AADSignInEventsBeta
Gælder for:
- Microsoft Defender XDR
Vigtigt!
Tabellen AADSignInEventsBeta
er i øjeblikket i betaversion og tilbydes på kort sigt for at give dig mulighed for at jage gennem Microsoft Entra logonhændelser. Kunder skal have en Microsoft Entra ID P2-licens for at indsamle og få vist aktiviteter for denne tabel. Alle logonskemaoplysninger flyttes til sidst til IdentityLogonEvents
tabellen.
Tabellen AADSignInEventsBeta
i det avancerede jagtskema indeholder oplysninger om Microsoft Entra interaktive og ikke-interaktive logons. Få mere at vide om logon i Microsoft Entra logonaktivitetsrapporter – prøveversion.
Brug denne reference til at oprette forespørgsler, der returnerer oplysninger fra tabellen. Du kan finde oplysninger om andre tabeller i det avancerede jagtskema i referencen til avanceret jagt.
Kolonnenavn | Datatype | Beskrivelse |
---|---|---|
Timestamp |
datetime |
Dato og klokkeslæt for oprettelse af posten |
Application |
string |
Program, der udførte den registrerede handling |
ApplicationId |
string |
Entydigt id for programmet |
LogonType |
string |
Type af logonsession, specifikt interaktiv, fjern interaktiv (RDP), netværk, batch og tjeneste |
ErrorCode |
int |
Indeholder fejlkoden, hvis der opstår en logonfejl. Hvis du vil finde en beskrivelse af en bestemt fejlkode, skal du gå til https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Entydigt id for logonhændelsen |
SessionId |
string |
Entydigt nummer, der tildeles en bruger af et websteds server under besøget eller sessionen |
AccountDisplayName |
string |
Det navn, der vises i posten i adressekartoteket for kontobrugeren. Dette er normalt en kombination af brugerens fornavn, mellemnavn og efternavn. |
AccountObjectId |
string |
Entydigt id for kontoen i Microsoft Entra ID |
AccountUpn |
string |
Brugerens hovednavn (UPN) for kontoen |
IsExternalUser |
int |
Angiver, om den bruger, der er logget på, er ekstern. Mulige værdier: -1 (ikke angivet), 0 (ikke ekstern), 1 (ekstern). |
IsGuestUser |
boolean |
Angiver, om den bruger, der er logget på, er gæst i lejeren |
AlternateSignInName |
string |
UPN (On-Premises User Principal Name) for den bruger, der logger på Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Dato og klokkeslæt for seneste ændring af adgangskoden for den bruger, der loggede på |
ResourceDisplayName |
string |
Vist navn på den ressource, der blev åbnet. Det viste navn kan indeholde et hvilket som helst tegn. |
ResourceId |
string |
Entydigt id for den ressource, der er adgang til |
ResourceTenantId |
string |
Entydigt id for lejeren for den ressource, der er adgang til |
DeviceName |
string |
Fuldt domænenavn (FQDN) for enheden |
AadDeviceId |
string |
Entydigt id for enheden i Microsoft Entra ID |
OSPlatform |
string |
Platform for det operativsystem, der kører på enheden. Angiver specifikke operativsystemer, herunder variationer inden for den samme familie, f.eks. Windows 11, Windows 10 og Windows 7. |
DeviceTrustType |
string |
Angiver tillidstypen for den enhed, der er logget på. Kun for administrerede enhedsscenarier. De mulige værdier er Workplace, AzureAd og ServerAd. |
IsManaged |
int |
Angiver, om den enhed, der startede logon, er en administreret enhed (1) eller ej en administreret enhed (0) |
IsCompliant |
int |
Angiver, om den enhed, der startede logon, er kompatibel (1) eller ikke-kompatibel (0) |
AuthenticationProcessingDetails |
string |
Oplysninger om godkendelsesprocessoren |
AuthenticationRequirement |
string |
Godkendelsestype, der kræves til logon. Mulige værdier: multiFactorAuthentication (MFA var påkrævet) og singleFactorAuthentication (der kræves ingen MFA). |
TokenIssuerType |
int |
Angiver, om tokenudstederen er Microsoft Entra ID (0) eller Active Directory Federation Services (1) |
RiskLevelAggregated |
int |
Samlet risikoniveau under logon. Mulige værdier: 0 (samlet risikoniveau er ikke angivet), 1 (ingen), 10 (lav), 50 (mellem) eller 100 (høj). |
RiskDetails |
int |
Oplysninger om den risikable tilstand for den bruger, der er logget på |
RiskState |
int |
Angiver risikable brugertilstand. Mulige værdier: 0 (ingen), 1 (bekræftet sikker), 2 (afhjælpet), 3 (afvist), 4 (i fare) eller 5 (bekræftet kompromitteret). |
UserAgent |
string |
Brugeragentoplysninger fra webbrowseren eller et andet klientprogram |
ClientAppUsed |
string |
Angiver den anvendte klientapp |
Browser |
string |
Oplysninger om den version af browseren, der bruges til at logge på |
ConditionalAccessPolicies |
string |
Oplysninger om de politikker for betinget adgang, der anvendes på logonhændelsen |
ConditionalAccessStatus |
int |
Status for de politikker for betinget adgang, der er anvendt på logon. De mulige værdier er 0 (anvendte politikker), 1 (forsøg på at anvende politikker mislykkedes) eller 2 (politikkerne er ikke anvendt). |
IPAddress |
string |
IP-adresse, der tildeles til enheden under kommunikation |
Country |
string |
Kode på to bogstaver, der angiver det land/område, hvor klientens IP-adresse er geolokaliseret |
State |
string |
Angiv, hvor logon fandt sted, hvis det er muligt |
City |
string |
By, hvor kontobrugeren er placeret |
Latitude |
string |
Koordinaterne nord til syd for logonplaceringen |
Longitude |
string |
Koordinaterne fra øst til vest for logonplaceringen |
NetworkLocationDetails |
string |
Oplysninger om netværksplacering for godkendelsesbehandleren for logonhændelsen |
RequestId |
string |
Entydigt id for anmodningen |
ReportId |
string |
Entydigt id for hændelsen |
Relaterede artikler
- AADSpnSignInEventsBeta
- Oversigt over avanceret jagt
- Få mere at vide om forespørgselssproget
- Forstå skemaet
Tip
Vil du vide mere? Kontakt Microsoft Security-community'et i vores Tech Community: Microsoft Defender XDR Tech Community.