高度なハンティング スキーマのIdentityLogonEvents テーブルには、Microsoft Defender for Identityによってキャプチャされたオンプレミスの Active Directoryによって行われた認証アクティビティと、キャプチャされた Microsoft オンライン サービスに関連する認証アクティビティに関する情報が含まれていますMicrosoft Defender for Cloud Apps。 このテーブルの情報を返すクエリを作成するには、このリファレンスを使用します。
ヒント
テーブルでサポートされるイベントの種類 (ActionType値) の詳細については、Microsoft Defender XDRで使用できる組み込みのスキーマ リファレンスを使用してください。
注:
この表では、Defender for Cloud Appsによって追跡されるMicrosoft Entraログオン アクティビティ、特に ActiveSync やその他のレガシ プロトコルを使用した対話型サインインと認証アクティビティについて説明します。 このテーブルで使用できない非対話型ログオンは、Microsoft Entra監査ログで表示できます。 Microsoft 365 へのDefender for Cloud Appsの接続の詳細
この高度なハンティング テーブルは、Microsoft Defender for IdentityまたはMicrosoft SentinelおよびMicrosoft Entra IDからのレコードによって設定されます。 organizationがサービスをMicrosoft Defender XDRにデプロイしていない場合、テーブルを使用するクエリは機能せず、結果も返されません。 Defender XDRで Defender for Identity を展開する方法の詳細については、「サポートされているサービスをデプロイする」を参照してください。
高度な捜索スキーマのその他のテーブルの詳細については、「高度な捜索のリファレンス」 を参照してください。
| 列名 | データ型 | 説明 |
|---|---|---|
Timestamp |
datetime |
イベントが記録された日付と時刻 |
ActionType |
string |
イベントをトリガーしたアクティビティの種類。 詳細については、 ポータル内スキーマ リファレンスを参照 してください |
Application |
string |
記録されたアクションを実行したアプリケーション |
LogonType |
string |
ログオン セッションの種類。 詳細については、「 サポートされているログオンの種類」を参照してください。 |
Protocol |
string |
使用されるネットワーク プロトコル |
FailureReason |
string |
記録されたアクションが失敗した理由を説明する情報 |
AccountName |
string |
アカウントのユーザー名 |
AccountDomain |
string |
アカウントのドメイン |
AccountUpn |
string |
アカウントのユーザー プリンシパル名 (UPN) |
AccountSid |
string |
アカウントのセキュリティ識別子 (SID) |
AccountObjectId |
string |
Microsoft Entra IDのアカウントの一意識別子 |
AccountDisplayName |
string |
アドレス帳に表示されるアカウント ユーザーの名前。 通常、特定の名前または名、中間の頭文字、姓または姓の組み合わせ。 |
DeviceName |
string |
デバイスの完全修飾ドメイン名 (FQDN) |
DeviceType |
string |
ネットワーク デバイス、ワークステーション、サーバー、モバイル、ゲーム コンソール、プリンターなどの目的と機能に基づくデバイスの種類 |
OSPlatform |
string |
デバイスで実行されているオペレーティング システムのプラットフォーム。 これは、Windows 11、Windows 10、Windows 7 など、同じファミリ内のバリエーションを含む特定のオペレーティング システムを示します。 |
IPAddress |
string |
エンドポイントに割り当てられ、関連するネットワーク通信中に使用される IP アドレス |
Port |
int |
通信中に使用される TCP ポート |
DestinationDeviceName |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの名前 |
DestinationIPAddress |
string |
記録されたアクションを処理したサーバー アプリケーションを実行しているデバイスの IP アドレス |
DestinationPort |
int |
関連するネットワーク通信の宛先ポート |
TargetDeviceName |
string |
記録されたアクションが適用されたデバイスの完全修飾ドメイン名 (FQDN) |
TargetAccountDisplayName |
string |
記録されたアクションが適用されたアカウントの表示名 |
Location |
string |
イベントに関連付けられている市区町村、国/地域、またはその他の地理的な場所 |
Isp |
string |
エンドポイント IP アドレスに関連付けられているインターネット サービス プロバイダー (ISP) |
ReportId |
string |
イベントの一意識別子 |
AdditionalFields |
dynamic |
エンティティまたはイベントに関する追加情報 |
サポートされているログオンの種類
次の表に、 LogonType 列でサポートされている値を示します。
| ログオンの種類 | 監視対象のアクティビティ | 説明 |
|---|---|---|
| ログオンの種類 2 | 資格情報の検証 | NTLM および Kerberos 認証方法を使用したドメイン アカウント認証イベント。 |
| ログオンの種類 2 | 対話型ログオン | ユーザーは、ユーザー名とパスワード (認証方法 Kerberos または NTLM) を入力してネットワーク アクセスを取得しました。 |
| ログオンの種類 2 | 証明書を使用した対話型ログオン | ユーザーは、証明書を使用してネットワーク アクセスを取得しました。 |
| ログオンの種類 2 | VPN 接続 | VPN で接続されたユーザー - RADIUS プロトコルを使用した認証。 |
| ログオンの種類 3 | リソース アクセス | ユーザーが Kerberos または NTLM 認証を使用してリソースにアクセスしました。 |
| ログオンの種類 3 | 委任されたリソース アクセス | ユーザーが Kerberos 委任を使用してリソースにアクセスしました。 |
| ログオンの種類 8 | LDAP Cleartext | クリア テキスト パスワード (簡易認証) を使用して LDAP を使用して認証されたユーザー。 |
| ログオンの種類 10 | リモート デスクトップ | ユーザーは、Kerberos 認証を使用してリモート コンピューターへの RDP セッションを実行しました。 |
| --- | 失敗したログオン | ドメイン アカウントが認証試行に失敗しました (NTLM と Kerberos を介して): アカウントが無効/期限切れ/ロック/信頼されていない証明書を使用したか、無効なログオン時間/古いパスワード/期限切れのパスワード/間違ったパスワードが原因です。 |
| --- | 証明書を使用した失敗したログオン | ドメイン アカウントは、(Kerberos 経由で) 認証試行に失敗しました。アカウントが無効/期限切れ/ロック/信頼されていない証明書を使用したか、無効なログオン時間/古いパスワード/期限切れのパスワード/間違ったパスワードが原因です。 |
関連項目
ヒント
さらに多くの情報を得るには、 Tech Community 内の Microsoft Security コミュニティにご参加ください: 「Microsoft Defender XDR Tech Community」。