работающей на устройстве. Это указывает на определенные операционные системы, включая варианты в пределах одного семейства, такие как Windows 11, Windows 10 и Windows 7.
IPAddress string IP-адрес, назначенный конечной точке и используемый во время связанных сетевых подключений
Port int TCP-порт, используемый во время обмена данными
DestinationDeviceName string Имя устройства, на котором запущено серверное приложение, обрабатывающее записанное действие
DestinationIPAddress string IP-адрес устройства, на котором запущено серверное приложение, обрабатывающее записанное действие
DestinationPort int Порт назначения связанных сетевых подключений
TargetDeviceName string Полное доменное имя (FQDN) устройства, к которому было применено записанное действие
TargetAccountDisplayName string Отображаемое имя учетной записи, к которому было применено записанное действие
Location string Город, страна или регион или другое географическое расположение, связанное с событием
Isp string Поставщик услуг Интернета (ISP), связанный с IP-адресом конечной точки
ReportId string Уникальный идентификатор события
AdditionalFields dynamic Дополнительные сведения о сущности или событии

Поддерживаемые типы входа

В следующей таблице перечислены поддерживаемые значения для столбца LogonType .

Тип входа Отслеживаемые действия Описание
Тип входа 2 Проверка учетных данных Событие проверки подлинности учетной записи домена с использованием методов проверки подлинности NTLM и Kerberos.
Тип входа 2 Интерактивный вход Пользователь получил доступ к сети, введя имя пользователя и пароль (метод проверки подлинности Kerberos или NTLM).
Тип входа 2 Интерактивный вход с помощью сертификата Пользователь получил доступ к сети с помощью сертификата.
Тип входа 2 VPN-соединение Пользователь, подключенный через VPN, — проверка подлинности по протоколу RADIUS.
Тип входа 3 Доступ к ресурсам Пользователь обращается к ресурсу с помощью проверки подлинности Kerberos или NTLM.
Тип входа 3 Делегированный доступ к ресурсам Пользователь обращается к ресурсу с помощью делегирования Kerberos.
Тип входа 8 LDAP Cleartext Пользователь прошел проверку подлинности с помощью ПРОТОКОЛА LDAP с паролем в виде ясного текста (простая проверка подлинности).
Тип входа 10 Удаленный рабочий стол Пользователь выполнил сеанс RDP на удаленном компьютере с помощью проверки подлинности Kerberos.
--- Сбой входа Сбой попытки проверки подлинности учетной записи домена (через NTLM и Kerberos) из-за следующего: учетная запись была отключена, просрочена, заблокирована, использована ненадежный сертификат или из-за недопустимых часов входа, старого пароля, пароля с истекшим сроком действия или неправильного пароля.
--- Сбой входа с помощью сертификата Сбой проверки подлинности учетной записи домена (через Kerberos) из-за следующего: учетная запись была отключена, просрочена, заблокирована или использована недоверенный сертификат или из-за недопустимых часов входа, старого пароля, пароля с истекшим сроком действия или неправильного пароля.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.