DeviceLogonEvents

Gilt für:

  • Microsoft Defender XDR
  • Microsoft Defender für Endpunkt

Die DeviceLogonEvents Tabelle im schema der erweiterten Suche enthält Informationen zu Benutzeranmeldungen und anderen Authentifizierungsereignissen auf Geräten. Verwenden Sie dieser Referenz, um Abfragen zu erstellen, die Informationen aus dieser Tabelle zurückgeben.

Tipp

Ausführliche Informationen zu den Ereignistypen (ActionTypeWerten), die von einer Tabelle unterstützt werden, finden Sie in der integrierten Schemareferenz, die in Microsoft Defender XDR verfügbar ist.

Informationen zu anderen Tabellen im Schema "Erweiterte Suche" finden Sie unter Referenz zur erweiterten Suche.

Spaltenname Datentyp Beschreibung
Timestamp datetime Datum und Uhrzeit der Aufzeichnung des Ereignisses
DeviceId string Eindeutiger Bezeichner für das Gerät im Dienst
DeviceName string Vollqualifizierter Domänenname (FQDN) des Geräts
ActionType string Typ der Aktivität, die das Ereignis ausgelöst hat
LogonType string Typ der Anmeldesitzung, insbesondere:

- Interaktiv : Der Benutzer interagiert physisch mit dem Gerät über die lokale Tastatur und den lokalen Bildschirm.

- Interaktive Remoteanmeldungen (RDP): Der Benutzer interagiert remote mit dem Gerät mithilfe von Remotedesktop, Terminaldiensten, Remoteunterstützung oder anderen RDP-Clients.

- Netzwerk : Sitzung wird initiiert, wenn über PsExec auf das Gerät zugegriffen wird oder wenn auf freigegebene Ressourcen auf dem Gerät zugegriffen wird, z. B. Drucker und freigegebene Ordner

- Batch : Von geplanten Aufgaben initiierte Sitzung

- Dienst : Von Diensten beim Start initiierte Sitzung
AccountDomain string Domäne des Kontos
AccountName string Benutzername des Kontos
AccountSid string Sicherheits-ID (SID) des Kontos
Protocol string Während der Kommunikation verwendetes Protokoll
FailureReason string Informationen, die erklären, warum die aufgezeichnete Aktion fehlgeschlagen ist
IsLocalAdmin boolean Boolescher Indikator, ob der Benutzer ein lokaler Administrator auf dem Gerät ist
LogonId long Bezeichner für eine Anmeldesitzung. Dieser Bezeichner ist nur zwischen Neustarts auf demselben Gerät eindeutig.
RemoteDeviceName string Name des Geräts, das einen Remotevorgang auf dem betroffenen Gerät ausgeführt hat. Abhängig vom gemeldeten Ereignis kann es sich bei diesem Namen um einen vollqualifizierten Domänennamen (FQDN), einen NetBIOS-Namen oder einen Hostnamen ohne Domäneninformationen handeln.
RemoteIP string IP-Adresse des Geräts, von dem aus der Anmeldeversuch ausgeführt wurde
RemoteIPType string Ip-Adresstyp, z. B. Öffentlich, Privat, Reserviert, Loopback, Teredo, FourToSixMapping und Broadcast
RemotePort int TCP-Port auf dem Remotegerät, mit dem eine Verbindung hergestellt wurde
InitiatingProcessAccountDomain string Domäne des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountName string Benutzername des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountSid string Sicherheits-ID (SID) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountUpn string Benutzerprinzipalname (UPN) des Kontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessAccountObjectId string Microsoft Entra Objekt-ID des Benutzerkontos, das den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessIntegrityLevel string Integritätsebene des Prozesses, der das Ereignis initiiert hat. Windows weist Prozessen Integritätsebenen basierend auf bestimmten Merkmalen zu, z. B. wenn sie über einen Internetdownload gestartet wurden. Diese Integritätsebenen wirken sich auf Berechtigungen für Ressourcen aus.
InitiatingProcessTokenElevation string Tokentyp, der angibt, dass auf den Prozess angewendet, der das Ereignis initiiert hat, das Vorhandensein oder Fehlen von Benutzer-Access Control-Berechtigungen (User Access Control, UAC)
InitiatingProcessSHA1 string SHA-1-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat
InitiatingProcessSHA256 string SHA-256-Hash des Prozesses (Bilddatei), der das Ereignis initiiert hat. Dieses Feld wird in der Regel nicht aufgefüllt. Verwenden Sie die SHA1-Spalte, falls verfügbar.
InitiatingProcessMD5 string MD5-Hash des Prozesses (Imagedatei), der das Ereignis initiiert hat
InitiatingProcessFileName string Name der Prozessdatei, die das Ereignis initiiert hat; Wenn nicht verfügbar, wird stattdessen möglicherweise der Name des Prozesses angezeigt, der das Ereignis initiiert hat.
InitiatingProcessFileSize long Größe der Datei, die den für das Ereignis verantwortlichen Prozess ausgeführt hat
InitiatingProcessVersionInfoCompanyName string Firmenname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoProductName string Produktname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoProductVersion string Produktversion aus den Versionsinformationen des Prozesses (Imagedatei), die für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoInternalFileName string Interner Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoOriginalFileName string Ursprünglicher Dateiname aus den Versionsinformationen des Prozesses (Imagedatei), der für das Ereignis verantwortlich ist
InitiatingProcessVersionInfoFileDescription string Beschreibung aus den Versionsinformationen des Prozesses (Bilddatei), der für das Ereignis verantwortlich ist
InitiatingProcessId long Prozess-ID (PID) des Prozesses, der das Ereignis initiiert hat
InitiatingProcessCommandLine string Befehlszeile, die zum Ausführen des Prozesses verwendet wird, der das Ereignis initiiert hat
InitiatingProcessCreationTime datetime Datum und Uhrzeit des Beginns des Prozesses, der das Ereignis initiiert hat
InitiatingProcessFolderPath string Ordner, der den Prozess (Bilddatei) enthält, der das Ereignis initiiert hat
InitiatingProcessParentId long Prozess-ID (PID) des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat
InitiatingProcessParentFileName string Name oder vollständiger Pfad des übergeordneten Prozesses, der den für das Ereignis verantwortlichen Prozess erzeugt hat
InitiatingProcessParentCreationTime datetime Datum und Uhrzeit des Startdatums des übergeordneten Prozesses, der für das Ereignis verantwortlich ist
ReportId long Ereignisbezeichner basierend auf einem Repeating-Indikator. Um eindeutige Ereignisse zu identifizieren, muss diese Spalte in Verbindung mit den Spalten DeviceName und Timestamp verwendet werden.
AppGuardContainerId string Bezeichner für den virtualisierten Container, der von Application Guard zum Isolieren der Browseraktivität verwendet wird
AdditionalFields string Zusätzliche Informationen zum Ereignis im JSON-Arrayformat
InitiatingProcessSessionId long Windows-Sitzungs-ID des initiierenden Prozesses
IsInitiatingProcessRemoteSession bool Gibt an, ob der initiierende Prozess unter einer RDP-Sitzung (Remotedesktopprotokoll) (true) oder lokal (false) ausgeführt wurde.
InitiatingProcessRemoteSessionDeviceName string Gerätename des Remotegeräts, von dem die RDP-Sitzung des initiierenden Prozesses initiiert wurde
InitiatingProcessRemoteSessionIP string IP-Adresse des Remotegeräts, von dem die RDP-Sitzung des initiierenden Prozesses initiiert wurde

Hinweis

Die Sammlung von DeviceLogonEvents wird auf Windows 7- oder Windows Server 2008R2-Geräten, die in Defender für Endpunkt integriert sind, nicht unterstützt. Es wird empfohlen, ein Upgrade auf ein neueres Betriebssystem durchzuführen, um einen optimalen Einblick in die Benutzeranmeldungsaktivitäten zu erzielen.

Tipp

Möchten Sie mehr erfahren? Wenden Sie sich an die Microsoft Security-Community in unserer Tech Community: Microsoft Defender XDR Tech Community.