IdentityLogonEvents
Şunlar için geçerlidir:
- Microsoft Defender XDR
IdentityLogonEvents
Gelişmiş tehdit avcılığı şemasındaki tablo, Kimlik için Microsoft Defender tarafından yakalanan şirket içi Active Directory aracılığıyla yapılan kimlik doğrulama etkinlikleri ve Microsoft çevrimiçi hizmetler ile ilgili kimlik doğrulama etkinlikleri hakkında bilgi içerir Microsoft Defender for Cloud Apps tarafından yakalanır. Bu tablodan bilgi döndüren sorgular oluşturmak için bu başvuruyu kullanın.
İpucu
Bir tablo tarafından desteklenen olay türleri (ActionTypedeğerler) hakkında ayrıntılı bilgi için Microsoft Defender XDR'de bulunan yerleşik şema başvurularını kullanın.
Not
Bu tabloda Cloud Apps için Defender tarafından izlenen Microsoft Entra oturum açma etkinlikleri, özellikle ActiveSync ve diğer eski protokolleri kullanan etkileşimli oturum açma işlemleri ve kimlik doğrulama etkinlikleri yer alır. Bu tabloda bulunmayan etkileşimli olmayan oturum açma işlemleri Microsoft Entra denetim günlüğünde görüntülenebilir. Cloud Apps için Defender'ı Microsoft 365'e bağlama hakkında daha fazla bilgi edinin
Gelişmiş tehdit avcılığı şemasındaki diğer tablolar hakkında bilgi için gelişmiş avcılık başvurusuna bakın.
| Sütun adı | Veri türü | Açıklama |
|---|---|---|
Timestamp |
datetime |
Olayın kaydedilildiği tarih ve saat |
ActionType |
string |
Olayı tetikleyen etkinlik türü. Ayrıntılar için bkz. portal içi şema başvurusu |
Application |
string |
Kaydedilen eylemi gerçekleştiren uygulama |
LogonType |
string |
Oturum açma oturumunun türü. Daha fazla bilgi için bkz . Desteklenen oturum açma türleri. |
Protocol |
string |
Kullanılan ağ protokolü |
FailureReason |
string |
Kaydedilen eylemin neden başarısız olduğunu açıklayan bilgiler |
AccountName |
string |
Hesabın kullanıcı adı |
AccountDomain |
string |
Hesabın etki alanı |
AccountUpn |
string |
Hesabın kullanıcı asıl adı (UPN) |
AccountSid |
string |
Hesabın Güvenlik Tanımlayıcısı (SID) |
AccountObjectId |
string |
Microsoft Entra ID'deki hesabın benzersiz tanımlayıcısı |
AccountDisplayName |
string |
Adres defterinde görüntülenen hesap kullanıcısının adı. Genellikle belirli bir adın veya adın, ikinci bir adın ve soyadının veya soyadının birleşimidir. |
DeviceName |
string |
Cihazın tam etki alanı adı (FQDN) |
DeviceType |
string |
Ağ cihazı, iş istasyonu, sunucu, mobil, oyun konsolu veya yazıcı gibi amaca ve işlevselliğe dayalı cihaz türü |
OSPlatform |
string |
Cihazda çalışan işletim sisteminin platformu. Bu, Windows 11, Windows 10 ve Windows 7 gibi aynı aile içindeki varyasyonlar da dahil olmak üzere belirli işletim sistemlerini gösterir. |
IPAddress |
string |
Uç noktaya atanan ve ilgili ağ iletişimleri sırasında kullanılan IP adresi |
Port |
int |
İletişim sırasında kullanılan TCP bağlantı noktası |
DestinationDeviceName |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın adı |
DestinationIPAddress |
string |
Kaydedilen eylemi işleyen sunucu uygulamasını çalıştıran cihazın IP adresi |
DestinationPort |
int |
İlgili ağ iletişimlerinin hedef bağlantı noktası |
TargetDeviceName |
string |
Kaydedilen eylemin uygulandığı cihazın tam etki alanı adı (FQDN) |
TargetAccountDisplayName |
string |
Kaydedilen eylemin uygulandığı hesabın görünen adı |
Location |
string |
Olayla ilişkili şehir, ülke/bölge veya diğer coğrafi konum |
Isp |
string |
Uç nokta IP adresiyle ilişkili İnternet servis sağlayıcısı (ISS) |
ReportId |
string |
Olayın benzersiz tanımlayıcısı |
AdditionalFields |
dynamic |
Varlık veya olay hakkında ek bilgi |
Desteklenen oturum açma türleri
Aşağıdaki tabloda sütun için LogonType desteklenen değerler listelenmektedir.
| Oturum açma türü | İzlenen etkinlik | Açıklama |
|---|---|---|
| Oturum açma türü 2 | Kimlik Bilgileri Doğrulaması | NTLM ve Kerberos kimlik doğrulama yöntemlerini kullanarak etki alanı hesabı kimlik doğrulaması olayı. |
| Oturum açma türü 2 | Etkileşimli Oturum Açma | Kullanıcı bir kullanıcı adı ve parola girerek ağ erişimi kazandı (Kerberos veya NTLM kimlik doğrulama yöntemi). |
| Oturum açma türü 2 | Sertifika ile Etkileşimli Oturum Açma | Kullanıcı bir sertifika kullanarak ağ erişimi elde etti. |
| Oturum açma türü 2 | VPN Bağlantısı | VPN ile bağlanan kullanıcı - RADIUS protokolü kullanarak kimlik doğrulaması. |
| Oturum açma türü 3 | Kaynak Erişimi | Kullanıcı Kerberos veya NTLM kimlik doğrulaması kullanarak bir kaynağa erişmiş. |
| Oturum açma türü 3 | TemsilciLi Kaynak Erişimi | Kullanıcı Kerberos temsilcisi kullanarak bir kaynağa erişmiş. |
| Oturum açma türü 8 | LDAP Cleartext | Kullanıcı, net metin parolası ile LDAP kullanarak kimlik doğrulaması (Basit kimlik doğrulaması). |
| Oturum açma türü 10 | Uzak Masaüstü | Kullanıcı, Kerberos kimlik doğrulamasını kullanarak uzak bir bilgisayara RDP oturumu gerçekleştirdi. |
| --- | Başarısız Oturum Açma | Etki alanı hesabı kimlik doğrulama girişimi (NTLM ve Kerberos aracılığıyla) aşağıdakilerden dolayı başarısız oldu: hesap devre dışı bırakıldı/süresi doldu/kilitlendi/güvenilmeyen bir sertifika kullanıldı veya geçersiz oturum açma saatleri/eski parola/süresi dolmuş parola/yanlış parola. |
| --- | Sertifikayla Başarısız Oturum Açma | Etki alanı hesabı kimlik doğrulama girişimi (Kerberos aracılığıyla) aşağıdakilerden dolayı başarısız oldu: hesap devre dışı bırakıldı/süresi doldu/kilitlendi/güvenilmeyen bir sertifika kullanıldı veya geçersiz oturum açma saatleri/eski parola/süresi dolmuş parola/yanlış parola nedeniyle. |
İlgili konular
- Gelişmiş avcılığa genel bakış
- Sorgu dilini öğrenin
- Paylaşılan sorguları kullanın
- Cihazlar, e-postalar, uygulamalar ve kimlikler arasında avlayın
- Şemayı anlayın
- Sorgu en iyi yöntemlerini uygulayın
İpucu
Daha fazla bilgi edinmek mi istiyorsunuz? Teknoloji Topluluğumuzdaki Microsoft Güvenlik topluluğuyla etkileşime geçin: Microsoft Defender XDR Teknoloji Topluluğu.