AADSignInEventsBeta
Dotyczy:
- Microsoft Defender XDR
Ważna
Tabela AADSignInEventsBeta jest obecnie w wersji beta i jest oferowana krótkoterminowo, aby umożliwić wyszukiwanie Microsoft Entra zdarzeń logowania. Klienci muszą mieć licencję Tożsamość Microsoft Entra P2, aby zbierać i wyświetlać działania dla tej tabeli. Wszystkie informacje o schemacie logowania zostaną ostatecznie przeniesione do IdentityLogonEvents tabeli.
Tabela AADSignInEventsBeta w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o Microsoft Entra interaktywnych i nieinterakcyjnych logowaniach. Dowiedz się więcej o logowaniach w Microsoft Entra raportach aktywności logowania — wersja zapoznawcza.
To odwołanie służy do konstruowania zapytań, które zwracają informacje z tabeli. Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.
| Nazwa kolumny | Typ danych | Opis |
|---|---|---|
Timestamp |
datetime |
Data i godzina wygenerowania rekordu |
Application |
string |
Aplikacja, która wykonała zarejestrowaną akcję |
ApplicationId |
string |
Unikatowy identyfikator aplikacji |
LogonType |
string |
Typ sesji logowania, w szczególności interakcyjny, zdalny interakcyjny (RDP), sieć, partia i usługa |
ErrorCode |
int |
Zawiera kod błędu w przypadku wystąpienia błędu logowania. Aby znaleźć opis określonego kodu błędu, odwiedź stronę https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Unikatowy identyfikator zdarzenia logowania |
SessionId |
string |
Unikatowy numer przypisany użytkownikowi przez serwer witryny internetowej na czas trwania wizyty lub sesji |
AccountDisplayName |
string |
Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika. |
AccountObjectId |
string |
Unikatowy identyfikator konta w Tożsamość Microsoft Entra |
AccountUpn |
string |
Główna nazwa użytkownika (UPN) konta |
IsExternalUser |
int |
Wskazuje, czy zalogowany użytkownik jest zewnętrzny. Możliwe wartości: -1 (nie ustawiono), 0 (nie zewnętrzne), 1 (zewnętrzne). |
IsGuestUser |
boolean |
Wskazuje, czy zalogowany użytkownik jest gościem w dzierżawie |
AlternateSignInName |
string |
Główna nazwa użytkownika lokalnego (UPN) użytkownika logującego się do Tożsamość Microsoft Entra |
LastPasswordChangeTimestamp |
datetime |
Data i godzina ostatniej zmiany hasła przez użytkownika zalogowanego |
ResourceDisplayName |
string |
Nazwa wyświetlana zasobu, do którego uzyskano dostęp. Nazwa wyświetlana może zawierać dowolny znak. |
ResourceId |
string |
Unikatowy identyfikator zasobu, do których uzyskano dostęp |
ResourceTenantId |
string |
Unikatowy identyfikator dzierżawy zasobu, do których uzyskano dostęp |
DeviceName |
string |
W pełni kwalifikowana nazwa domeny (FQDN) urządzenia |
AadDeviceId |
string |
Unikatowy identyfikator urządzenia w Tożsamość Microsoft Entra |
OSPlatform |
string |
Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7. |
DeviceTrustType |
string |
Wskazuje typ zaufania urządzenia, które się zalogowało. Tylko w przypadku scenariuszy urządzeń zarządzanych. Możliwe wartości to Workplace, AzureAd i ServerAd. |
IsManaged |
int |
Wskazuje, czy urządzenie, które zainicjowało logowanie, jest urządzeniem zarządzanym (1), czy nie urządzeniem zarządzanym (0) |
IsCompliant |
int |
Wskazuje, czy urządzenie, które zainicjowało logowanie, jest zgodne (1) czy niezgodne (0) |
AuthenticationProcessingDetails |
string |
Szczegóły dotyczące procesora uwierzytelniania |
AuthenticationRequirement |
string |
Typ uwierzytelniania wymagany do logowania. Możliwe wartości: multiFactorAuthentication (MFA był wymagany) i singleFactorAuthentication (nie było wymagane uwierzytelnianie wieloskładnikowe). |
TokenIssuerType |
int |
Wskazuje, czy wystawca tokenu jest Tożsamość Microsoft Entra (0) lub Active Directory Federation Services (1) |
RiskLevelAggregated |
int |
Poziom ryzyka zagregowanego podczas logowania. Możliwe wartości: 0 (nie ustawiono zagregowanego poziomu ryzyka), 1 (brak), 10 (niski), 50 (średni) lub 100 (wysoki). |
RiskDetails |
int |
Szczegóły dotyczące ryzykownego stanu zalogowanego użytkownika |
RiskState |
int |
Wskazuje ryzykowny stan użytkownika. Możliwe wartości: 0 (brak), 1 (potwierdzone bezpieczne), 2 (skorygowane), 3 (odrzucone), 4 (zagrożone) lub 5 (potwierdzone naruszone). |
UserAgent |
string |
Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej |
ClientAppUsed |
string |
Wskazuje używaną aplikację kliencką |
Browser |
string |
Szczegóły dotyczące wersji przeglądarki używanej do logowania |
ConditionalAccessPolicies |
string |
Szczegóły zasad dostępu warunkowego stosowanych do zdarzenia logowania |
ConditionalAccessStatus |
int |
Stan zasad dostępu warunkowego stosowanych do logowania. Możliwe wartości to 0 (zastosowane zasady), 1 (próba zastosowania zasad nie powiodła się) lub 2 (zasady nie są stosowane). |
IPAddress |
string |
Adres IP przypisany do urządzenia podczas komunikacji |
Country |
string |
Dwuliterowy kod wskazujący kraj/region, w którym adres IP klienta jest geolokalizowany |
State |
string |
Stan, w którym nastąpiło logowanie, jeśli jest dostępny |
City |
string |
Miasto, w którym znajduje się użytkownik konta |
Latitude |
string |
Współrzędne północ-południe lokalizacji logowania |
Longitude |
string |
Współrzędne ze wschodu na zachód lokalizacji logowania |
NetworkLocationDetails |
string |
Szczegóły lokalizacji sieciowej procesora uwierzytelniania zdarzenia logowania |
RequestId |
string |
Unikatowy identyfikator żądania |
ReportId |
string |
Unikatowy identyfikator zdarzenia |
Artykuły pokrewne
- AADSpnSignInEventsBeta
- Omówienie zaawansowanego wyszukiwania zagrożeń
- Nauka języka zapytań
- Analiza schematu
Porada
Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.