AADSignInEventsBeta
적용 대상:
- Microsoft 365 Defender
중요
이 표는 현재 베타로 제공되고 있으며, 사용자가 Azure Active Directory(AAD) 로그인 이벤트를 헌팅할 수 있도록 AADSignInEventsBeta 단기적으로 제공됩니다. 고객은 이 테이블에 대한 Azure Active Directory Premium P2 수집하고 볼 수 있는 라이선스가 필요합니다. 모든 로그인 Schema 정보는 결국 테이블로 IdentityLogonEvents 이동됩니다.
고급 헌팅chema의 표에는 대화형 Azure Active Directory 비대화형 로그인에 대한 정보가 AADSignInEventsBeta 포함되어 있습니다. 자세한 내용은 Azure Active Directory 활동 보고서의 로그인 - 미리 보기를 통해 자세히 알아보실 수 있습니다.
이 참조를 사용하여 표의 정보를 반환하는 쿼리를 생성합니다. 고급 헌팅 스마의 다른 표에 대한 자세한 내용은 고급 헌팅 참조 를 참조하세요.
| 열 이름 | 데이터 형식 | 설명 |
|---|---|---|
Timestamp |
datetime |
레코드 생성 날짜 및 시간 |
Application |
string |
기록된 작업을 수행한 응용 프로그램 |
ApplicationId |
string |
응용 프로그램의 고유 식별자 |
LogonType |
string |
로그온 세션 유형, 대화형, RDP(원격 대화형), 네트워크, 일괄 처리 및 서비스 |
ErrorCode |
int |
로그인 오류가 발생하는 경우 오류 코드가 들어 있습니다. 특정 오류 코드에 대한 설명을 찾으면 을 https://aka.ms/AADsigninsErrorCodes 방문하세요. |
CorrelationId |
string |
로그인 이벤트의 고유 식별자 |
SessionId |
string |
방문 또는 세션 중에 웹 사이트 서버에서 사용자에게 할당된 고유 번호 |
AccountDisplayName |
string |
주소부에 표시된 계정 사용자의 이름입니다. 일반적으로 지정한 이름이나 이름, 중간 이니셜 및 성 또는 성의 조합입니다. |
AccountObjectId |
string |
Azure AD에서 계정의 고유 식별자 |
AccountUpn |
string |
계정의 UPN(사용자 계정 이름) |
IsExternalUser |
int |
로그인한 사용자가 외부에 있는지 나타냅니다. 가능한 값: -1(설정되지 않은 값), 0(외부 값), 1(외부) |
IsGuestUser |
boolean |
로그인한 사용자가 테넌트의 게스트인지 여부를 나타냅니다. |
AlternateSignInName |
string |
Azure AD에 로그인하는 사용자의 UPN(사내 사용자 계정 이름) |
LastPasswordChangeTimestamp |
datetime |
마지막으로 로그인한 사용자가 암호를 변경한 날짜 및 시간 |
ResourceDisplayName |
string |
액세스한 리소스의 표시 이름 |
ResourceId |
string |
액세스한 리소스의 고유 식별자 |
ResourceTenantId |
string |
액세스한 리소스의 테넌트의 고유 식별자입니다. |
DeviceName |
string |
컴퓨터의 FQDN(정규화된 도메인 이름) |
AadDeviceId |
string |
Azure AD에서 디바이스의 고유 식별자 |
OSPlatform |
string |
컴퓨터에서 실행 중인 운영 체제의 플랫폼 Windows 11, Windows 10 및 Windows 같은 패밀리 내의 변형을 포함하여 특정 운영 체제를 나타냅니다. |
DeviceTrustType |
string |
로그인한 장치의 트러스트 유형을 나타냅니다. 관리되는 장치 시나리오의 경우만 해당합니다. 가능한 값은 Workplace, AzureAd 및 ServerAd입니다. |
IsManaged |
int |
로그인을 시작한 장치가 관리되는 장치(1)인지 아니면 관리되는 장치(0)가 아닌지 나타냅니다. |
IsCompliant |
int |
로그인을 시작한 장치가 호환(1) 또는 비호응(0)하는지 나타냅니다. |
AuthenticationProcessingDetails |
string |
인증 프로세서에 대한 세부 정보 |
AuthenticationRequirement |
string |
로그인에 필요한 인증 유형입니다. 가능한 값: multiFactorAuthentication(MFA 필요) 및 singleFactorAuthentication(MFA가 필요 없음) |
TokenIssuerType |
int |
토큰 발급자에 Azure Active Directory (0) 또는 Active Directory Federation Services (1) |
RiskLevelAggregated |
int |
로그인 중 집계된 위험 수준입니다. 가능한 값: 0(집계된 위험 수준이 설정되지 않은 경우), 1(없음), 10(낮음), 50(중간) 또는 100(높음)입니다. |
RiskDetails |
int |
로그인한 사용자의 위험 상태 세부 정보 |
RiskState |
int |
위험한 사용자 상태를 나타냅니다. 가능한 값: 0(없음), 1(안전 확인), 2(수정), 3(해지), 4(위험) 또는 5(손상된 것으로 확인) |
UserAgent |
string |
웹 브라우저 또는 기타 클라이언트 응용 프로그램의 사용자 에이전트 정보 |
ClientAppUsed |
string |
사용된 클라이언트 앱을 나타냅니다. |
Browser |
string |
로그인하는 데 사용되는 브라우저 버전에 대한 세부 정보 |
ConditionalAccessPolicies |
string |
로그인 이벤트에 적용된 조건부 액세스 정책의 세부 정보 |
ConditionalAccessStatus |
int |
로그인에 적용된 조건부 액세스 정책의 상태입니다. 가능한 값은 0(정책 적용), 1(정책 적용 시도 실패) 또는 2(정책이 적용되지 않은 경우)입니다. |
IPAddress |
string |
끝점에 할당되어 관련 네트워크 통신 중에 사용되는 IP 주소 |
Country |
string |
클라이언트 IP 주소가 지리적으로 위치가 지정되는 국가를 나타내는 두 글자 코드 |
State |
string |
로그인이 발생한 위치(사용 가능한 경우) |
City |
string |
계정 사용자가 있는 구 |
Latitude |
string |
로그인 위치의 북-남 좌표 |
Longitude |
string |
로그인 위치의 동쪽에서 서 좌표까지 |
NetworkLocationDetails |
string |
로그인 이벤트의 인증 프로세서의 네트워크 위치 세부 정보 |
RequestId |
string |
요청의 고유 식별자 |
ReportId |
string |
이벤트의 고유 식별자 |