AADSignInEventsBeta
Gjelder for:
- Microsoft Defender XDR
Viktig
Tabellen AADSignInEventsBeta er for øyeblikket i betaversjon og tilbys på kort sikt, slik at du kan lete gjennom Microsoft Entra påloggingshendelser. Kunder må ha en Microsoft Entra ID P2-lisens for å samle inn og vise aktiviteter for denne tabellen. All påloggingsskjemainformasjon flyttes IdentityLogonEvents til tabellen etter hvert.
Tabellen AADSignInEventsBeta i det avanserte jaktskjemaet inneholder informasjon om Microsoft Entra interaktive og ikke-interaktive pålogginger. Mer informasjon om pålogginger Microsoft Entra aktivitetsrapporter for pålogging – forhåndsversjon.
Bruk denne referansen til å konstruere spørringer som returnerer informasjon fra tabellen. Hvis du vil ha informasjon om andre tabeller i skjemaet for avansert jakt, kan du se referansen for avansert jakt.
| Kolonnenavn | Datatype | Beskrivelse |
|---|---|---|
Timestamp |
datetime |
Dato og klokkeslett da posten ble generert |
Application |
string |
Program som utførte den registrerte handlingen |
ApplicationId |
string |
Unik identifikator for programmet |
LogonType |
string |
Type påloggingsøkt, spesielt interaktiv, ekstern interaktiv (RDP), nettverk, gruppe og tjeneste |
ErrorCode |
int |
Inneholder feilkoden hvis det oppstår en påloggingsfeil. Hvis du vil finne en beskrivelse av en bestemt feilkode, kan du gå til https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Unik identifikator for påloggingshendelsen |
SessionId |
string |
Unikt nummer tilordnet til en bruker av et nettsteds server så lenge besøket eller økten varer |
AccountDisplayName |
string |
Navnet som vises i adressebokoppføringen for kontobrukeren. Dette er vanligvis en kombinasjon av navnet, mellomstarten og etternavnet til brukeren. |
AccountObjectId |
string |
Unik identifikator for kontoen i Microsoft Entra ID |
AccountUpn |
string |
Brukerhovednavn (UPN) for kontoen |
IsExternalUser |
int |
Angir om brukeren som logget på, er ekstern. Mulige verdier: -1 (ikke angitt), 0 (ikke ekstern), 1 (ekstern). |
IsGuestUser |
boolean |
Angir om brukeren som logget på, er gjest i leieren |
AlternateSignInName |
string |
Lokalt brukerhovednavn (UPN) for brukeren som logger på Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Dato og klokkeslett da brukeren som logget på sist endret passordet |
ResourceDisplayName |
string |
Visningsnavn for ressursen som er åpnet. Visningsnavnet kan inneholde et hvilket som helst tegn. |
ResourceId |
string |
Unik identifikator for ressursen som er åpnet |
ResourceTenantId |
string |
Unik identifikator for leieren til ressursen som er åpnet |
DeviceName |
string |
Fullstendig domenenavn (FQDN) på enheten |
AadDeviceId |
string |
Unik identifikator for enheten i Microsoft Entra ID |
OSPlatform |
string |
Plattformen for operativsystemet som kjører på enheten. Angir bestemte operativsystemer, inkludert variasjoner i samme familie, for eksempel Windows 11, Windows 10 og Windows 7. |
DeviceTrustType |
string |
Angir klareringstypen for enheten som er logget på. Bare for administrerte enhetsscenarioer. Mulige verdier er Workplace, AzureAd og ServerAd. |
IsManaged |
int |
Angir om enheten som startet påloggingen, er en administrert enhet (1) eller ikke en administrert enhet (0) |
IsCompliant |
int |
Angir om enheten som startet påloggingen, er kompatibel (1) eller ikke-kompatibel (0) |
AuthenticationProcessingDetails |
string |
Detaljer om godkjenningsprosessoren |
AuthenticationRequirement |
string |
Godkjenningstypen som kreves for påloggingen. Mulige verdier: multiFactorAuthentication (MFA var nødvendig) og enkelFactorAuthentication (ingen MFA var nødvendig). |
TokenIssuerType |
int |
Angir om tokenutstederen er Microsoft Entra ID (0) eller Active Directory Federation Services (1) |
RiskLevelAggregated |
int |
Aggregert risikonivå under pålogging. Mulige verdier: 0 (aggregert risikonivå ikke angitt), 1 (ingen), 10 (lav), 50 (middels) eller 100 (høy). |
RiskDetails |
int |
Detaljer om den risikable tilstanden til brukeren som logget på |
RiskState |
int |
Angir risikabel brukertilstand. Mulige verdier: 0 (ingen), 1 (bekreftet klarert), 2 (utbedret), 3 (avvist), 4 (i fare) eller 5 (bekreftet kompromittert). |
UserAgent |
string |
Brukeragentinformasjon fra nettleseren eller et annet klientprogram |
ClientAppUsed |
string |
Angir klientappen som brukes |
Browser |
string |
Detaljer om versjonen av nettleseren som brukes til å logge på |
ConditionalAccessPolicies |
string |
Detaljer om policyene for betinget tilgang som gjelder for påloggingshendelsen |
ConditionalAccessStatus |
int |
Status for policyene for betinget tilgang som brukes på påloggingen. Mulige verdier er 0 (policyer brukes), 1 (forsøk på å bruke policyer mislyktes) eller 2 (policyer brukes ikke). |
IPAddress |
string |
IP-adresse tilordnet enheten under kommunikasjon |
Country |
string |
Kode på to bokstaver som angir landet/området der klientens IP-adresse er geolokert |
State |
string |
Tilstand der påloggingen oppstod, hvis tilgjengelig |
City |
string |
Poststed der kontobrukeren befinner seg |
Latitude |
string |
Nord-til-sør-koordinatene til påloggingsstedet |
Longitude |
string |
Koordinatene fra øst til vest for påloggingsstedet |
NetworkLocationDetails |
string |
Detaljer om nettverksplassering for godkjenningsprosessoren for påloggingshendelsen |
RequestId |
string |
Unik identifikator for forespørselen |
ReportId |
string |
Unik identifikator for hendelsen |
Relaterte artikler
Tips
Vil du lære mer? Kommuniser med Microsoft Sikkerhet-fellesskapet i det tekniske fellesskapet vårt: Microsoft Defender XDR Tech Community.
Tilbakemeldinger
Kommer snart: Gjennom 2024 faser vi ut GitHub Issues som tilbakemeldingsmekanisme for innhold, og erstatter det med et nytt system for tilbakemeldinger. Hvis du vil ha mer informasjon, kan du se: https://aka.ms/ContentUserFeedback.
Send inn og vis tilbakemelding for