分享方式:


AADSignInEventsBeta

適用於:

  • Microsoft Defender XDR

重要事項

數據AADSignInEventsBeta表目前處於Beta狀態,並會短期提供,可讓您搜捕 Microsoft Entra 登入事件。 客戶必須擁有 Microsoft Entra ID P2 授權,才能收集和檢視此數據表的活動。 所有登入架構信息最終都會移至數據 IdentityLogonEvents 表。

AADSignInEventsBeta階搜捕架構中的數據表包含 Microsoft Entra 互動式和非互動式登入的相關信息。深入瞭解登入 Microsoft Entra 登入活動報告 - 預覽

使用這個參考來建立從表格取回之資訊的查詢。 如需進階搜捕架構中其他數據表的資訊,請參閱 進階搜捕參考



資料行名稱 資料類型 描述
Timestamp datetime 記錄的產生日期和時間
Application string 執行已錄製動作的應用程式
ApplicationId string 應用程式的唯一標識碼
LogonType string 登入會話的類型,特別是互動式、遠端互動式 (RDP) 、網路、批次和服務
ErrorCode int 如果發生登入錯誤,則包含錯誤碼。 若要尋找特定錯誤碼的描述,請造訪 https://aka.ms/AADsigninsErrorCodes
CorrelationId string 登入事件的唯一標識碼
SessionId string 網站伺服器在流覽或會話期間指派給使用者的唯一號碼
AccountDisplayName string 帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。
AccountObjectId string Microsoft Entra ID 中帳戶的唯一標識符
AccountUpn string 帳戶的UPN) (用戶主體名稱
IsExternalUser int 指出登入的使用者是否為外部使用者。 可能的值:-1 (未設定) 、0 (非外部) 、1 (外部) 。
IsGuestUser boolean 指出登入的使用者是否為租使用者中的來賓
AlternateSignInName string 登入使用者的內部部署用戶主體名稱 (使用者登入的UPN) Microsoft Entra ID
LastPasswordChangeTimestamp datetime 上次登入的使用者變更密碼的日期和時間
ResourceDisplayName string 所存取資源的顯示名稱。 顯示名稱可以包含任何字元。
ResourceId string 所存取資源的唯一標識碼
ResourceTenantId string 所存取資源租使用者的唯一標識符
DeviceName string 裝置的 FQDN) (完整功能變數名稱
AadDeviceId string Microsoft Entra ID 中裝置的唯一標識符
OSPlatform string 在裝置上執行之作業系統的平臺。 指出特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。
DeviceTrustType string 指出已登入裝置的信任類型。 僅適用於Managed裝置案例。 可能的值為 Workplace、AzureAd 和 ServerAd。
IsManaged int 指出起始登入的裝置是否為受控裝置, (1) 或不是受管理裝置 (0)
IsCompliant int 指出起始登入的裝置是否符合 (1) 或不符合規範 (0)
AuthenticationProcessingDetails string 驗證處理器的詳細數據
AuthenticationRequirement string 登入所需的驗證類型。 可能的值:) 需要 multiFactorAuthentication (MFA,而 singleFactorAuthentication (不需要任何 MFA) 。
TokenIssuerType int 指出令牌簽發者是否 Microsoft Entra ID (0) 或 Active Directory 同盟服務 (1)
RiskLevelAggregated int 登入期間的匯總風險層級。 可能的值:0 (匯總的風險層級未設定) 、1 (無) 、10 (低) 、50 () 或 100 (高) 。
RiskDetails int 登入用戶風險狀態的詳細數據
RiskState int 指出有風險的用戶狀態。 可能的值:0 (無) 、1 (確認安全) 、2 (補救) 、3 (已解除) 、4 () 風險,或 5 (確認遭入侵的) 。
UserAgent string 來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊
ClientAppUsed string 指出使用的用戶端應用程式
Browser string 用來登入之瀏覽器版本的詳細數據
ConditionalAccessPolicies string 套用至登入事件的條件式存取原則詳細數據
ConditionalAccessStatus int 套用至登入的條件式存取原則狀態。 可能的值為 0 (套用) 的原則、1 (嘗試套用原則失敗) ,或 2 個 (原則未套用) 。
IPAddress string 在通訊期間指派給裝置的IP位址
Country string 兩個字母的程序代碼,指出用戶端IP位址地理位置的國家/地區
State string 發生登入的狀態,如果有的話
City string 帳戶使用者所在的城市
Latitude string 登入位置的北至南座標
Longitude string 登入位置的東至西座標
NetworkLocationDetails string 登入事件驗證處理器的網路位置詳細數據
RequestId string 要求的唯一標識碼
ReportId string 事件的唯一標識碼

提示

想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。