AADSignInEventsBeta

Dotyczy:

• Microsoft Defender XDR

Ważna

Tabela AADSignInEventsBeta jest obecnie w wersji beta i jest oferowana krótkoterminowo, aby umożliwić wyszukiwanie Microsoft Entra zdarzeń logowania. Klienci muszą mieć licencję Tożsamość Microsoft Entra P2, aby zbierać i wyświetlać działania dla tej tabeli. Wszystkie informacje o schemacie logowania zostaną ostatecznie przeniesione do IdentityLogonEvents tabeli.

Tabela AADSignInEventsBeta w zaawansowanym schemacie wyszukiwania zagrożeń zawiera informacje o Microsoft Entra interaktywnych i nieinterakcyjnych logowaniach. Dowiedz się więcej o logowaniach w Microsoft Entra raportach aktywności logowania — wersja zapoznawcza.

To odwołanie służy do konstruowania zapytań, które zwracają informacje z tabeli. Aby uzyskać informacje na temat innych tabel w zaawansowanym schemacie wyszukiwania zagrożeń, zobacz zaawansowane informacje dotyczące wyszukiwania zagrożeń.

---

Nazwa kolumny	Typ danych	Opis
Timestamp	datetime	Data i godzina wygenerowania rekordu
Application	string	Aplikacja, która wykonała zarejestrowaną akcję
ApplicationId	string	Unikatowy identyfikator aplikacji
LogonType	string	Typ sesji logowania, w szczególności interakcyjny, zdalny interakcyjny (RDP), sieć, partia i usługa
ErrorCode	int	Zawiera kod błędu w przypadku wystąpienia błędu logowania. Aby znaleźć opis określonego kodu błędu, odwiedź stronę https://aka.ms/AADsigninsErrorCodes.
CorrelationId	string	Unikatowy identyfikator zdarzenia logowania
SessionId	string	Unikatowy numer przypisany użytkownikowi przez serwer witryny internetowej na czas trwania wizyty lub sesji
AccountDisplayName	string	Nazwa wyświetlana we wpisie książki adresowej dla użytkownika konta. Zazwyczaj jest to kombinacja podanej nazwy, środkowego inicjała i nazwiska użytkownika.
AccountObjectId	string	Unikatowy identyfikator konta w Tożsamość Microsoft Entra
AccountUpn	string	Główna nazwa użytkownika (UPN) konta
IsExternalUser	int	Wskazuje, czy zalogowany użytkownik jest zewnętrzny. Możliwe wartości: -1 (nie ustawiono), 0 (nie zewnętrzne), 1 (zewnętrzne).
IsGuestUser	boolean	Wskazuje, czy zalogowany użytkownik jest gościem w dzierżawie
AlternateSignInName	string	Główna nazwa użytkownika lokalnego (UPN) użytkownika logującego się do Tożsamość Microsoft Entra
LastPasswordChangeTimestamp	datetime	Data i godzina ostatniej zmiany hasła przez użytkownika zalogowanego
ResourceDisplayName	string	Nazwa wyświetlana zasobu, do którego uzyskano dostęp. Nazwa wyświetlana może zawierać dowolny znak.
ResourceId	string	Unikatowy identyfikator zasobu, do których uzyskano dostęp
ResourceTenantId	string	Unikatowy identyfikator dzierżawy zasobu, do których uzyskano dostęp
DeviceName	string	W pełni kwalifikowana nazwa domeny (FQDN) urządzenia
AadDeviceId	string	Unikatowy identyfikator urządzenia w Tożsamość Microsoft Entra
OSPlatform	string	Platforma systemu operacyjnego działającego na urządzeniu. Wskazuje określone systemy operacyjne, w tym odmiany w tej samej rodzinie, takie jak Windows 11, Windows 10 i Windows 7.
DeviceTrustType	string	Wskazuje typ zaufania urządzenia, które się zalogowało. Tylko w przypadku scenariuszy urządzeń zarządzanych. Możliwe wartości to Workplace, AzureAd i ServerAd.
IsManaged	int	Wskazuje, czy urządzenie, które zainicjowało logowanie, jest urządzeniem zarządzanym (1), czy nie urządzeniem zarządzanym (0)
IsCompliant	int	Wskazuje, czy urządzenie, które zainicjowało logowanie, jest zgodne (1) czy niezgodne (0)
AuthenticationProcessingDetails	string	Szczegóły dotyczące procesora uwierzytelniania
AuthenticationRequirement	string	Typ uwierzytelniania wymagany do logowania. Możliwe wartości: multiFactorAuthentication (MFA był wymagany) i singleFactorAuthentication (nie było wymagane uwierzytelnianie wieloskładnikowe).
TokenIssuerType	int	Wskazuje, czy wystawca tokenu jest Tożsamość Microsoft Entra (0) lub Active Directory Federation Services (1)
RiskLevelAggregated	int	Poziom ryzyka zagregowanego podczas logowania. Możliwe wartości: 0 (nie ustawiono zagregowanego poziomu ryzyka), 1 (brak), 10 (niski), 50 (średni) lub 100 (wysoki).
RiskDetails	int	Szczegóły dotyczące ryzykownego stanu zalogowanego użytkownika
RiskState	int	Wskazuje ryzykowny stan użytkownika. Możliwe wartości: 0 (brak), 1 (potwierdzone bezpieczne), 2 (skorygowane), 3 (odrzucone), 4 (zagrożone) lub 5 (potwierdzone naruszone).
UserAgent	string	Informacje o agentze użytkownika z przeglądarki internetowej lub innej aplikacji klienckiej
ClientAppUsed	string	Wskazuje używaną aplikację kliencką
Browser	string	Szczegóły dotyczące wersji przeglądarki używanej do logowania
ConditionalAccessPolicies	string	Szczegóły zasad dostępu warunkowego stosowanych do zdarzenia logowania
ConditionalAccessStatus	int	Stan zasad dostępu warunkowego stosowanych do logowania. Możliwe wartości to 0 (zastosowane zasady), 1 (próba zastosowania zasad nie powiodła się) lub 2 (zasady nie są stosowane).
IPAddress	string	Adres IP przypisany do urządzenia podczas komunikacji
Country	string	Dwuliterowy kod wskazujący kraj/region, w którym adres IP klienta jest geolokalizowany
State	string	Stan, w którym nastąpiło logowanie, jeśli jest dostępny
City	string	Miasto, w którym znajduje się użytkownik konta
Latitude	string	Współrzędne północ-południe lokalizacji logowania
Longitude	string	Współrzędne ze wschodu na zachód lokalizacji logowania
NetworkLocationDetails	string	Szczegóły lokalizacji sieciowej procesora uwierzytelniania zdarzenia logowania
RequestId	string	Unikatowy identyfikator żądania
ReportId	string	Unikatowy identyfikator zdarzenia

Artykuły pokrewne

• AADSpnSignInEventsBeta
• Omówienie zaawansowanego wyszukiwania zagrożeń
• Nauka języka zapytań
• Analiza schematu

Porada

Chcesz dowiedzieć się więcej? Zaangażuj się w społeczność rozwiązań zabezpieczających firmy Microsoft w naszej społeczności technicznej Społeczność techniczna usługi Microsoft Defender XDR.