AADSignInEventsBeta
Érintett szolgáltatás:
- Microsoft Defender XDR
Fontos
A AADSignInEventsBeta
tábla jelenleg bétaverzióban érhető el, és rövid távon kínáljuk, hogy Microsoft Entra bejelentkezési eseményeken keresztül lehessen vadászni. Az ügyfeleknek Microsoft Entra ID P2 licenccel kell rendelkezniük a tábla tevékenységeinek gyűjtéséhez és megtekintéséhez. A bejelentkezési séma összes információja végül a IdentityLogonEvents
táblába kerül.
A AADSignInEventsBeta
speciális veszélyforrás-keresési séma táblázata Microsoft Entra interaktív és nem interaktív bejelentkezésekről tartalmaz információkat. További információ a bejelentkezésekről Microsoft Entra bejelentkezési tevékenységjelentésekben – előzetes verzió.
Ezzel a hivatkozással olyan lekérdezéseket hozhat létre, amelyek információkat adnak vissza a táblából. A speciális veszélyforrás-keresési séma más tábláiról a speciális veszélyforrás-kereséssel kapcsolatos referenciában talál további információt.
Oszlopnév | Adattípus | Leírás |
---|---|---|
Timestamp |
datetime |
A rekord létrehozásának dátuma és időpontja |
Application |
string |
A rögzített műveletet végrehajtó alkalmazás |
ApplicationId |
string |
Az alkalmazás egyedi azonosítója |
LogonType |
string |
Bejelentkezési munkamenet típusa, konkrétan interaktív, távoli interaktív (RDP), hálózat, köteg és szolgáltatás |
ErrorCode |
int |
Bejelentkezési hiba esetén a hibakódot tartalmazza. Egy adott hibakód leírásának megkereséséhez látogasson el a webhelyre https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
A bejelentkezési esemény egyedi azonosítója |
SessionId |
string |
A webhely kiszolgálója által a felhasználóhoz rendelt egyedi szám a látogatás vagy munkamenet időtartamára |
AccountDisplayName |
string |
A fiókfelhasználó címjegyzék-bejegyzésében megjelenített név. Ez általában a felhasználó utóneve, középső monogramja és vezetékneve. |
AccountObjectId |
string |
A fiók egyedi azonosítója a Microsoft Entra ID |
AccountUpn |
string |
A fiók egyszerű felhasználóneve (UPN) |
IsExternalUser |
int |
Azt jelzi, hogy a bejelentkezett felhasználó külső-e. Lehetséges értékek: -1 (nincs beállítva), 0 (nem külső), 1 (külső). |
IsGuestUser |
boolean |
Azt jelzi, hogy a bejelentkezett felhasználó vendég-e a bérlőben |
AlternateSignInName |
string |
A Microsoft Entra ID-be bejelentkező felhasználó helyszíni egyszerű felhasználóneve (UPN) |
LastPasswordChangeTimestamp |
datetime |
A legutóbb bejelentkezett felhasználó jelszavának módosításának dátuma és időpontja |
ResourceDisplayName |
string |
A megnyitott erőforrás megjelenítendő neve. A megjelenítendő név bármilyen karaktert tartalmazhat. |
ResourceId |
string |
A hozzáfért erőforrás egyedi azonosítója |
ResourceTenantId |
string |
Az elért erőforrás bérlőjének egyedi azonosítója |
DeviceName |
string |
Az eszköz teljes tartományneve (FQDN) |
AadDeviceId |
string |
Az eszköz egyedi azonosítója a Microsoft Entra ID |
OSPlatform |
string |
Az eszközön futó operációs rendszer platformja. Adott operációs rendszereket jelez, beleértve az ugyanazon családon belüli változatokat, például a Windows 11, a Windows 10 és a Windows 7-et. |
DeviceTrustType |
string |
A bejelentkezett eszköz megbízhatósági típusát jelzi. Csak felügyelt eszközök esetén. Lehetséges értékek: Workplace, AzureAd és ServerAd. |
IsManaged |
int |
Azt jelzi, hogy a bejelentkezést kezdeményező eszköz felügyelt eszköz-e (1) vagy nem felügyelt eszköz (0) |
IsCompliant |
int |
Azt jelzi, hogy a bejelentkezést kezdeményező eszköz megfelelő-e (1) vagy nem megfelelő (0) |
AuthenticationProcessingDetails |
string |
A hitelesítési feldolgozó részletei |
AuthenticationRequirement |
string |
A bejelentkezéshez szükséges hitelesítés típusa. Lehetséges értékek: multiFactorAuthentication (MFA szükséges) és singleFactorAuthentication (nem volt szükség MFA-ra). |
TokenIssuerType |
int |
Azt jelzi, hogy a tokenkibocsátó Microsoft Entra ID (0) vagy Active Directory összevonási szolgáltatások (AD FS) (1) |
RiskLevelAggregated |
int |
Összesített kockázati szint bejelentkezéskor. Lehetséges értékek: 0 (összesített kockázati szint nincs beállítva), 1 (nincs), 10 (alacsony), 50 (közepes) vagy 100 (magas). |
RiskDetails |
int |
A bejelentkezett felhasználó kockázatos állapotának részletei |
RiskState |
int |
Kockázatos felhasználói állapotot jelez. Lehetséges értékek: 0 (nincs), 1 (biztonságosan megerősítve), 2 (szervizelt), 3 (elvetve), 4 (veszélyeztetett) vagy 5 (megerősítetten sérült). |
UserAgent |
string |
A böngészőből vagy más ügyfélalkalmazásból származó felhasználói ügynök adatai |
ClientAppUsed |
string |
A használt ügyfélalkalmazást jelzi |
Browser |
string |
A bejelentkezéshez használt böngésző verziójának részletei |
ConditionalAccessPolicies |
string |
A bejelentkezési eseményre alkalmazott feltételes hozzáférési szabályzatok részletei |
ConditionalAccessStatus |
int |
A bejelentkezésre alkalmazott feltételes hozzáférési szabályzatok állapota. Lehetséges értékek: 0 (alkalmazott szabályzatok), 1 (a szabályzatok alkalmazásának kísérlete sikertelen volt) vagy 2 (a szabályzatok nincsenek alkalmazva). |
IPAddress |
string |
Az eszközhöz a kommunikáció során hozzárendelt IP-cím |
Country |
string |
Kétbetűs kód, amely azt az országot/régiót jelzi, ahol az ügyfél IP-címe földrajzilag van elhelyezve |
State |
string |
A bejelentkezés helyszínének állapota, ha elérhető |
City |
string |
Város, ahol a fiókfelhasználó található |
Latitude |
string |
A bejelentkezési hely északi és déli koordinátái |
Longitude |
string |
A bejelentkezési hely keleti és nyugati koordinátái |
NetworkLocationDetails |
string |
A bejelentkezési esemény hitelesítési feldolgozójának hálózati helyadatai |
RequestId |
string |
A kérelem egyedi azonosítója |
ReportId |
string |
Az esemény egyedi azonosítója |
Kapcsolódó cikkek
- AADSpnSignInEventsBeta
- Speciális veszélyforrás-keresés áttekintése
- Lekérdezés nyelvének megismerése
- A séma értelmezése
Tipp
Szeretne többet megtudni? Lépjen kapcsolatba a Microsoft biztonsági közösségével a technikai közösségünkben: Microsoft Defender XDR Tech Community.