Compartilhar via

AADSignInEventsBeta

  • Artigo

Aplica-se a:

  • Microsoft Defender XDR

Importante

A AADSignInEventsBeta tabela está atualmente em beta e está sendo oferecida em uma base de curto prazo para permitir que você procure Microsoft Entra eventos de entrada. Os clientes precisam ter uma licença Microsoft Entra ID P2 para coletar e exibir atividades para esta tabela. Todas as informações de esquema de entrada eventualmente serão movidas para a IdentityLogonEvents tabela.

A AADSignInEventsBeta tabela no esquema avançado de caça contém informações sobre Microsoft Entra entradas interativas e não interativas. Saiba mais sobre entradas em Microsoft Entra relatórios de atividade de entrada – versão prévia.

Use esta referência para criar consultas quer retiram informações desta tabela. Para obter informações sobre outras tabelas no esquema de caça avançado, consulte a referência de caça avançada.


Nome da coluna Tipo de dados Descrição
Timestamp datetime Data e hora em que o registro foi gerado
Application string Aplicativo que executou a ação gravada
ApplicationId string Identificador exclusivo para o aplicativo
LogonType string Tipo de sessão de logon, especificamente interativa e remota (RDP), rede, lote e serviço
ErrorCode int Contém o código de erro se ocorrer um erro de entrada. Para encontrar uma descrição de um código de erro específico, visite https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Identificador exclusivo do evento de entrada
SessionId string Número exclusivo atribuído a um usuário pelo servidor de um site durante a visita ou sessão
AccountDisplayName string Nome exibido na entrada do catálogo de endereços para o usuário da conta. Geralmente, essa é uma combinação do nome, da inicialização intermediária e do sobrenome do usuário.
AccountObjectId string Identificador exclusivo da conta no Microsoft Entra ID
AccountUpn string Nome da entidade de usuário (UPN) da conta
IsExternalUser int Indica se o usuário que entrou é externo. Valores possíveis: -1 (não definido), 0 (não externo), 1 (externo).
IsGuestUser boolean Indica se o usuário que entrou é um convidado no locatário
AlternateSignInName string UPN (nome de entidade de usuário) local do usuário que entra no Microsoft Entra ID
LastPasswordChangeTimestamp datetime Data e hora em que o usuário que entrou pela última vez alterou sua senha
ResourceDisplayName string Nome de exibição do recurso acessado. O nome de exibição pode conter qualquer caractere.
ResourceId string Identificador exclusivo do recurso acessado
ResourceTenantId string Identificador exclusivo do locatário do recurso acessado
DeviceName string FQDN (nome de domínio totalmente qualificado) do dispositivo
AadDeviceId string Identificador exclusivo para o dispositivo no Microsoft Entra ID
OSPlatform string Plataforma do sistema operacional em execução no dispositivo. Indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7.
DeviceTrustType string Indica o tipo de confiança do dispositivo que entrou. Somente para cenários de dispositivo gerenciado. Os valores possíveis são Workplace, AzureAd e ServerAd.
IsManaged int Indica se o dispositivo que iniciou a entrada é um dispositivo gerenciado (1) ou não um dispositivo gerenciado (0)
IsCompliant int Indica se o dispositivo que iniciou a entrada está em conformidade (1) ou não compatível (0)
AuthenticationProcessingDetails string Detalhes sobre o processador de autenticação
AuthenticationRequirement string Tipo de autenticação necessário para a entrada. Valores possíveis: multiFactorAuthentication (MFA era necessário) e singleFactorAuthentication (nenhuma MFA era necessária).
TokenIssuerType int Indica se o emissor de token está Microsoft Entra ID (0) ou Serviços de Federação do Active Directory (AD FS) (1)
RiskLevelAggregated int Nível de risco agregado durante a entrada. Valores possíveis: 0 (nível de risco agregado não definido), 1 (nenhum), 10 (baixo), 50 (médio) ou 100 (alto).
RiskDetails int Detalhes sobre o estado arriscado do usuário que entrou
RiskState int Indica o estado de usuário arriscado. Valores possíveis: 0 (nenhum), 1 (seguro confirmado), 2 (corrigido), 3 (descartado), 4 (em risco) ou 5 (confirmado comprometido).
UserAgent string Informações do agente de usuário do navegador da Web ou de outro aplicativo cliente
ClientAppUsed string Indica o aplicativo cliente usado
Browser string Detalhes sobre a versão do navegador usada para entrar
ConditionalAccessPolicies string Detalhes das políticas de acesso condicional aplicadas ao evento de entrada
ConditionalAccessStatus int Status das políticas de acesso condicional aplicadas à entrada. Os valores possíveis são 0 (políticas aplicadas), 1 (tentativa de aplicar políticas com falha) ou 2 (políticas não aplicadas).
IPAddress string Endereço IP atribuído ao dispositivo durante a comunicação
Country string Código de duas letras que indica o país/região em que o endereço IP do cliente é geolocalizado
State string Estado em que ocorreu a entrada, se disponível
City string Cidade em que o usuário da conta está localizado
Latitude string As coordenadas norte a sul do local de entrada
Longitude string As coordenadas leste a oeste do local de entrada
NetworkLocationDetails string Detalhes da localização da rede do processador de autenticação do evento de entrada
RequestId string Identificador exclusivo da solicitação
ReportId string Identificador exclusivo para o evento

Dica

Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.