IdentityLogonEvents
Gäller för:
- Microsoft Defender XDR
Tabellen IdentityLogonEvents i det avancerade jaktschemat innehåller information om autentiseringsaktiviteter som görs via din lokal Active Directory som samlas in av Microsoft Defender for Identity och autentiseringsaktiviteter relaterade till Microsoft onlinetjänster som registrerats av Microsoft Defender for Cloud Apps. Använd den här referensen för att skapa frågor som returnerar information från den här tabellen.
Tips
Detaljerad information om de händelsetyper (ActionTypevärden) som stöds av en tabell finns i den inbyggda schemareferensen som är tillgänglig i Microsoft Defender XDR.
Obs!
Den här tabellen beskriver Microsoft Entra inloggningsaktiviteter som spåras av Defender för Cloud Apps, särskilt interaktiva inloggningar och autentiseringsaktiviteter med Hjälp av ActiveSync och andra äldre protokoll. Icke-interaktiva inloggningar som inte är tillgängliga i den här tabellen kan visas i granskningsloggen för Microsoft Entra. Läs mer om att ansluta Defender för Cloud Apps till Microsoft 365
Information om andra tabeller i schemat för avancerad jakt finns i referensen för avancerad jakt.
| Kolumnnamn | Datatyp | Beskrivning |
|---|---|---|
Timestamp |
datetime |
Datum och tid då händelsen registrerades |
ActionType |
string |
Typ av aktivitet som utlöste händelsen. Mer information finns i schemareferensen i portalen |
Application |
string |
Program som utförde den inspelade åtgärden |
LogonType |
string |
Typ av inloggningssession. Mer information finns i Inloggningstyper som stöds. |
Protocol |
string |
Nätverksprotokoll som används |
FailureReason |
string |
Information som förklarar varför den inspelade åtgärden misslyckades |
AccountName |
string |
Användarkontots användarnamn |
AccountDomain |
string |
Domän för kontot |
AccountUpn |
string |
Användarens huvudnamn (UPN) för kontot |
AccountSid |
string |
Säkerhetsidentifierare (SID) för kontot |
AccountObjectId |
string |
Unik identifierare för kontot i Microsoft Entra ID |
AccountDisplayName |
string |
Namnet på kontoanvändaren som visas i adressboken. Vanligtvis en kombination av ett givet eller förnamn, en mellan initial och ett efternamn eller efternamn. |
DeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten |
DeviceType |
string |
Typ av enhet baserat på syfte och funktionalitet, till exempel nätverksenhet, arbetsstation, server, mobil, spelkonsol eller skrivare |
OSPlatform |
string |
Plattform för operativsystemet som körs på enheten. Detta anger specifika operativsystem, inklusive variationer inom samma familj, till exempel Windows 11, Windows 10 och Windows 7. |
IPAddress |
string |
IP-adress tilldelad till slutpunkten och används under relaterad nätverkskommunikation |
Port |
int |
TCP-port som används under kommunikation |
DestinationDeviceName |
string |
Namnet på den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationIPAddress |
string |
IP-adressen för den enhet som kör serverprogrammet som bearbetade den registrerade åtgärden |
DestinationPort |
int |
Målport för relaterad nätverkskommunikation |
TargetDeviceName |
string |
Fullständigt kvalificerat domännamn (FQDN) för enheten som den registrerade åtgärden tillämpades på |
TargetAccountDisplayName |
string |
Visningsnamn för det konto som den inspelade åtgärden tillämpades på |
Location |
string |
Ort, land/region eller annan geografisk plats som är associerad med händelsen |
Isp |
string |
Internetleverantör (ISP) som är associerad med slutpunktens IP-adress |
ReportId |
string |
Unik identifierare för händelsen |
AdditionalFields |
dynamic |
Ytterligare information om entiteten eller händelsen |
Inloggningstyper som stöds
I följande tabell visas de värden som stöds för LogonType kolumnen.
| Inloggningstyp | Övervakad aktivitet | Beskrivning |
|---|---|---|
| Inloggningstyp 2 | Validering av autentiseringsuppgifter | Autentiseringshändelse för domänkonto med NTLM- och Kerberos-autentiseringsmetoderna. |
| Inloggningstyp 2 | Interaktiv inloggning | Användaren fick nätverksåtkomst genom att ange ett användarnamn och lösenord (autentiseringsmetod Kerberos eller NTLM). |
| Inloggningstyp 2 | Interaktiv inloggning med certifikat | Användaren fick nätverksåtkomst med hjälp av ett certifikat. |
| Inloggningstyp 2 | VPN-anslutning | Användare som är ansluten via VPN – Autentisering med hjälp av RADIUS-protokoll. |
| Inloggningstyp 3 | Resursåtkomst | Användaren har använt en resurs med Kerberos- eller NTLM-autentisering. |
| Inloggningstyp 3 | Delegerad resursåtkomst | Användaren har använt en resurs med Kerberos-delegering. |
| Inloggningstyp 8 | LDAP Cleartext | Användaren autentiserades med LDAP med ett lösenord med klartext (enkel autentisering). |
| Inloggningstyp 10 | Fjärrskrivbord | Användaren utförde en RDP-session på en fjärrdator med Kerberos-autentisering. |
| --- | Misslyckad inloggning | Domänkontot misslyckades med autentiseringsförsöket (via NTLM och Kerberos) på grund av följande: kontot har inaktiverats/upphört att gälla/låst/använt ett ej betrott certifikat eller på grund av ogiltig inloggningstid/gammalt lösenord/utgånget lösenord/fel lösenord. |
| --- | Misslyckad inloggning med certifikat | Domänkontot misslyckades med autentiseringsförsöket (via Kerberos) på grund av följande: kontot har inaktiverats/upphört att gälla/låst/använt ett ej betrott certifikat eller på grund av ogiltig inloggningstid/gammalt lösenord/utgånget lösenord/fel lösenord. |
Relaterade ämnen
- Översikt över avancerad jakt
- Lär dig frågespråket
- Använda delade frågor
- Jaga över olika enheter, e-postmeddelanden, appar och identiteter
- Förstå schemat
- Använda metodtips för frågor
Tips
Vill du veta mer? Engage med Microsofts säkerhetscommunity i vår Tech Community: Microsoft Defender XDR Tech Community.