AADSignInEventsBeta
적용 대상:
- Microsoft Defender XDR
중요
테이블은 AADSignInEventsBeta 현재 베타 버전이며 Microsoft Entra 로그인 이벤트를 헌팅할 수 있도록 단기간에 제공됩니다. 고객은 이 테이블에 대한 활동을 수집하고 보려면 Microsoft Entra ID P2 라이선스가 있어야 합니다. 모든 로그인 스키마 정보는 결국 테이블로 IdentityLogonEvents 이동합니다.
고급 헌팅 스키마의 테이블에는 AADSignInEventsBeta Microsoft Entra 대화형 및 비대화형 로그인에 대한 정보가 포함되어 있습니다. Microsoft Entra 로그인 활동 보고서 - 미리 보기의 로그인에 대해 자세히 알아봅니다.
이 참조를 사용하여 표의 정보를 반환하는 쿼리를 생성합니다. 고급 헌팅 스키마의 다른 테이블에 대한 자세한 내용은 고급 헌팅 참조를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
Application |
string |
기록된 작업을 수행한 애플리케이션 |
ApplicationId |
string |
애플리케이션의 고유 식별자 |
LogonType |
string |
로그온 세션 유형, 특히 대화형, RDP(원격 대화형), 네트워크, 일괄 처리 및 서비스 |
ErrorCode |
int |
로그인 오류가 발생하는 경우 오류 코드를 포함합니다. 특정 오류 코드에 대한 설명을 찾으려면 를 방문하세요 https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
로그인 이벤트의 고유 식별자 |
SessionId |
string |
방문 또는 세션 기간 동안 웹 사이트의 서버에서 사용자에게 할당한 고유 번호 |
AccountDisplayName |
string |
계정 사용자의 주소록 항목에 표시되는 이름입니다. 이는 일반적으로 사용자의 지정된 이름, 중간 이니셜 및 성을 조합한 것입니다. |
AccountObjectId |
string |
Microsoft Entra ID 계정의 고유 식별자 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
IsExternalUser |
int |
로그인한 사용자가 외부인지를 나타냅니다. 가능한 값: -1(설정되지 않음), 0(외부 아님), 1(외부) |
IsGuestUser |
boolean |
로그인한 사용자가 테넌트에서 게스트인지 여부를 나타냅니다. |
AlternateSignInName |
string |
Microsoft Entra ID 로그인하는 사용자의 온-프레미스 UPN(사용자 계정 이름) |
LastPasswordChangeTimestamp |
datetime |
마지막으로 로그인한 사용자가 암호를 변경한 날짜 및 시간 |
ResourceDisplayName |
string |
액세스한 리소스의 표시 이름입니다. 표시 이름에는 모든 문자가 포함될 수 있습니다. |
ResourceId |
string |
액세스된 리소스의 고유 식별자 |
ResourceTenantId |
string |
액세스한 리소스의 테넌트 고유 식별자 |
DeviceName |
string |
디바이스의 FQDN(정규화된 도메인 이름) |
AadDeviceId |
string |
Microsoft Entra ID 디바이스의 고유 식별자 |
OSPlatform |
string |
디바이스에서 실행되는 운영 체제의 플랫폼입니다. Windows 11, Windows 10 및 Windows 7과 같은 동일한 제품군 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
DeviceTrustType |
string |
로그인한 디바이스의 신뢰 유형을 나타냅니다. 관리되는 디바이스 시나리오에만 해당합니다. 가능한 값은 Workplace, AzureAd 및 ServerAd입니다. |
IsManaged |
int |
로그인을 시작한 디바이스가 관리 디바이스인지(1) 관리 디바이스인지 여부를 나타냅니다(0). |
IsCompliant |
int |
로그인을 시작한 디바이스가 규격(1) 또는 비준수(0)인지 여부를 나타냅니다. |
AuthenticationProcessingDetails |
string |
인증 프로세서에 대한 세부 정보 |
AuthenticationRequirement |
string |
로그인에 필요한 인증 유형입니다. 가능한 값: multiFactorAuthentication(MFA 필요) 및 singleFactorAuthentication(MFA 필요 없음). |
TokenIssuerType |
int |
토큰 발급자를 Microsoft Entra ID(0) 또는 Active Directory Federation Services(1)인지를 나타냅니다. |
RiskLevelAggregated |
int |
로그인하는 동안 집계된 위험 수준입니다. 가능한 값: 0(집계된 위험 수준이 설정되지 않음), 1(없음), 10(낮음), 50(중간) 또는 100(높음)입니다. |
RiskDetails |
int |
로그인한 사용자의 위험한 상태에 대한 세부 정보 |
RiskState |
int |
위험한 사용자 상태를 나타냅니다. 가능한 값: 0(없음), 1(확인된 안전), 2(수정됨), 3(해제됨), 4(위험) 또는 5(손상된 것으로 확인됨). |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 애플리케이션의 사용자 에이전트 정보 |
ClientAppUsed |
string |
사용된 클라이언트 앱을 나타냅니다. |
Browser |
string |
로그인하는 데 사용되는 브라우저 버전에 대한 세부 정보 |
ConditionalAccessPolicies |
string |
로그인 이벤트에 적용되는 조건부 액세스 정책의 세부 정보 |
ConditionalAccessStatus |
int |
로그인에 적용된 조건부 액세스 정책의 상태입니다. 가능한 값은 0(정책 적용), 1(정책 적용 실패) 또는 2(정책이 적용되지 않음)입니다. |
IPAddress |
string |
통신 중에 디바이스에 할당된 IP 주소 |
Country |
string |
클라이언트 IP 주소의 지리적 위치가 지정된 국가/지역을 나타내는 두 글자 코드 |
State |
string |
로그인이 발생한 상태(사용 가능한 경우) |
City |
string |
계정 사용자가 있는 도시 |
Latitude |
string |
로그인 위치의 북쪽에서 남쪽 좌표 |
Longitude |
string |
로그인 위치의 동쪽에서 서쪽 좌표 |
NetworkLocationDetails |
string |
로그인 이벤트의 인증 프로세서에 대한 네트워크 위치 세부 정보 |
RequestId |
string |
요청의 고유 식별자 |
ReportId |
string |
이벤트에 대한 고유 식별자 |
관련 문서
팁
더 자세히 알아보고 싶으신가요? 기술 커뮤니티: Microsoft Defender XDR Tech Community의 Microsoft 보안 커뮤니티와 Engage.