AADSignInEventsBeta
Область применения:
- Microsoft Defender XDR
Важно!
Таблица AADSignInEventsBeta в настоящее время находится в бета-версии и предлагается на краткосрочной основе, чтобы вы могли просматривать Microsoft Entra события входа. Клиенты должны иметь лицензию Microsoft Entra ID P2 для сбора и просмотра действий для этой таблицы. Все сведения о схеме входа в конечном итоге переместятся в таблицу IdentityLogonEvents .
Таблица AADSignInEventsBeta в схеме расширенной охоты содержит сведения о Microsoft Entra интерактивных и неинтерактивных входах. Дополнительные сведения о входах в Microsoft Entra отчетах о действиях входа — предварительная версия.
Используйте этот справочник для создания запросов, возвращающих данные из таблицы. Сведения о других таблицах в расширенной схеме охоты см. в справочнике по расширенной охоте.
| Имя столбца | Тип данных | Описание |
|---|---|---|
Timestamp |
datetime |
Дата и время создания записи |
Application |
string |
Приложение, выполняющее записанное действие |
ApplicationId |
string |
Уникальный идентификатор приложения |
LogonType |
string |
Тип сеанса входа, в частности интерактивный, удаленный интерактивный (RDP), сеть, пакет и служба |
ErrorCode |
int |
Содержит код ошибки при входе. Чтобы найти описание определенного кода ошибки, посетите страницу https://aka.ms/AADsigninsErrorCodes. |
CorrelationId |
string |
Уникальный идентификатор события входа |
SessionId |
string |
Уникальный номер, назначенный пользователю сервером веб-сайта на время посещения или сеанса |
AccountDisplayName |
string |
Имя, отображаемое в записи адресной книги для пользователя учетной записи. Обычно это сочетание заданного имени, среднего начального значения и фамилии пользователя. |
AccountObjectId |
string |
Уникальный идентификатор учетной записи в Microsoft Entra ID |
AccountUpn |
string |
Имя участника-пользователя (UPN) учетной записи |
IsExternalUser |
int |
Указывает, является ли пользователь, вошедшего в систему, внешним. Возможные значения: -1 (не задано), 0 (не внешняя), 1 (внешняя). |
IsGuestUser |
boolean |
Указывает, является ли пользователь, выполнившего вход, гостем в клиенте. |
AlternateSignInName |
string |
Локальное имя участника-пользователя (UPN) пользователя, входом в Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
Дата и время последнего изменения пароля пользователя, выполнившего вход |
ResourceDisplayName |
string |
Отображаемое имя ресурса, к котором обращается доступ. Отображаемое имя может содержать любой символ. |
ResourceId |
string |
Уникальный идентификатор ресурса, к который обращается |
ResourceTenantId |
string |
Уникальный идентификатор клиента ресурса, к который обращается |
DeviceName |
string |
Полное доменное имя (FQDN) устройства |
AadDeviceId |
string |
Уникальный идентификатор устройства в Microsoft Entra ID |
OSPlatform |
string |
Платформа операционной системы, работающей на устройстве. Указывает определенные операционные системы, включая варианты в пределах одного семейства, например Windows 11, Windows 10 и Windows 7. |
DeviceTrustType |
string |
Указывает тип доверия устройства, выполнившего вход. Только для сценариев с управляемыми устройствами. Возможные значения: Workplace, AzureAd и ServerAd. |
IsManaged |
int |
Указывает, является ли устройство, которое инициировало вход, управляемым устройством (1) или не является управляемым устройством (0). |
IsCompliant |
int |
Указывает, соответствует ли устройство, инициировавшему вход (1) или не соответствует (0). |
AuthenticationProcessingDetails |
string |
Сведения о обработчике проверки подлинности |
AuthenticationRequirement |
string |
Тип проверки подлинности, необходимый для входа. Возможные значения: multiFactorAuthentication (требуется MFA) и singleFactorAuthentication (MFA не требуется). |
TokenIssuerType |
int |
Указывает, является ли издатель маркера Microsoft Entra ID (0) или службы федерации Active Directory (AD FS) (1). |
RiskLevelAggregated |
int |
Агрегированный уровень риска во время входа. Возможные значения: 0 (агрегированный уровень риска не задан), 1 (нет), 10 (низкий), 50 (средний) или 100 (высокий). |
RiskDetails |
int |
Сведения о рискованном состоянии пользователя, выполнившего вход |
RiskState |
int |
Указывает на рискованное состояние пользователя. Возможные значения: 0 (нет), 1 (подтверждено безопасно), 2 (исправлено), 3 (отклонено), 4 (под угрозой) или 5 (подтверждено компрометация). |
UserAgent |
string |
Сведения об агенте пользователя из веб-браузера или другого клиентского приложения |
ClientAppUsed |
string |
Указывает используемое клиентское приложение. |
Browser |
string |
Сведения о версии браузера, используемой для входа |
ConditionalAccessPolicies |
string |
Сведения о политиках условного доступа, применяемых к событию входа |
ConditionalAccessStatus |
int |
Состояние политик условного доступа, применяемых к входу. Возможные значения: 0 (примененные политики), 1 (не удалось применить политики) или 2 (политики не применены). |
IPAddress |
string |
IP-адрес, назначенный устройству во время связи |
Country |
string |
Двухбуквенный код, указывающий страну или регион, в которых ip-адрес клиента географически расположен |
State |
string |
Состояние, в котором выполнен вход (если доступно) |
City |
string |
Город, в котором находится пользователь учетной записи |
Latitude |
string |
Координаты с севера на юг расположения входа |
Longitude |
string |
Координаты расположения входа с востока на запад |
NetworkLocationDetails |
string |
Сведения о сетевом расположении обработчика проверки подлинности события входа |
RequestId |
string |
Уникальный идентификатор запроса |
ReportId |
string |
Уникальный идентификатор события |
Статьи по теме
Совет
Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.