Ansichten:
Wichtig
Wichtig
Diese Datenquellenabfragemethode ist nach dem 2. Februar 2026 nicht mehr verfügbar. Für weitere Informationen zu den derzeit verfügbaren Datenquellen für Abfragen im XDR Data Explorer gehen Sie zu https://trendmicro.github.io/tm-v1-schema/pages/index.
Feldname
Typ
Allgemeines Feld
Beschreibung
Beispiel
Produkte
actionName
  • string
-
Die Benutzer- oder Dienstaktion
  • Create User
  • Add member to group
  • Update application
  • Microsoft Entra ID
Anwendung
  • string
-
Der angezeigte Name der Anwendung
  • app01
  • Microsoft Entra ID
applicationId
  • string
-
Die Microsoft Entra ID-Anwendungs-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Authentifizierungsprotokoll
  • string
-
Das Authentifizierungsprotokoll oder der Berechtigungstyp
  • none
  • oAuth2
  • Microsoft Entra ID
AutonomeSystemnummer
  • int
-
Die Netzwerk-Autonomous-System-Nummer
  • 1023
  • Microsoft Entra ID
Client-App
  • string
-
Die App, auf die der Client zugegriffen hat
  • browser
  • Mobile Apps and Desktop clients
  • Microsoft Entra ID
clientBrowser
  • string
-
Der Client-Browser
  • Chrome 119.0.0
  • Microsoft Entra ID
clientCredentialType
  • string
-
Der Anmeldedatentyp des Benutzerclients oder des Dienstprinzipals
  • none
  • clientSecret
  • Microsoft Entra ID
clientDisplayName
  • string
  • Endpunktname
Der Anzeigename des Clients
  • DESKTOP-TKOS222
  • Microsoft Entra ID
clientId
  • string
-
Die eindeutige Geräte-ID des Clients
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
clientOS
  • string
-
Das Client-Betriebssystem
  • Windows
  • Microsoft Entra ID
BedingterZugriffsstatus
  • string
-
Der Status der bedingten Zugriffsrichtlinie
  • success
  • failure
  • Microsoft Entra ID
correlationId
  • string
-
Die Korrelations-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
crossTenantAccessType
  • string
-
Der mandantenübergreifende Zugriffstyp
  • none
  • b2bCollaboration
  • Microsoft Entra ID
eventZusatzdetails
  • dynamic
-
Die Rohdatenzeichenfolge, die zusätzliche Informationen enthält
  • [{"key": "<example>","value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)"}]
  • Microsoft Entra ID
Ereigniskategorie
  • string
-
Die durch das Ereignis anvisierte Ressourcenkategorie
  • UserManagement
  • ApplicationManagement
  • Microsoft Entra ID
eventId
  • string
-
Die Ereignis-ID des Identitätsanbieters
  • 1 - EVENT_SOURCE_AAD_SIGN_INS
  • 2 - EVENT_SOURCE_AAD_DIR_AUDIT
  • Microsoft Entra ID
eventName
  • string
-
Der Name des Identitätsanbieter-Ereignisses
  • 4624
  • aad_signin
  • Microsoft Entra ID
eventTime
  • real
-
Die Zeit, zu der der Identitätsanbieter das Ereignis erkannt hat
  • 1657781088000
  • Microsoft Entra ID
filterRiskLevel
  • string
-
Risikostufe der obersten Ebene des Ereignisses
  • info
  • low
  • medium
  • Alle Produkte
groupId
  • string
-
Die Gruppen-ID für den Verwaltungsscope-Filter
  • 11111111-1111-1111-1111-111111111111
  • Alle Produkte
idpId
  • string
-
Der interne Produktcode des Identitätsanbieters
  • aad
  • opa
  • Microsoft Entra ID
idpIssuerName
  • string
-
Der Identitätsanbieter, der das Token ausgestellt hat
  • sts.microsoft.com
  • Microsoft Entra ID
idpName
  • string
-
Der Identitätsanbieter
  • Microsoft Entra ID
  • Microsoft Active Directory
  • google
  • Microsoft Entra ID
incomingTokentype
  • string
-
Die Authentifizierungstoken-Typen
  • none
  • primaryRefreshToken
  • Microsoft Entra ID
initiatedByAppDisplayName
  • string
-
Der Anwendungsanzeigename
  • Microsoft Intune
  • Microsoft Entra ID
initiatedByAppId
  • string
-
Die durch das Ereignis anvisierte Ressourcenkategorie
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
initiatedByServicePrincipalId
  • string
-
Eindeutige ID des Dienstprinzipals
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
initiatedByServicePrincipalName
  • string
-
Eindeutige ID des Dienstprinzipals
  • Microsoft Intune
  • Microsoft Entra ID
initiatedByUserDisplayName
  • string
  • UserAccount
Der Anzeigename des Benutzers
  • Sample User
  • Microsoft Entra ID
initiatedByUserHomeTenantId
  • string
-
Die Mandanten-ID des Benutzers
  • Microsoft Entra ID
initiatedByUserHomeTenantName
  • string
-
Die Mandanten-ID des Benutzers
  • Microsoft Entra ID
initiatedByUserId
  • string
  • UserAccount
Die eindeutige ID des Benutzers, der das Ereignis initiiert hat
  • Microsoft Entra ID
initiatedByUserIpAddress
  • string
  • IPv4
  • IPv6
Die Client-IP des Benutzers
  • 10.10.10.10
  • Microsoft Entra ID
initiatedByUserPrincipalName
  • string
  • UserAccount
Der Benutzerprinzipalname des Benutzers
  • sample_email@trendmicro.com
  • Microsoft Entra ID
ipAdresse
  • string
  • IPv4
  • IPv6
Die Client-IP
  • 10.10.10.10
  • Microsoft Entra ID
locationCity
  • string
-
Die Stadt, in der das Ereignis stattfand
  • Singapore
  • Microsoft Entra ID
locationCountry
  • string
-
Das Land, in dem das Ereignis stattgefunden hat
  • US
  • TW
  • Microsoft Entra ID
locationLatitude
  • string
-
Die Breite des Veranstaltungsortes
  • 121.568
  • Microsoft Entra ID
locationLongitude
  • string
-
Die Längengrad des Veranstaltungsortes
  • 121.568
  • Microsoft Entra ID
locationState
  • string
-
Der Bundesstaat, in dem das Ereignis stattfand
  • Central Singapore
  • Microsoft Entra ID
logBatchId
  • string
-
Die Prozess-ID für die Batch-Datenabfrage
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
logEmpfangszeit
  • long
-
Der Zeitpunkt, zu dem das XDR-Protokoll empfangen wurde
  • 1656324260000
  • Alle Produkte
vomDienstprotokolliert
  • string
-
Der Dienst, der das Ereignis initiiert hat
  • Core Directory
  • Microsoft Entra ID
operationType
  • string
-
Der Vorgang, der im Ereignis ausgeführt wurde
  • Add
  • Assign
  • Update
  • Microsoft Entra ID
orgId
  • string
-
Die Organisations-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
pname
  • string
-
Die interne Produkt-ID
  • 2200
  • 751
  • 533
  • Microsoft Entra ID
policyTreePath
  • string
-
Der Richtlinienbaum-Pfad (nur Endpunkt)
  • policyname1/policyname2/policyname3
  • Alle Produkte
principalName
  • string
  • UserAccount
Der Benutzerprinzipalname
  • sample_email@trendmicro.com
  • Microsoft Entra ID
productCode
  • string
-
Der interne Produktcode des Identitätsanbieters (aad=Microsoft Entra ID, opa=Microsoft Active Directory)
  • aad
  • opa
  • Alle Produkte
  • Microsoft Entra ID
requestMethod
  • string
-
Die Anmeldungsauthentifizierungsmethode
  • [{"authenticationStepDateTime": "2023-11-28T03:44:05Z","authenticationMethod": "Previously satisfied","authenticationMethodDetail": null,"succeeded" : true,"authenticationStepResultDetail": "MFA requirement satisfied by claim in the Token","authenticationStepRequirement": ""}]
  • Microsoft Entra ID
Ergebnis
  • string
-
Das Ereignisergebnis
  • success
  • failure
  • timeout
  • Microsoft Entra ID
Ergebnisgrund
  • string
-
Die Ursache für das Ereignisversagen oder den Timeout
  • success
  • failure
  • timeout
  • Microsoft Entra ID
riskEventTypes
  • dynamic
-
Die zugehörigen Anmelderisiko-Ereignistypen
  • -
  • Microsoft Entra ID
servicePrincipalId
  • string
-
Die Dienstprinzipal-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
servicePrincipalName
  • string
-
Der Dienstprinzipalname
  • Service_01
  • Microsoft Entra ID
signInEventTypes
  • dynamic
-
Der Anmeldeereignistyp
  • -
  • Microsoft Entra ID
signInIdentifierType
  • string
-
Der Anmeldungs-ID-Typ
  • userPrincipalName
  • phoneNumber
  • Microsoft Entra ID
status
  • string
-
Das Anmeldestatus-Ergebnis
  • 0
  • 50126
  • 50155
  • Microsoft Entra ID
statusDetail
  • string
-
Die zusätzlichen Informationen zum Anmeldestatus
  • MFA requirement satisfied by claim in the token
  • Microsoft Entra ID
statusReason
  • string
-
Der Anmeldestatus
  • Error validating credentials due to invalid username or password.
  • Others.
  • Microsoft Entra ID
Tags
  • dynamic
  • Technik
  • Taktik
Die von Trend Vision One basierend auf dem Alarmfilter erkannte Angriffstechnik-ID
  • MITREV9.T1057
  • MITREV9.T1059.003
  • XSAE.F2924
  • Alle Produkte
Zielressourcenanzeigename
  • string
-
Der Anzeigename der Zielressource
  • Microsoft Graph
  • Microsoft Entra ID
Zielressourcen-ID
  • string
-
Die Zielressourcen-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Zielressourcen
  • dynamic
-
Die Zielressource des Ereignisses
  • Microsoft Entra ID
Mandanten-ID
  • string
-
Die Microsoft Entra ID-Mandanten-ID der Organisation
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
userAgent
  • string
-
Der Benutzeragent
  • Microsoft.OData.Client/7.12.5
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
  • Microsoft Entra ID
BenutzerAnzeigename
  • string
  • UserAccount
Der Anzeigename des Benutzers
  • Test User(RD-TW)
  • Microsoft Entra ID
userId
  • string
  • UserAccount
Die Benutzer-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
userSessionId
  • string
-
Die Sitzungs-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Benutzertyp
  • string
-
Der Mandantenbenutzertyp
  • member
  • guest
  • Microsoft Entra ID
uuid
  • string
-
Der eindeutige Schlüssel des Protokolleintrags
  • 11111111-1111-1111-1111-111111111111
  • Alle Produkte