DeviceLogonEvents
Obs!
Vill du uppleva Microsoft Defender XDR? Läs mer om hur du kan utvärdera och pilottesta Microsoft Defender XDR.
Gäller för:
- Microsoft Defender XDR
- Microsoft Defender för Endpoint
Tabellen DeviceLogonEvents i det avancerade jaktschemat innehåller information om användarinloggningar och andra autentiseringshändelser på enheter. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
DeviceId |
string |
Unik identifierare för enheten i tjänsten |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
ActionType |
string |
Typ av aktivitet som utlöste händelsen |
LogonType |
string |
Typ av inloggningssession, specifikt: - Interaktiv – Användaren interagerar fysiskt med enheten med hjälp av det lokala tangentbordet och skärmen - Interaktiv fjärrinloggning (RDP) – Användaren interagerar med enheten via fjärrskrivbord, terminaltjänster, fjärrhjälp eller andra RDP-klienter - Nätverk – Session som initieras när enheten används med PsExec eller när delade resurser på enheten, till exempel skrivare och delade mappar, används - Batch – session som initieras av schemalagda aktiviteter - Tjänst – session som initieras av tjänster när de startar |
AccountDomain |
string |
Domän för kontot |
AccountName |
string |
Användarkontots användarnamn |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
Protocol |
string |
Protokoll som används under kommunikationen |
FailureReason |
string |
Information som förklarar varför den inspelade åtgärden misslyckades |
IsLocalAdmin |
boolean |
Boolesk indikator på om användaren är lokal administratör på enheten |
LogonId |
long |
Identifierare för en inloggningssession. Den här identifieraren är bara unik på samma enhet mellan omstarter. |
RemoteDeviceName |
string |
Namnet på enheten som utförde en fjärråtgärd på den berörda enheten. Beroende på vilken händelse som rapporteras kan det här namnet vara ett fullständigt domännamn (FQDN), ett NetBIOS-namn eller ett värdnamn utan domäninformation. |
RemoteIP |
string |
IP-adressen för den enhet som inloggningsförsöket utfördes från |
RemoteIPType |
string |
Typ av IP-adress, till exempel Offentlig, Privat, Reserverad, Loopback, Teredo, FourToSixMapping och Broadcast |
RemotePort |
int |
TCP-port på fjärrenheten som var ansluten till |
InitiatingProcessAccountDomain |
string |
Domän för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountName |
string |
Användarnamnet för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountSid |
string |
Säkerhetsidentifierare (SID) för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountUpn |
string |
Användarens huvudnamn (UPN) för det konto som körde processen som ansvarar för händelsen |
InitiatingProcessAccountObjectId |
string |
Microsoft Entra objekt-ID för användarkontot som körde processen som ansvarar för händelsen |
InitiatingProcessIntegrityLevel |
string |
Integritetsnivå för processen som initierade händelsen. Windows tilldelar integritetsnivåer till processer baserat på vissa egenskaper, till exempel om de startades från en internetnedladdning. Dessa integritetsnivåer påverkar behörigheter till resurser. |
InitiatingProcessTokenElevation |
string |
Tokentyp som anger förekomsten eller avsaknaden av behörighetshöjning för användare Access Control (UAC) som tillämpas på processen som initierade händelsen |
InitiatingProcessSHA1 |
string |
SHA-1-hash för processen (bildfil) som initierade händelsen |
InitiatingProcessSHA256 |
string |
SHA-256-hash för processen (bildfil) som initierade händelsen. Det här fältet är vanligtvis inte ifyllt – använd sha1-kolumnen när det är tillgängligt. |
InitiatingProcessMD5 |
string |
MD5-hash för processen (bildfil) som initierade händelsen |
InitiatingProcessFileName |
string |
Namnet på processen som initierade händelsen |
InitiatingProcessFileSize |
long |
Storleken på filen som körde processen som ansvarar för händelsen |
InitiatingProcessVersionInfoCompanyName |
string |
Företagsnamn från versionsinformationen för processen (avbildningsfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductName |
string |
Produktnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoProductVersion |
string |
Produktversion från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoInternalFileName |
string |
Internt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoOriginalFileName |
string |
Ursprungligt filnamn från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessVersionInfoFileDescription |
string |
Beskrivning från versionsinformationen för processen (bildfilen) som ansvarar för händelsen |
InitiatingProcessId |
long |
Process-ID (PID) för processen som initierade händelsen |
InitiatingProcessCommandLine |
string |
Kommandorad som används för att köra processen som initierade händelsen |
InitiatingProcessCreationTime |
datetime |
Datum och tid då processen som initierade händelsen startades |
InitiatingProcessFolderPath |
string |
Mapp som innehåller processen (bildfil) som initierade händelsen |
InitiatingProcessParentId |
long |
Process-ID (PID) för den överordnade processen som skapade processen som var ansvarig för händelsen |
InitiatingProcessParentFileName |
string |
Namn eller fullständig sökväg för den överordnade processen som skapade processen som ansvarar för händelsen |
InitiatingProcessParentCreationTime |
datetime |
Datum och tid då den överordnade processen som ansvarar för händelsen startades |
ReportId |
long |
Händelseidentifierare baserad på en upprepande räknare. För att identifiera unika händelser måste den här kolumnen användas tillsammans med kolumnerna DeviceName och Timestamp. |
AppGuardContainerId |
string |
Identifierare för den virtualiserade container som används av Application Guard för att isolera webbläsaraktivitet |
AdditionalFields |
string |
Ytterligare information om händelsen i JSON-matrisformat |
Obs!
Samlingen av DeviceLogonEvents stöds inte på Windows 7- eller Windows Server 2008R2-enheter som registrerats i Defender för Endpoint. Vi rekommenderar att du uppgraderar till ett nyare operativsystem för optimal insyn i användarinloggningsaktiviteten.
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för