AADSignInEventsBeta
Koskee seuraavia:
- Microsoft Defender XDR
Tärkeää
Taulukko AADSignInEventsBeta on tällä hetkellä beetatilassa, ja sitä tarjotaan lyhyellä aikavälillä, jotta voit metsästää Microsoft Entra kirjautumistapahtumia. Asiakkailla on oltava Microsoft Entra ID P2 -käyttöoikeus, jotta he voivat kerätä ja tarkastella tämän taulukon toimintoja. Kaikki kirjautumisrakenteen tiedot siirtyvät lopulta taulukkoon IdentityLogonEvents .
AADSignInEventsBeta Kehittyneen metsästysrakenteen taulukko sisältää tietoja vuorovaikutteisten ja ei-vuorovaikutteisten Microsoft Entra kirjautumisista. Lisätietoja kirjautumisista Microsoft Entra kirjautumistoimintaraportteihin – esikatselu.
Tämän viittauksen avulla voit muodostaa kyselyitä, jotka palauttavat tietoja taulukosta. Lisätietoja muista metsästysrakenteen taulukoista on tarkennetun metsästysohjeen kohdassa.
| Sarakkeen nimi | Tietotyyppi | Kuvaus |
|---|---|---|
Timestamp |
datetime |
Päivämäärä ja kellonaika, jolloin tietue luotiin |
Application |
string |
Sovellus, joka suoritti tallennetun toiminnon |
ApplicationId |
string |
Sovelluksen yksilöllinen tunnus |
LogonType |
string |
Erityisesti vuorovaikutteinen kirjautumisistuntotyyppi, etä interaktiivinen (RDP), verkko, erä ja palvelu |
ErrorCode |
int |
Sisältää virhekoodin, jos kirjautumisvirhe ilmenee. Jos haluat nähdä tietyn virhekoodin kuvauksen, siirry kohtaan https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Kirjautumistapahtuman yksilöllinen tunnus |
SessionId |
string |
Yksilöllinen numero, jonka sivuston palvelin on määrittänyt käyttäjälle vierailun tai istunnon ajaksi |
AccountDisplayName |
string |
Nimi, joka näkyy tilin käyttäjän osoitteistomerkinnässä. Tämä on yleensä käyttäjän etunimen, keskimmäisen alkukirjaimen ja sukunimen yhdistelmä. |
AccountObjectId |
string |
Tilin yksilöllinen tunnus Microsoft Entra ID |
AccountUpn |
string |
Tilin täydellinen käyttäjätunnus (UPN) |
IsExternalUser |
int |
Ilmaisee, onko kirjautunut käyttäjä ulkoinen. Mahdolliset arvot: -1 (ei asetettu), 0 (ei ulkoinen), 1 (ulkoinen). |
IsGuestUser |
boolean |
Ilmaisee, onko kirjautunut käyttäjä vuokraajan vieras |
AlternateSignInName |
string |
Microsoft Entra ID kirjautuvan käyttäjän paikallinen täydellinen käyttäjänimi (UPN) |
LastPasswordChangeTimestamp |
datetime |
Päivämäärä ja kellonaika, jolloin kirjautunut käyttäjä on viimeksi vaihtanut salasanansa |
ResourceDisplayName |
string |
Valitun resurssin näyttönimi. Näyttönimi voi sisältää minkä tahansa merkin. |
ResourceId |
string |
Sen resurssin yksilöllinen tunnus, jota käytetään |
ResourceTenantId |
string |
Sen resurssin vuokraajan yksilöllinen tunnus, jota käytetään |
DeviceName |
string |
Laitteen täydellinen toimialuenimi (FQDN) |
AadDeviceId |
string |
Laitteen yksilöllinen tunniste kohteessa Microsoft Entra ID |
OSPlatform |
string |
Laitteessa käynnissä olevan käyttöjärjestelmän käyttöympäristö. Ilmaisee tietyt käyttöjärjestelmät, mukaan lukien samassa perheessä olevat variaatiot, kuten Windows 11, Windows 10 ja Windows 7. |
DeviceTrustType |
string |
Ilmaisee sisäänkirjautuneen laitteen luottamustyypin. Vain hallittujen laitteiden skenaarioissa. Mahdollisia arvoja ovat Workplace, AzureAd ja ServerAd. |
IsManaged |
int |
Ilmaisee, onko sisäänkirjautumisen käynnistänyt laite hallittu laite (1) vai ei hallittu laite (0) |
IsCompliant |
int |
Ilmaisee, onko sisäänkirjautumisen käynnistänyt laite yhteensopiva (1) vai yhteensopimaton (0) |
AuthenticationProcessingDetails |
string |
Todennuksen suoritinta koskevat tiedot |
AuthenticationRequirement |
string |
Kirjautumisen edellyttämä todennustyyppi. Mahdolliset arvot: multiFactorAuthentication (MFA oli pakollinen) ja singleFactorAuthentication (MFA ei ollut pakollinen). |
TokenIssuerType |
int |
Ilmaisee, onko tunnuksen myöntäjä Microsoft Entra ID (0) vai Active Directory -liittoutumispalvelut (1) |
RiskLevelAggregated |
int |
Koostettu riskitaso sisäänkirjautumisen aikana. Mahdolliset arvot: 0 (koosteriskitasoa ei ole määritetty), 1 (ei mitään), 10 (pieni), 50 (keskitaso) tai 100 (suuri). |
RiskDetails |
int |
Tietoja sisäänkirjautuneen käyttäjän riskialttiista tilasta |
RiskState |
int |
Ilmaisee riskialttiita käyttäjätilaa. Mahdolliset arvot: 0 (ei mitään), 1 (vahvistettu turvallinen), 2 (korjataan), 3 (hylätty), 4 (vaarassa) tai 5 (vahvistettu vaarantunut). |
UserAgent |
string |
Käyttäjäagentin tiedot selaimesta tai muusta asiakassovelluksesta |
ClientAppUsed |
string |
Ilmaisee käytetyn asiakassovelluksen |
Browser |
string |
Tietoja sisäänkirjautumiseen käytetystä selaimen versiosta |
ConditionalAccessPolicies |
string |
Kirjautumistapahtumaan käytettyjen ehdollisten käyttöoikeuskäytäntöjen tiedot |
ConditionalAccessStatus |
int |
Kirjautumisessa käytettyjen ehdollisten käyttöoikeuskäytäntöjen tila. Mahdollisia arvoja ovat 0 (käytännöt käytössä), 1 (käytäntöjen käyttöönottoyritys epäonnistui) tai 2 (käytäntöjä ei käytetä). |
IPAddress |
string |
Laitteelle tietoliikenteen aikana määritetty IP-osoite |
Country |
string |
Kaksikirjaiminen koodi, joka ilmaisee maan tai alueen, jossa asiakkaan IP-osoite on maantieteellisesti |
State |
string |
Tila, jossa sisäänkirjautuminen tapahtui, jos käytettävissä |
City |
string |
Kaupunki, jossa tilin käyttäjä sijaitsee |
Latitude |
string |
Kirjautumispaikan pohjoisesta etelään koordinaatit |
Longitude |
string |
Kirjautumispaikan itä-länsi-koordinaatit |
NetworkLocationDetails |
string |
Kirjautumistapahtuman todennussuorittimen verkkosijainnin tiedot |
RequestId |
string |
Pyynnön yksilöllinen tunnus |
ReportId |
string |
Tapahtuman yksilöllinen tunnus |
Aiheeseen liittyviä artikkeleita
Vihje
Haluatko tietää lisää? Ota yhteyttä Microsoft Security -yhteisöön Tech Community -yhteisössä: Microsoft Defender XDR Tech Community.