Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A IdentityLogonEvents tabela no esquema de investigação avançada contém informações sobre atividades de autenticação realizadas através do seu Active Directory local capturados por atividades de autenticação e Microsoft Defender para Identidade relacionadas com o Microsoft serviços online capturadas pelo Microsoft Defender para Aplicativos de Nuvem. Use essa referência para criar consultas que retornam informações dessa tabela.
Dica
Para obter informações detalhadas sobre os tipos de eventos (ActionTypevalores) suportados por uma tabela, utilize a referência de esquema incorporada disponível no Microsoft Defender XDR.
Observação
Esta tabela abrange Microsoft Entra atividades de início de sessão controladas por Defender para Aplicativos de Nuvem, especificamente inícios de sessão interativos e atividades de autenticação com o ActiveSync e outros protocolos legados. Os inícios de sessão não interativos que não estão disponíveis nesta tabela podem ser visualizados no Microsoft Entra registo de auditoria. Saiba mais sobre como ligar Defender para Aplicativos de Nuvem ao Microsoft 365
Esta tabela de investigação avançada é preenchida por registos de Microsoft Defender para Identidade ou Microsoft Sentinel e Microsoft Entra ID. Se a sua organização não tiver implementado o serviço no Microsoft Defender XDR, as consultas que utilizam a tabela não irão funcionar nem devolver resultados. Para obter mais informações sobre como implementar o Defender para Identidade no Defender XDR, leia Implementar serviços suportados.
Para obter informações sobre outras tabelas no esquema de busca avançada, confira a referência de busca avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
A data e a hora em que o evento foi gravado |
ActionType |
string |
Tipo de atividade que acionou o evento. Veja a referência de esquema no portal para obter detalhes |
Application |
string |
Aplicação que executou a ação gravada |
LogonType |
string |
Tipo de sessão de início de sessão. Para obter mais informações, veja Tipos de início de sessão suportados. |
Protocol |
string |
Protocolo de rede utilizado |
FailureReason |
string |
Informações que explicam o motivo pelo qual a ação registada falhou |
AccountName |
string |
Nome de utilizador da conta |
AccountDomain |
string |
Domínio da conta |
AccountUpn |
string |
Nome principal de utilizador (UPN) da conta |
AccountSid |
string |
Identificador de Segurança (SID) da conta |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountDisplayName |
string |
Nome do utilizador da conta apresentado no livro de endereços. Normalmente, uma combinação de um determinado nome ou nome próprio, uma inicial do meio e um apelido ou apelido. |
DeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo |
DeviceType |
string |
Tipo de dispositivo com base na finalidade e funcionalidade, como dispositivo de rede, estação de trabalho, servidor, dispositivo móvel, consola de jogos ou impressora |
OSPlatform |
string |
Plataforma do sistema operativo em execução no dispositivo. Isto indica sistemas operativos específicos, incluindo variações dentro da mesma família, como Windows 11, Windows 10 e Windows 7. |
IPAddress |
string |
Endereço IP atribuído ao ponto final e utilizado durante comunicações de rede relacionadas |
Port |
int |
Porta TCP utilizada durante a comunicação |
DestinationDeviceName |
string |
Nome do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationIPAddress |
string |
Endereço IP do dispositivo que executa a aplicação de servidor que processou a ação registada |
DestinationPort |
int |
Porta de destino de comunicações de rede relacionadas |
TargetDeviceName |
string |
Nome de domínio completamente qualificado (FQDN) do dispositivo ao qual a ação registada foi aplicada |
TargetAccountDisplayName |
string |
Nome a apresentar da conta à qual a ação gravada foi aplicada |
Location |
string |
Cidade, país/região ou outra localização geográfica associada ao evento |
Isp |
string |
Fornecedor de serviços Internet (ISP) associado ao endereço IP do ponto final |
ReportId |
string |
Identificador exclusivo do evento |
AdditionalFields |
dynamic |
Informações adicionais sobre a entidade ou evento |
Tipos de início de sessão suportados
A tabela seguinte lista os valores suportados para a LogonType coluna.
| Tipo de início de sessão | Atividade monitorizada | Descrição |
|---|---|---|
| Tipo de início de sessão 2 | Validação de Credenciais | Evento de autenticação de conta de domínio com os métodos de autenticação NTLM e Kerberos. |
| Tipo de início de sessão 2 | Início de Sessão Interativo | O utilizador obteve acesso à rede ao introduzir um nome de utilizador e palavra-passe (método de autenticação Kerberos ou NTLM). |
| Tipo de início de sessão 2 | Início de Sessão Interativo com Certificado | O utilizador obteve acesso à rede com um certificado. |
| Tipo de início de sessão 2 | Ligação VPN | Utilizador ligado por VPN – Autenticação com o protocolo RADIUS. |
| Tipo de início de sessão 3 | Acesso a Recursos | O utilizador acedeu a um recurso com a autenticação Kerberos ou NTLM. |
| Tipo de início de sessão 3 | Acesso a Recursos Delegados | O utilizador acedeu a um recurso com a delegação de Kerberos. |
| Tipo de início de sessão 8 | LDAP Cleartext | Utilizador autenticado com LDAP com uma palavra-passe de texto não encriptado (Autenticação simples). |
| Tipo de início de sessão 10 | Área de Trabalho Remota | O utilizador realizou uma sessão RDP num computador remoto com a autenticação Kerberos. |
| --- | Início de Sessão Falhado | Falha na tentativa de autenticação da conta de domínio (através de NTLM e Kerberos) devido ao seguinte: a conta foi desativada/expirou/bloqueou/utilizou um certificado não fidedigno ou devido a horas de início de sessão inválidas/palavra-passe antiga/palavra-passe expirada/palavra-passe errada. |
| --- | Início de Sessão Com Falha com Certificado | Falha na tentativa de autenticação da conta de domínio (através de Kerberos) devido ao seguinte: a conta foi desativada/expirou/bloqueou/utilizou um certificado não fidedigno ou devido a horas de início de sessão inválidas/palavra-passe antiga/palavra-passe expirada/palavra-passe errada. |
Tópicos relacionados
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Usar consultas compartilhadas
- Buscar em dispositivos, e-mails, aplicativos e identidades
- Compreender o esquema
- Aplicar práticas recomendadas de consulta
Dica
Você deseja aprender mais? Participe da comunidade de Segurança da Microsoft em nossa Tech Community: Tech Community do Microsoft Defender XDR.