IdentityLogonEvents
Viktigt
Den förbättrade Microsoft 365 Defender-portalen är nu tillgänglig. Med den här nya upplevelsen kommer Defender för Endpoint, Defender för Office 365, 365 Microsoft 365 Defender och annat till Microsoft Defender for Cloud Apps. Läs om de senaste.
Gäller för:
- Microsoft 365 Defender
Tabellen i det avancerade sökschemat innehåller information om autentiseringsaktiviteter som görs via din lokala Active Directory som fångas av Microsoft Defender för identitets- och autentiseringsaktiviteter relaterade till Microsofts onlinetjänster som avbildats av Microsoft Defender för IdentityLogonEvents molnappar. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Om du vill ha detaljerad information om de händelsetyper (värden) som stöds av en tabell kan du använda den ActionType inbyggda schemareferensen som finns i Defender för molnet.
Anteckning
Den här tabellen beskriver Azure Active Directory inloggningsaktiviteter (Azure AD) som spåras av Defender för molnappar, särskilt interaktiva inloggningar och autentiseringsaktiviteter med ActiveSync och andra äldre protokoll. Icke-interaktiva inloggningar som inte är tillgängliga i den här tabellen kan visas i Azure AD-granskningsloggen. Läs mer om hur du ansluter Defender för molnappar till Microsoft 365
Information om andra tabeller i det avancerade sökschemat finns i den avancerade referensen för sökning.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen spelades in |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
LogonType |
string |
Typ av inloggningssession, särskilt: - Interaktivt – Användaren interagerar fysiskt med datorn med det lokala tangentbordet och den lokala skärmen - Fjärr interaktiva inloggningar (RDP) – Användaren interagerar med datorn via fjärrstyrning med Fjärrskrivbord, Terminal Services, Fjärrhjälp eller andra RDP-klienter - Nätverk - Session initierad när datorn nås med PsExec eller när delade resurser på datorn, till exempel skrivare och delade mappar, används - Batch – session initierad av schemalagda aktiviteter - Tjänst – session initierad av tjänster när de startar |
Protocol |
string |
Nätverksprotokoll som används |
FailureReason |
string |
Information som förklarar varför den inspelade åtgärden misslyckades |
AccountName |
string |
Användarnamn för kontot |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarkontons huvudnamn (UPN) |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unikt ID för kontot i Azure AD |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Detta är en kombination av ett visst namn eller förnamn, en mellaninititiering och efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
DeviceType |
string |
Typ av enhet |
OSPlatform |
string |
Operativsystemets plattform som körs på datorn. Detta anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
IPAddress |
string |
IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation |
Port |
string |
TCP-port som används under kommunikation |
DestinationDeviceName |
string |
Namn på den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationIPAddress |
string |
IP-adress för den enhet som kör serverprogrammet som bearbetat den inspelade åtgärden |
DestinationPort |
string |
Målport för relaterad nätverkskommunikation |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den inspelade åtgärden tillämpats på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpats på |
Location |
string |
Stad, land eller annan geografisk plats som är kopplad till händelsen |
Isp |
string |
Internetleverantör (ISP) som är kopplad till slutpunktens IP-adress |
ReportId |
long |
Unikt ID för händelsen |
AdditionalFields |
string |
Ytterligare information om entiteten eller händelsen |