IdentityLogonEvents
Aplica-se a:
- Microsoft Defender XDR
A IdentityLogonEvents tabela no esquema de caça avançado contém informações sobre atividades de autenticação feitas por meio de sua Active Directory local capturadas por atividades de Microsoft Defender para Identidade e autenticação relacionadas à Microsoft serviços online capturadas pelo Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) compatíveis com uma tabela, use a referência de esquema interna disponível em Microsoft Defender XDR.
Observação
Esta tabela aborda Microsoft Entra atividades de logon rastreadas pelo Defender para Aplicativos de Nuvem, especificamente as atividades interativas de entrada e autenticação usando o ActiveSync e outros protocolos herdados. Logons não interativos que não estão disponíveis nesta tabela podem ser exibidos no log de auditoria Microsoft Entra. Saiba mais sobre como conectar o Defender para Aplicativos de Nuvem ao Microsoft 365
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que desencadeou o evento. Consulte a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicativo que executou a ação gravada |
LogonType |
string |
Tipo de sessão de logon. Para obter mais informações, consulte Tipos de logon com suporte. |
Protocol |
string |
Protocolo de rede usado |
FailureReason |
string |
Informações explicando por que a ação gravada falhou |
AccountName |
string |
Nome de usuário da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
AccountSid |
string |
Sid (Identificador de Segurança) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do usuário da conta exibido no catálogo de endereços. Normalmente, uma combinação de um determinado ou primeiro nome, uma inicial intermediária e um sobrenome ou sobrenome. |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, celular, console de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operacional em execução no dispositivo. Isso indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao ponto de extremidade e usado durante comunicações de rede relacionadas |
Port |
int |
Porta TCP usada durante a comunicação |
DestinationDeviceName |
string |
Nome do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa o aplicativo do servidor que processou a ação gravada |
DestinationPort |
int |
Porta de destino das comunicações de rede relacionadas |
TargetDeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo ao qual a ação gravada foi aplicada |
TargetAccountDisplayName |
string |
Nome de exibição da conta à qual a ação gravada foi aplicada |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
Isp |
string |
Provedor de serviços de Internet (ISP) associado ao endereço IP do ponto de extremidade |
ReportId |
string |
Identificador exclusivo para o evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tipos de logon com suporte
A tabela a seguir lista os valores com suporte para a LogonType coluna.
| Tipo de logon | Atividade monitorada | Descrição |
|---|---|---|
| Tipo de logon 2 | Validação de credenciais | Evento de autenticação de conta de domínio usando os métodos de autenticação NTLM e Kerberos. |
| Tipo de logon 2 | Logon interativo | O usuário obteve acesso à rede inserindo um nome de usuário e senha (método de autenticação Kerberos ou NTLM). |
| Tipo de logon 2 | Logon interativo com certificado | O usuário obteve acesso à rede usando um certificado. |
| Tipo de logon 2 | Conexão VPN | Usuário conectado por VPN – Autenticação usando protocolo RADIUS. |
| Tipo de logon 3 | Acesso a recursos | O usuário acessou um recurso usando Kerberos ou autenticação NTLM. |
| Tipo de logon 3 | Acesso delegado a recursos | O usuário acessou um recurso usando a delegação Kerberos. |
| Tipo de logon 8 | LDAP Cleartext | Usuário autenticado usando LDAP com uma senha de texto claro (autenticação simples). |
| Tipo de logon 10 | Área de Trabalho Remota | O usuário realizou uma sessão RDP em um computador remoto usando a autenticação Kerberos. |
| --- | Logon com falha | Tentativa de autenticação com falha na conta de domínio (via NTLM e Kerberos) devido ao seguinte: a conta foi desabilitada/expirada/bloqueada/usada um certificado não confiável ou devido a horas de logon inválidas/senha antiga/senha expirada/senha errada. |
| --- | Logon com falha no certificado | Tentativa de autenticação com falha na conta de domínio (via Kerberos) devido ao seguinte: a conta foi desabilitada/expirada/bloqueada/usada um certificado não confiável ou devido a horas de logon inválidas/senha antiga/senha expirada/senha errada. |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.