AADSignInEventsBeta
适用于:
- Microsoft Defender XDR
重要
该AADSignInEventsBeta表目前处于 beta 阶段,并且是短期提供的,用于搜索Microsoft Entra登录事件。 客户需要具有Microsoft Entra ID P2 许可证才能收集和查看此表的活动。 所有登录架构信息最终将移至 IdentityLogonEvents 表。
AADSignInEventsBeta高级搜寻架构中的表包含有关Microsoft Entra交互式和非交互式登录的信息。详细了解Microsoft Entra登录活动报告 - 预览版。
使用此参考来构建从该表返回信息的查询。 有关高级搜寻架构中其他表的信息,请参阅 高级搜寻参考。
| 列名称 | 数据类型 | 说明 |
|---|---|---|
Timestamp |
datetime |
生成记录的日期和时间 |
Application |
string |
执行录制操作的应用程序 |
ApplicationId |
string |
应用程序的唯一标识符 |
LogonType |
string |
登录会话类型,特别是交互式远程交互式 (RDP) 、网络、批处理和服务 |
ErrorCode |
int |
如果发生登录错误,则包含错误代码。 若要查找特定错误代码的说明,请访问 https://aka.ms/AADsigninsErrorCodes。 |
CorrelationId |
string |
登录事件的唯一标识符 |
SessionId |
string |
网站服务器在访问或会话期间分配给用户的唯一号码 |
AccountDisplayName |
string |
帐户用户的通讯簿条目中显示的名称。 这通常是用户的给定名称、中间首字母和姓氏的组合。 |
AccountObjectId |
string |
Microsoft Entra ID 中帐户的唯一标识符 |
AccountUpn |
string |
用户主体名称 (帐户的 UPN) |
IsExternalUser |
int |
指示登录的用户是否为外部用户。 可能的值:-1 (未设置) ,0 (不是外部) ,1 (外部) 。 |
IsGuestUser |
boolean |
指示登录的用户是否是租户中的来宾 |
AlternateSignInName |
string |
登录到 Microsoft Entra ID 的用户的本地用户主体名称 (UPN) |
LastPasswordChangeTimestamp |
datetime |
上次登录的用户更改密码的日期和时间 |
ResourceDisplayName |
string |
所访问资源的显示名称。 显示名称可以包含任何字符。 |
ResourceId |
string |
访问的资源的唯一标识符 |
ResourceTenantId |
string |
所访问资源的租户的唯一标识符 |
DeviceName |
string |
设备的 FQDN) (完全限定的域名 |
AadDeviceId |
string |
Microsoft Entra ID中设备的唯一标识符 |
OSPlatform |
string |
在设备上运行的操作系统的平台。 指示特定操作系统,包括同一系列中的变体,例如Windows 11、Windows 10和 Windows 7。 |
DeviceTrustType |
string |
指示登录的设备的信任类型。 仅适用于托管设备方案。 可能的值为 Workplace、AzureAd 和 ServerAd。 |
IsManaged |
int |
指示发起登录的设备是否为 1) (托管设备,还是 0 () |
IsCompliant |
int |
指示启动登录的设备是否符合 1) (或不符合 (0) |
AuthenticationProcessingDetails |
string |
有关身份验证处理器的详细信息 |
AuthenticationRequirement |
string |
登录所需的身份验证类型。 可能的值:) 需要 multiFactorAuthentication (MFA,而 singleFactorAuthentication () 不需要 MFA。 |
TokenIssuerType |
int |
指示令牌颁发者是Microsoft Entra ID (0) 还是Active Directory 联合身份验证服务 (1) |
RiskLevelAggregated |
int |
登录期间聚合的风险级别。 可能的值:未) 设置 0 (聚合风险级别、1 (无) 、10 (低) 、50 (中等) 或 100 (高) 。 |
RiskDetails |
int |
有关登录用户的风险状态的详细信息 |
RiskState |
int |
指示有风险的用户状态。 可能的值:0 (无) 、1 (确认安全) 、2 (已修正) 、3 (消除) 、4) 有风险 (或 5 (已确认已泄露) 。 |
UserAgent |
string |
Web 浏览器或其他客户端应用程序中的用户代理信息 |
ClientAppUsed |
string |
指示使用的客户端应用 |
Browser |
string |
有关用于登录的浏览器版本的详细信息 |
ConditionalAccessPolicies |
string |
应用于登录事件的条件访问策略的详细信息 |
ConditionalAccessStatus |
int |
应用于登录的条件访问策略的状态。 可能的值为 0 () 应用策略、1 (尝试应用策略失败) 或 2 (策略未) 应用。 |
IPAddress |
string |
在通信期间分配给设备的 IP 地址 |
Country |
string |
双字母代码,指示客户端 IP 地址被地理位置分配的国家/地区 |
State |
string |
登录发生时的状态(如果可用) |
City |
string |
帐户用户所在的城市 |
Latitude |
string |
登录位置的北向南坐标 |
Longitude |
string |
登录位置的从东到西坐标 |
NetworkLocationDetails |
string |
登录事件的身份验证处理器的网络位置详细信息 |
RequestId |
string |
请求的唯一标识符 |
ReportId |
string |
事件的唯一标识符 |
相关文章
提示
想要了解更多信息? Engage技术社区中的 Microsoft 安全社区:Microsoft Defender XDR技术社区。