AADSignInEventsBeta
Aplica-se a:
- Microsoft Defender XDR
Importante
A AADSignInEventsBeta tabela está atualmente em beta e está sendo oferecida em uma base de curto prazo para permitir que você procure Microsoft Entra eventos de entrada. Os clientes precisam ter uma licença Microsoft Entra ID P2 para coletar e exibir atividades para esta tabela. Todas as informações de esquema de entrada eventualmente serão movidas para a IdentityLogonEvents tabela.
A AADSignInEventsBeta tabela no esquema avançado de caça contém informações sobre Microsoft Entra entradas interativas e não interativas. Saiba mais sobre entradas em Microsoft Entra relatórios de atividade de entrada – versão prévia.
Use esta referência para criar consultas quer retiram informações desta tabela. Para obter informações sobre outras tabelas no esquema de caça avançado, consulte a referência de caça avançada.
| Nome da coluna | Tipo de dados | Descrição |
|---|---|---|
Timestamp |
datetime |
Data e hora em que o registro foi gerado |
Application |
string |
Aplicativo que executou a ação gravada |
ApplicationId |
string |
Identificador exclusivo para o aplicativo |
LogonType |
string |
Tipo de sessão de logon, especificamente interativa e remota (RDP), rede, lote e serviço |
ErrorCode |
int |
Contém o código de erro se ocorrer um erro de entrada. Para encontrar uma descrição de um código de erro específico, visite https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Identificador exclusivo do evento de entrada |
SessionId |
string |
Número exclusivo atribuído a um usuário pelo servidor de um site durante a visita ou sessão |
AccountDisplayName |
string |
Nome exibido na entrada do catálogo de endereços para o usuário da conta. Geralmente, essa é uma combinação do nome, da inicialização intermediária e do sobrenome do usuário. |
AccountObjectId |
string |
Identificador exclusivo da conta no Microsoft Entra ID |
AccountUpn |
string |
Nome da entidade de usuário (UPN) da conta |
IsExternalUser |
int |
Indica se o usuário que entrou é externo. Valores possíveis: -1 (não definido), 0 (não externo), 1 (externo). |
IsGuestUser |
boolean |
Indica se o usuário que entrou é um convidado no locatário |
AlternateSignInName |
string |
UPN (nome de entidade de usuário) local do usuário que entra no Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Data e hora em que o usuário que entrou pela última vez alterou sua senha |
ResourceDisplayName |
string |
Nome de exibição do recurso acessado. O nome de exibição pode conter qualquer caractere. |
ResourceId |
string |
Identificador exclusivo do recurso acessado |
ResourceTenantId |
string |
Identificador exclusivo do locatário do recurso acessado |
DeviceName |
string |
FQDN (nome de domínio totalmente qualificado) do dispositivo |
AadDeviceId |
string |
Identificador exclusivo para o dispositivo no Microsoft Entra ID |
OSPlatform |
string |
Plataforma do sistema operacional em execução no dispositivo. Indica sistemas operacionais específicos, incluindo variações na mesma família, como Windows 11, Windows 10 e Windows 7. |
DeviceTrustType |
string |
Indica o tipo de confiança do dispositivo que entrou. Somente para cenários de dispositivo gerenciado. Os valores possíveis são Workplace, AzureAd e ServerAd. |
IsManaged |
int |
Indica se o dispositivo que iniciou a entrada é um dispositivo gerenciado (1) ou não um dispositivo gerenciado (0) |
IsCompliant |
int |
Indica se o dispositivo que iniciou a entrada está em conformidade (1) ou não compatível (0) |
AuthenticationProcessingDetails |
string |
Detalhes sobre o processador de autenticação |
AuthenticationRequirement |
string |
Tipo de autenticação necessário para a entrada. Valores possíveis: multiFactorAuthentication (MFA era necessário) e singleFactorAuthentication (nenhuma MFA era necessária). |
TokenIssuerType |
int |
Indica se o emissor de token está Microsoft Entra ID (0) ou Serviços de Federação do Active Directory (AD FS) (1) |
RiskLevelAggregated |
int |
Nível de risco agregado durante a entrada. Valores possíveis: 0 (nível de risco agregado não definido), 1 (nenhum), 10 (baixo), 50 (médio) ou 100 (alto). |
RiskDetails |
int |
Detalhes sobre o estado arriscado do usuário que entrou |
RiskState |
int |
Indica o estado de usuário arriscado. Valores possíveis: 0 (nenhum), 1 (seguro confirmado), 2 (corrigido), 3 (descartado), 4 (em risco) ou 5 (confirmado comprometido). |
UserAgent |
string |
Informações do agente de usuário do navegador da Web ou de outro aplicativo cliente |
ClientAppUsed |
string |
Indica o aplicativo cliente usado |
Browser |
string |
Detalhes sobre a versão do navegador usada para entrar |
ConditionalAccessPolicies |
string |
Detalhes das políticas de acesso condicional aplicadas ao evento de entrada |
ConditionalAccessStatus |
int |
Status das políticas de acesso condicional aplicadas à entrada. Os valores possíveis são 0 (políticas aplicadas), 1 (tentativa de aplicar políticas com falha) ou 2 (políticas não aplicadas). |
IPAddress |
string |
Endereço IP atribuído ao dispositivo durante a comunicação |
Country |
string |
Código de duas letras que indica o país/região em que o endereço IP do cliente é geolocalizado |
State |
string |
Estado em que ocorreu a entrada, se disponível |
City |
string |
Cidade em que o usuário da conta está localizado |
Latitude |
string |
As coordenadas norte a sul do local de entrada |
Longitude |
string |
As coordenadas leste a oeste do local de entrada |
NetworkLocationDetails |
string |
Detalhes da localização da rede do processador de autenticação do evento de entrada |
RequestId |
string |
Identificador exclusivo da solicitação |
ReportId |
string |
Identificador exclusivo para o evento |
Artigos relacionados
- AADSpnSignInEventsBeta
- Visão geral da busca avançada
- Aprender a linguagem de consulta
- Compreender o esquema
Dica
Você deseja aprender mais? Engage com a comunidade de Segurança da Microsoft em nossa Comunidade Tecnológica: Microsoft Defender XDR Tech Community.