AADSignInEventsBeta
適用於:
- Microsoft Defender XDR
重要事項
數據AADSignInEventsBeta表目前處於Beta狀態,並會短期提供,可讓您搜捕 Microsoft Entra 登入事件。 客戶必須擁有 Microsoft Entra ID P2 授權,才能收集和檢視此數據表的活動。 所有登入架構信息最終都會移至數據 IdentityLogonEvents 表。
進AADSignInEventsBeta階搜捕架構中的數據表包含 Microsoft Entra 互動式和非互動式登入的相關信息。深入瞭解登入 Microsoft Entra 登入活動報告 - 預覽。
使用這個參考來建立從表格取回之資訊的查詢。 如需進階搜捕架構中其他數據表的資訊,請參閱 進階搜捕參考。
| 資料行名稱 | 資料類型 | 描述 |
|---|---|---|
Timestamp |
datetime |
記錄的產生日期和時間 |
Application |
string |
執行已錄製動作的應用程式 |
ApplicationId |
string |
應用程式的唯一標識碼 |
LogonType |
string |
登入會話的類型,特別是互動式、遠端互動式 (RDP) 、網路、批次和服務 |
ErrorCode |
int |
如果發生登入錯誤,則包含錯誤碼。 若要尋找特定錯誤碼的描述,請造訪 https://aka.ms/AADsigninsErrorCodes。 |
CorrelationId |
string |
登入事件的唯一標識碼 |
SessionId |
string |
網站伺服器在流覽或會話期間指派給使用者的唯一號碼 |
AccountDisplayName |
string |
帳戶使用者的通訊錄項目中顯示的名稱。 這通常是使用者的指定名稱、中間初始和姓氏的組合。 |
AccountObjectId |
string |
Microsoft Entra ID 中帳戶的唯一標識符 |
AccountUpn |
string |
帳戶的UPN) (用戶主體名稱 |
IsExternalUser |
int |
指出登入的使用者是否為外部使用者。 可能的值:-1 (未設定) 、0 (非外部) 、1 (外部) 。 |
IsGuestUser |
boolean |
指出登入的使用者是否為租使用者中的來賓 |
AlternateSignInName |
string |
登入使用者的內部部署用戶主體名稱 (使用者登入的UPN) Microsoft Entra ID |
LastPasswordChangeTimestamp |
datetime |
上次登入的使用者變更密碼的日期和時間 |
ResourceDisplayName |
string |
所存取資源的顯示名稱。 顯示名稱可以包含任何字元。 |
ResourceId |
string |
所存取資源的唯一標識碼 |
ResourceTenantId |
string |
所存取資源租使用者的唯一標識符 |
DeviceName |
string |
裝置的 FQDN) (完整功能變數名稱 |
AadDeviceId |
string |
Microsoft Entra ID 中裝置的唯一標識符 |
OSPlatform |
string |
在裝置上執行之作業系統的平臺。 指出特定的操作系統,包括相同系列內的變化,例如 Windows 11、Windows 10 和 Windows 7。 |
DeviceTrustType |
string |
指出已登入裝置的信任類型。 僅適用於Managed裝置案例。 可能的值為 Workplace、AzureAd 和 ServerAd。 |
IsManaged |
int |
指出起始登入的裝置是否為受控裝置, (1) 或不是受管理裝置 (0) |
IsCompliant |
int |
指出起始登入的裝置是否符合 (1) 或不符合規範 (0) |
AuthenticationProcessingDetails |
string |
驗證處理器的詳細數據 |
AuthenticationRequirement |
string |
登入所需的驗證類型。 可能的值:) 需要 multiFactorAuthentication (MFA,而 singleFactorAuthentication (不需要任何 MFA) 。 |
TokenIssuerType |
int |
指出令牌簽發者是否 Microsoft Entra ID (0) 或 Active Directory 同盟服務 (1) |
RiskLevelAggregated |
int |
登入期間的匯總風險層級。 可能的值:0 (匯總的風險層級未設定) 、1 (無) 、10 (低) 、50 () 或 100 (高) 。 |
RiskDetails |
int |
登入用戶風險狀態的詳細數據 |
RiskState |
int |
指出有風險的用戶狀態。 可能的值:0 (無) 、1 (確認安全) 、2 (補救) 、3 (已解除) 、4 () 風險,或 5 (確認遭入侵的) 。 |
UserAgent |
string |
來自網頁瀏覽器或其他用戶端應用程式的使用者代理程序資訊 |
ClientAppUsed |
string |
指出使用的用戶端應用程式 |
Browser |
string |
用來登入之瀏覽器版本的詳細數據 |
ConditionalAccessPolicies |
string |
套用至登入事件的條件式存取原則詳細數據 |
ConditionalAccessStatus |
int |
套用至登入的條件式存取原則狀態。 可能的值為 0 (套用) 的原則、1 (嘗試套用原則失敗) ,或 2 個 (原則未套用) 。 |
IPAddress |
string |
在通訊期間指派給裝置的IP位址 |
Country |
string |
兩個字母的程序代碼,指出用戶端IP位址地理位置的國家/地區 |
State |
string |
發生登入的狀態,如果有的話 |
City |
string |
帳戶使用者所在的城市 |
Latitude |
string |
登入位置的北至南座標 |
Longitude |
string |
登入位置的東至西座標 |
NetworkLocationDetails |
string |
登入事件驗證處理器的網路位置詳細數據 |
RequestId |
string |
要求的唯一標識碼 |
ReportId |
string |
事件的唯一標識碼 |
相關文章
提示
想要深入了解? Engage 技術社群中的 Microsoft 安全性社群:Microsoft Defender 全面偵測回應 技術社群。