Udostępnij za pośrednictwem


AADSignInEventsBeta

Dotyczy:

  • Microsoft Defender XDR

Ważna

Tabela AADSignInEventsBeta jest obecnie w wersji beta i jest oferowana krótkoterminowo, aby umożliwić wyszukiwanie Microsoft Entra zdarzeń logowania. Klienci muszą mieć licencję Tożsamość Microsoft Entra P2, aby zbierać i wyświetlać działania dla tej tabeli. Wszystkie informacje o schemacie logowania zostaną ostatecznie przeniesione do IdentityLogonEvents tabeli.

Tabela AADSignInEventsBeta w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o Microsoft Entra interaktywnych i nieinterakcyjnych logowaniach. Dowiedz się więcej o logowaniach w Microsoft Entra raportach aktywności logowania — wersja zapoznawcza.

To odwołanie służy do konstruowania zapytań, które zwracają informacje z tabeli. Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.



Nazwa kolumny Typ danych Opis
Timestamp datetime Data i godzina wygenerowania rekordu
Application string Aplikacja, która wykonała zarejestrowaną akcję
ApplicationId string Unikatowy identyfikator aplikacji
LogonType string Typ sesji logowania, w szczególności interakcyjny, zdalny interakcyjny (RDP), sieć, partia i usługa
ErrorCode int Zawiera kod błędu w przypadku wystąpienia błędu logowania. Aby znaleźć opis określonego kodu błędu, odwiedź stronę https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Unikatowy identyfikator zdarzenia logowania
SessionId string Unikatowy numer przypisany użytkownikowi przez serwer witryny internetowej na czas trwania wizyty lub sesji
AccountDisplayName string Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika.
AccountObjectId string Unikatowy identyfikator konta w Tożsamość Microsoft Entra
AccountUpn string Główna nazwa użytkownika (UPN) konta
IsExternalUser int Wskazuje, czy zalogowany użytkownik jest zewnętrzny. Możliwe wartości: -1 (nie ustawiono), 0 (nie zewnętrzne), 1 (zewnętrzne).
IsGuestUser boolean Wskazuje, czy zalogowany użytkownik jest gościem w dzierżawie
AlternateSignInName string Główna nazwa użytkownika lokalnego (UPN) użytkownika logującego się do Tożsamość Microsoft Entra
LastPasswordChangeTimestamp datetime Data i godzina ostatniej zmiany hasła przez użytkownika zalogowanego
ResourceDisplayName string Nazwa wyświetlana zasobu, do którego uzyskano dostęp. Nazwa wyświetlana może zawierać dowolny znak.
ResourceId string Unikatowy identyfikator zasobu, do których uzyskano dostęp
ResourceTenantId string Unikatowy identyfikator dzierżawy zasobu, do których uzyskano dostęp
DeviceName string W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
AadDeviceId string Unikatowy identyfikator urządzenia w Tożsamość Microsoft Entra
OSPlatform string Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7.
DeviceTrustType string Wskazuje typ zaufania urządzenia, które się zalogowało. Tylko w przypadku scenariuszy urządzeń zarządzanych. Możliwe wartości to Workplace, AzureAd i ServerAd.
IsManaged int Wskazuje, czy urządzenie, które zainicjowało logowanie, jest urządzeniem zarządzanym (1), czy nie urządzeniem zarządzanym (0)
IsCompliant int Wskazuje, czy urządzenie, które zainicjowało logowanie, jest zgodne (1) czy niezgodne (0)
AuthenticationProcessingDetails string Szczegóły dotyczące procesora uwierzytelniania
AuthenticationRequirement string Typ uwierzytelniania wymagany do logowania. Możliwe wartości: multiFactorAuthentication (MFA był wymagany) i singleFactorAuthentication (nie było wymagane uwierzytelnianie wieloskładnikowe).
TokenIssuerType int Wskazuje, czy wystawca tokenu jest Tożsamość Microsoft Entra (0) lub Active Directory Federation Services (1)
RiskLevelAggregated int Poziom ryzyka zagregowanego podczas logowania. Możliwe wartości: 0 (nie ustawiono zagregowanego poziomu ryzyka), 1 (brak), 10 (niski), 50 (średni) lub 100 (wysoki).
RiskDetails int Szczegóły dotyczące ryzykownego stanu zalogowanego użytkownika
RiskState int Wskazuje ryzykowny stan użytkownika. Możliwe wartości: 0 (brak), 1 (potwierdzone bezpieczne), 2 (skorygowane), 3 (odrzucone), 4 (zagrożone) lub 5 (potwierdzone naruszone).
UserAgent string Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej
ClientAppUsed string Wskazuje używaną aplikację kliencką
Browser string Szczegóły dotyczące wersji przeglądarki używanej do logowania
ConditionalAccessPolicies string Szczegóły zasad dostępu warunkowego stosowanych do zdarzenia logowania
ConditionalAccessStatus int Stan zasad dostępu warunkowego stosowanych do logowania. Możliwe wartości to 0 (zastosowane zasady), 1 (próba zastosowania zasad nie powiodła się) lub 2 (zasady nie są stosowane).
IPAddress string Adres IP przypisany do urządzenia podczas komunikacji
Country string Dwuliterowy kod wskazujący kraj/region, w którym adres IP klienta jest geolokalizowany
State string Stan, w którym nastąpiło logowanie, jeśli jest dostępny
City string Miasto, w którym znajduje się użytkownik konta
Latitude string Współrzędne północ-południe lokalizacji logowania
Longitude string Współrzędne ze wschodu na zachód lokalizacji logowania
NetworkLocationDetails string Szczegóły lokalizacji sieciowej procesora uwierzytelniania zdarzenia logowania
RequestId string Unikatowy identyfikator żądania
ReportId string Unikatowy identyfikator zdarzenia

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.