DeviceLogonEvents

Aplica-se a:

  • Microsoft Defender XDR
  • Microsoft Defender para Ponto de Extremidade

A DeviceLogonEvents tabela no esquema de investigação avançada contém informações sobre inícios de sessão de utilizador e outros eventos de autenticação em dispositivos. Use essa referência para criar consultas que retornam informações dessa tabela.

Dica

Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.

Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.

Nome da coluna Tipo de dados Descrição
Timestamp datetime A data e a hora em que o evento foi gravado
DeviceId string Identificador exclusivo do dispositivo no serviço
DeviceName string Nome de domínio completamente qualificado (FQDN) do dispositivo
ActionType string Tipo de atividade que acionou o evento
LogonType string Tipo de sessão de início de sessão, especificamente:

- Interativo – o utilizador interage fisicamente com o dispositivo com o teclado e o ecrã locais

- Inícios de sessão interativos remotos (RDP) – o utilizador interage com o dispositivo remotamente através do Ambiente de Trabalho Remoto, dos Serviços de Terminal, da Assistência Remota ou de outros clientes RDP

- Rede – sessão iniciada quando o dispositivo é acedido através de PsExec ou quando os recursos partilhados no dispositivo, como impressoras e pastas partilhadas, são acedidos

- Batch - Sessão iniciada por tarefas agendadas

- Serviço – sessão iniciada pelos serviços à medida que iniciam
AccountDomain string Domínio da conta
AccountName string Nome de utilizador da conta
AccountSid string Identificador de Segurança (SID) da conta
Protocol string Protocolo utilizado durante a comunicação
FailureReason string Informações que explicam o motivo pelo qual a ação registada falhou
IsLocalAdmin boolean Indicador booleano de se o utilizador é um administrador local no dispositivo
LogonId long Identificador para uma sessão de início de sessão. Este identificador é exclusivo no mesmo dispositivo apenas entre reinícios.
RemoteDeviceName string Nome do dispositivo que efetuou uma operação remota no dispositivo afetado. Dependendo do evento que está a ser comunicado, este nome pode ser um nome de domínio completamente qualificado (FQDN), um nome NetBIOS ou um nome de anfitrião sem informações de domínio.
RemoteIP string Endereço IP do dispositivo a partir do qual a tentativa de início de sessão foi executada
RemoteIPType string Tipo de endereço IP, por exemplo Público, Privado, Reservado, Loopback, Teredo, FourToSixMapping e Difusão
RemotePort int Porta TCP no dispositivo remoto ao qual estava a ser ligado
InitiatingProcessAccountDomain string Domínio da conta que executou o processo responsável pelo evento
InitiatingProcessAccountName string Nome de utilizador da conta que executou o processo responsável pelo evento
InitiatingProcessAccountSid string Identificador de Segurança (SID) da conta que executou o processo responsável pelo evento
InitiatingProcessAccountUpn string Nome principal de utilizador (UPN) da conta que executou o processo responsável pelo evento
InitiatingProcessAccountObjectId string Microsoft Entra ID de objeto da conta de utilizador que executou o processo responsável pelo evento
InitiatingProcessIntegrityLevel string Nível de integridade do processo que iniciou o evento. O Windows atribui níveis de integridade a processos com base em determinadas características, como, por exemplo, se foram iniciados a partir de uma transferência da Internet. Estes níveis de integridade influenciam as permissões para os recursos.
InitiatingProcessTokenElevation string Tipo de token que indica a presença ou ausência da elevação de privilégios do Controle de Acesso de Utilizador (UAC) aplicada ao processo que iniciou o evento
InitiatingProcessSHA1 string Hash SHA-1 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessSHA256 string Hash SHA-256 do processo (ficheiro de imagem) que iniciou o evento. Normalmente, este campo não é preenchido - utilize a coluna SHA1 quando estiver disponível.
InitiatingProcessMD5 string Hash MD5 do processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessFileName string Nome do ficheiro de processo que iniciou o evento; se não estiver disponível, o nome do processo que iniciou o evento poderá ser apresentado
InitiatingProcessFileSize long Tamanho do ficheiro que executou o processo responsável pelo evento
InitiatingProcessVersionInfoCompanyName string Nome da empresa a partir das informações de versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductName string Nome do produto das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoProductVersion string Versão do produto a partir das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoInternalFileName string Nome de ficheiro interno das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoOriginalFileName string Nome de ficheiro original das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessVersionInfoFileDescription string Descrição das informações da versão do processo (ficheiro de imagem) responsável pelo evento
InitiatingProcessId long ID do Processo (PID) do processo que iniciou o evento
InitiatingProcessCommandLine string Linha de comandos utilizada para executar o processo que iniciou o evento
InitiatingProcessCreationTime datetime Data e hora em que o processo que iniciou o evento foi iniciado
InitiatingProcessFolderPath string Pasta que contém o processo (ficheiro de imagem) que iniciou o evento
InitiatingProcessParentId long ID do Processo (PID) do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentFileName string Nome ou caminho completo do processo principal que gerou o processo responsável pelo evento
InitiatingProcessParentCreationTime datetime Data e hora em que o principal do processo responsável pelo evento foi iniciado
ReportId long Identificador de evento baseado em um contador de repetição. Para identificar eventos exclusivos, esta coluna tem de ser utilizada em conjunto com as colunas DeviceName e Timestamp.
AppGuardContainerId string Identificador do contentor virtualizado utilizado pelo Application Guard para isolar a atividade do browser
AdditionalFields string Informações adicionais sobre o evento no formato de matriz JSON
InitiatingProcessSessionId long ID de sessão do Windows do processo de início
IsInitiatingProcessRemoteSession bool Indica se o processo de início foi executado numa sessão de protocolo de ambiente de trabalho remoto (RDP) (verdadeiro) ou localmente (falso)
InitiatingProcessRemoteSessionDeviceName string Nome do dispositivo do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início
InitiatingProcessRemoteSessionIP string Endereço IP do dispositivo remoto a partir do qual foi iniciada a sessão RDP do processo de início

Observação

A coleção de DeviceLogonEvents não é suportada em dispositivos Windows 7 ou Windows Server 2008R2 integrados no Defender para Endpoint. Recomendamos que atualize para um sistema operativo mais recente para uma visibilidade ideal da atividade de início de sessão do utilizador.

Dica

Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.