AADSignInEventsBeta
Se aplica a:
- Microsoft Defender XDR
Importante
La AADSignInEventsBeta
tabla está actualmente en versión beta y se ofrece a corto plazo para permitirle buscar Microsoft Entra eventos de inicio de sesión. Los clientes deben tener una licencia Microsoft Entra ID P2 para recopilar y ver las actividades de esta tabla. Toda la información del esquema de inicio de sesión se moverá finalmente a la IdentityLogonEvents
tabla.
La AADSignInEventsBeta
tabla del esquema de búsqueda avanzada contiene información sobre Microsoft Entra inicios de sesión interactivos y no interactivos. Obtenga más información sobre los inicios de sesión en Microsoft Entra informes de actividad de inicio de sesión: versión preliminar.
Use esta referencia para crear consultas que devuelvan información de la tabla. Para obtener información sobre otras tablas del esquema de búsqueda avanzada, consulte la referencia de búsqueda avanzada.
Nombre de columna | Tipo de datos | Descripción |
---|---|---|
Timestamp |
datetime |
Fecha y hora en que se generó el registro |
Application |
string |
Aplicación que realizó la acción registrada |
ApplicationId |
string |
Identificador único de la aplicación |
LogonType |
string |
Tipo de sesión de inicio de sesión, específicamente interactiva, remota interactiva (RDP), red, lote y servicio |
ErrorCode |
int |
Contiene el código de error si se produce un error de inicio de sesión. Para encontrar una descripción de un código de error específico, visite https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Identificador único del evento de inicio de sesión |
SessionId |
string |
Número único asignado a un usuario por el servidor de un sitio web durante la visita o sesión |
AccountDisplayName |
string |
Nombre que se muestra en la entrada de la libreta de direcciones del usuario de la cuenta. Por lo general, se trata de una combinación del nombre, la inicial intermedia y el apellido del usuario. |
AccountObjectId |
string |
Identificador único de la cuenta en Microsoft Entra ID |
AccountUpn |
string |
Nombre principal de usuario (UPN) de la cuenta |
IsExternalUser |
int |
Indica si el usuario que inició sesión es externo. Valores posibles: -1 (no establecido), 0 (no externo), 1 (externo). |
IsGuestUser |
boolean |
Indica si el usuario que inició sesión es un invitado en el inquilino. |
AlternateSignInName |
string |
Nombre principal de usuario local (UPN) del usuario que inicia sesión en Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Fecha y hora en que el usuario que inició sesión cambió por última vez su contraseña |
ResourceDisplayName |
string |
Nombre para mostrar del recurso al que se accede. El nombre para mostrar puede contener cualquier carácter. |
ResourceId |
string |
Identificador único del recurso al que se accede |
ResourceTenantId |
string |
Identificador único del inquilino del recurso al que se accede |
DeviceName |
string |
Nombre de dominio completo (FQDN) del dispositivo |
AadDeviceId |
string |
Identificador único del dispositivo en Microsoft Entra ID |
OSPlatform |
string |
Plataforma del sistema operativo que se ejecuta en el dispositivo. Indica sistemas operativos específicos, incluidas las variaciones dentro de la misma familia, como Windows 11, Windows 10 y Windows 7. |
DeviceTrustType |
string |
Indica el tipo de confianza del dispositivo que inició sesión. Solo para escenarios de dispositivos administrados. Los valores posibles son Workplace, AzureAd y ServerAd. |
IsManaged |
int |
Indica si el dispositivo que inició el inicio de sesión es un dispositivo administrado (1) o no un dispositivo administrado (0) |
IsCompliant |
int |
Indica si el dispositivo que inició el inicio de sesión es compatible (1) o no compatible (0) |
AuthenticationProcessingDetails |
string |
Detalles sobre el procesador de autenticación |
AuthenticationRequirement |
string |
Tipo de autenticación necesaria para el inicio de sesión. Valores posibles: multiFactorAuthentication (se requiere MFA) y singleFactorAuthentication (no se requiere MFA). |
TokenIssuerType |
int |
Indica si el emisor del token es Microsoft Entra ID (0) o Servicios de federación de Active Directory (AD FS) (1) |
RiskLevelAggregated |
int |
Nivel de riesgo agregado durante el inicio de sesión. Valores posibles: 0 (nivel de riesgo agregado no establecido), 1 (ninguno), 10 (bajo), 50 (medio) o 100 (alto). |
RiskDetails |
int |
Detalles sobre el estado de riesgo del usuario que inició sesión |
RiskState |
int |
Indica el estado de usuario de riesgo. Valores posibles: 0 (ninguno), 1 (seguro confirmado), 2 (corregido), 3 (descartado), 4 (en riesgo) o 5 (confirmado en peligro). |
UserAgent |
string |
Información del agente de usuario desde el explorador web u otra aplicación cliente |
ClientAppUsed |
string |
Indica la aplicación cliente usada |
Browser |
string |
Detalles sobre la versión del explorador que se usa para iniciar sesión |
ConditionalAccessPolicies |
string |
Detalles de las directivas de acceso condicional aplicadas al evento de inicio de sesión |
ConditionalAccessStatus |
int |
Estado de las directivas de acceso condicional aplicadas al inicio de sesión. Los valores posibles son 0 (directivas aplicadas), 1 (error al intentar aplicar directivas) o 2 (directivas no aplicadas). |
IPAddress |
string |
Dirección IP asignada al dispositivo durante la comunicación |
Country |
string |
Código de dos letras que indica el país o región donde la dirección IP del cliente está geolocalizada |
State |
string |
Estado en el que se produjo el inicio de sesión, si está disponible |
City |
string |
Ciudad donde se encuentra el usuario de la cuenta |
Latitude |
string |
Coordenadas de norte a sur de la ubicación de inicio de sesión |
Longitude |
string |
Coordenadas de este a oeste de la ubicación de inicio de sesión |
NetworkLocationDetails |
string |
Detalles de la ubicación de red del procesador de autenticación del evento de inicio de sesión |
RequestId |
string |
Identificador único de la solicitud |
ReportId |
string |
Identificador único del evento |
Artículos relacionados
- AADSpnSignInEventsBeta
- Información general sobre la búsqueda avanzada de amenazas
- Aprender el lenguaje de consulta
- Entender el esquema
Sugerencia
¿Desea obtener más información? Engage con la comunidad de seguridad de Microsoft en nuestra comunidad tecnológica: Microsoft Defender XDR Tech Community.