Поделиться через


AADSignInEventsBeta

Область применения:

  • Microsoft Defender XDR

Важно!

Таблица AADSignInEventsBeta в настоящее время находится в бета-версии и предлагается на краткосрочной основе, чтобы вы могли просматривать Microsoft Entra события входа. Клиенты должны иметь лицензию Microsoft Entra ID P2 для сбора и просмотра действий для этой таблицы. Все сведения о схеме входа в конечном итоге переместятся в таблицу IdentityLogonEvents .

Таблица AADSignInEventsBeta в схеме расширенной охоты содержит сведения о Microsoft Entra интерактивных и неинтерактивных входах. Дополнительные сведения о входах в Microsoft Entra отчетах о действиях входа — предварительная версия.

Используйте этот справочник для создания запросов, возвращающих данные из таблицы. Сведения о других таблицах в расширенной схеме охоты см. в справочнике по расширенной охоте.



Имя столбца Тип данных Описание
Timestamp datetime Дата и время создания записи
Application string Приложение, выполняющее записанное действие
ApplicationId string Уникальный идентификатор приложения
LogonType string Тип сеанса входа, в частности интерактивный, удаленный интерактивный (RDP), сеть, пакет и служба
ErrorCode int Содержит код ошибки при входе. Чтобы найти описание определенного кода ошибки, посетите страницу https://aka.ms/AADsigninsErrorCodes.
CorrelationId string Уникальный идентификатор события входа
SessionId string Уникальный номер, назначенный пользователю сервером веб-сайта на время посещения или сеанса
AccountDisplayName string Имя, отображаемое в записи адресной книги для пользователя учетной записи. Обычно это сочетание заданного имени, среднего начального значения и фамилии пользователя.
AccountObjectId string Уникальный идентификатор учетной записи в Microsoft Entra ID
AccountUpn string Имя участника-пользователя (UPN) учетной записи
IsExternalUser int Указывает, является ли пользователь, вошедшего в систему, внешним. Возможные значения: -1 (не задано), 0 (не внешняя), 1 (внешняя).
IsGuestUser boolean Указывает, является ли пользователь, выполнившего вход, гостем в клиенте.
AlternateSignInName string Локальное имя участника-пользователя (UPN) пользователя, входом в Microsoft Entra ID
LastPasswordChangeTimestamp datetime Дата и время последнего изменения пароля пользователя, выполнившего вход
ResourceDisplayName string Отображаемое имя ресурса, к котором обращается доступ. Отображаемое имя может содержать любой символ.
ResourceId string Уникальный идентификатор ресурса, к который обращается
ResourceTenantId string Уникальный идентификатор клиента ресурса, к который обращается
DeviceName string Полное доменное имя (FQDN) устройства
AadDeviceId string Уникальный идентификатор устройства в Microsoft Entra ID
OSPlatform string Платформа операционной системы, работающей на устройстве. Указывает определенные операционные системы, включая варианты в пределах одного семейства, например Windows 11, Windows 10 и Windows 7.
DeviceTrustType string Указывает тип доверия устройства, выполнившего вход. Только для сценариев с управляемыми устройствами. Возможные значения: Workplace, AzureAd и ServerAd.
IsManaged int Указывает, является ли устройство, которое инициировало вход, управляемым устройством (1) или не является управляемым устройством (0).
IsCompliant int Указывает, соответствует ли устройство, инициировавшему вход (1) или не соответствует (0).
AuthenticationProcessingDetails string Сведения о обработчике проверки подлинности
AuthenticationRequirement string Тип проверки подлинности, необходимый для входа. Возможные значения: multiFactorAuthentication (требуется MFA) и singleFactorAuthentication (MFA не требуется).
TokenIssuerType int Указывает, является ли издатель маркера Microsoft Entra ID (0) или службы федерации Active Directory (AD FS) (1).
RiskLevelAggregated int Агрегированный уровень риска во время входа. Возможные значения: 0 (агрегированный уровень риска не задан), 1 (нет), 10 (низкий), 50 (средний) или 100 (высокий).
RiskDetails int Сведения о рискованном состоянии пользователя, выполнившего вход
RiskState int Указывает на рискованное состояние пользователя. Возможные значения: 0 (нет), 1 (подтверждено безопасно), 2 (исправлено), 3 (отклонено), 4 (под угрозой) или 5 (подтверждено компрометация).
UserAgent string Сведения об агенте пользователя из веб-браузера или другого клиентского приложения
ClientAppUsed string Указывает используемое клиентское приложение.
Browser string Сведения о версии браузера, используемой для входа
ConditionalAccessPolicies string Сведения о политиках условного доступа, применяемых к событию входа
ConditionalAccessStatus int Состояние политик условного доступа, применяемых к входу. Возможные значения: 0 (примененные политики), 1 (не удалось применить политики) или 2 (политики не применены).
IPAddress string IP-адрес, назначенный устройству во время связи
Country string Двухбуквенный код, указывающий страну или регион, в которых ip-адрес клиента географически расположен
State string Состояние, в котором выполнен вход (если доступно)
City string Город, в котором находится пользователь учетной записи
Latitude string Координаты с севера на юг расположения входа
Longitude string Координаты расположения входа с востока на запад
NetworkLocationDetails string Сведения о сетевом расположении обработчика проверки подлинности события входа
RequestId string Уникальный идентификатор запроса
ReportId string Уникальный идентификатор события

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender XDR Техническое сообщество.