Ansichten:
Feldname
Typ
Allgemeines Feld
Beschreibung
Beispiel
Produkte
actionName
  • string
-
Die Benutzer- oder Dienstaktion
  • Create User
  • Add member to group
  • Update application
  • Microsoft Entra ID
Anwendung
  • string
-
Der angezeigte Name der Anwendung
  • app01
  • Microsoft Entra ID
applicationId
  • string
-
Die Microsoft Entra ID-Anwendungs-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Authentifizierungsprotokoll
  • string
-
Das Authentifizierungsprotokoll oder der Berechtigungstyp
  • none
  • oAuth2
  • Microsoft Entra ID
AutonomeSystemnummer
  • int
-
Die Netzwerk-Autonomous-System-Nummer
  • 1023
  • Microsoft Entra ID
Client-App
  • string
-
Die App, auf die der Client zugegriffen hat
  • browser
  • Mobile Apps and Desktop clients
  • Microsoft Entra ID
clientBrowser
  • string
-
Der Client-Browser
  • Chrome 119.0.0
  • Microsoft Entra ID
clientCredentialType
  • string
-
Der Anmeldedatentyp des Benutzerclients oder des Dienstprinzipals
  • none
  • clientSecret
  • Microsoft Entra ID
clientDisplayName
  • string
  • Endpunktname
Der Anzeigename des Clients
  • DESKTOP-TKOS222
  • Microsoft Entra ID
clientId
  • string
-
Die eindeutige Geräte-ID des Clients
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
clientOS
  • string
-
Das Client-Betriebssystem
  • Windows
  • Microsoft Entra ID
BedingterZugriffsstatus
  • string
-
Der Status der bedingten Zugriffsrichtlinie
  • success
  • failure
  • Microsoft Entra ID
correlationId
  • string
-
Die Korrelations-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
crossTenantAccessType
  • string
-
Der mandantenübergreifende Zugriffstyp
  • none
  • b2bCollaboration
  • Microsoft Entra ID
eventZusatzdetails
  • dynamic
-
Die Rohdatenzeichenfolge, die zusätzliche Informationen enthält
  • [{"key": "<example>","value": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)"}]
  • Microsoft Entra ID
Ereigniskategorie
  • string
-
Die durch das Ereignis anvisierte Ressourcenkategorie
  • UserManagement
  • ApplicationManagement
  • Microsoft Entra ID
eventId
  • string
-
Die Ereignis-ID des Identitätsanbieters
  • 1 - EVENT_SOURCE_AAD_SIGN_INS
  • 2 - EVENT_SOURCE_AAD_DIR_AUDIT
  • Microsoft Entra ID
eventName
  • string
-
Der Name des Identitätsanbieter-Ereignisses
  • 4624
  • aad_signin
  • Microsoft Entra ID
eventTime
  • real
-
Die Zeit, zu der der Identitätsanbieter das Ereignis erkannt hat
  • 1657781088000
  • Microsoft Entra ID
filterRiskLevel
  • string
-
Risikostufe der obersten Ebene des Ereignisses
  • info
  • low
  • medium
  • Alle Produkte
groupId
  • string
-
Die Gruppen-ID für den Verwaltungsscope-Filter
  • 11111111-1111-1111-1111-111111111111
  • Alle Produkte
idpId
  • string
-
Der interne Produktcode des Identitätsanbieters
  • aad
  • opa
  • Microsoft Entra ID
idpIssuerName
  • string
-
Der Identitätsanbieter, der das Token ausgestellt hat
  • sts.microsoft.com
  • Microsoft Entra ID
idpName
  • string
-
Der Identitätsanbieter
  • Microsoft Entra ID
  • Microsoft Active Directory
  • google
  • Microsoft Entra ID
incomingTokentype
  • string
-
Die Authentifizierungstoken-Typen
  • none
  • primaryRefreshToken
  • Microsoft Entra ID
initiatedByAppDisplayName
  • string
-
Der Anwendungsanzeigename
  • Microsoft Intune
  • Microsoft Entra ID
initiatedByAppId
  • string
-
Die durch das Ereignis anvisierte Ressourcenkategorie
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
initiatedByServicePrincipalId
  • string
-
Eindeutige ID des Dienstprinzipals
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
initiatedByServicePrincipalName
  • string
-
Eindeutige ID des Dienstprinzipals
  • Microsoft Intune
  • Microsoft Entra ID
initiatedByUserDisplayName
  • string
  • UserAccount
Der Anzeigename des Benutzers
  • Sample User
  • Microsoft Entra ID
initiatedByUserHomeTenantId
  • string
-
Die Mandanten-ID des Benutzers
  • Microsoft Entra ID
initiatedByUserHomeTenantName
  • string
-
Die Mandanten-ID des Benutzers
  • Microsoft Entra ID
initiatedByUserId
  • string
  • UserAccount
Die eindeutige ID des Benutzers, der das Ereignis initiiert hat
  • Microsoft Entra ID
initiatedByUserIpAddress
  • string
  • IPv4
  • IPv6
Die Client-IP des Benutzers
  • 10.10.10.10
  • Microsoft Entra ID
initiatedByUserPrincipalName
  • string
  • UserAccount
Der Benutzerprinzipalname des Benutzers
  • sample_email@trendmicro.com
  • Microsoft Entra ID
ipAdresse
  • string
  • IPv4
  • IPv6
Die Client-IP
  • 10.10.10.10
  • Microsoft Entra ID
locationCity
  • string
-
Die Stadt, in der das Ereignis stattfand
  • Singapore
  • Microsoft Entra ID
locationCountry
  • string
-
Das Land, in dem das Ereignis stattgefunden hat
  • US
  • TW
  • Microsoft Entra ID
locationLatitude
  • string
-
Die Breite des Veranstaltungsortes
  • 121.568
  • Microsoft Entra ID
locationLongitude
  • string
-
Die Längengrad des Veranstaltungsortes
  • 121.568
  • Microsoft Entra ID
locationState
  • string
-
Der Bundesstaat, in dem das Ereignis stattfand
  • Central Singapore
  • Microsoft Entra ID
logBatchId
  • string
-
Die Prozess-ID für die Batch-Datenabfrage
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
logEmpfangszeit
  • long
-
Der Zeitpunkt, zu dem das XDR-Protokoll empfangen wurde
  • 1656324260000
  • Alle Produkte
vomDienstprotokolliert
  • string
-
Der Dienst, der das Ereignis initiiert hat
  • Core Directory
  • Microsoft Entra ID
operationType
  • string
-
Der Vorgang, der im Ereignis ausgeführt wurde
  • Add
  • Assign
  • Update
  • Microsoft Entra ID
orgId
  • string
-
Die Organisations-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
pname
  • string
-
Die interne Produkt-ID
  • 2200
  • 751
  • 533
  • Microsoft Entra ID
policyTreePath
  • string
-
Der Richtlinienbaum-Pfad (nur Endpunkt)
  • policyname1/policyname2/policyname3
  • Alle Produkte
principalName
  • string
  • UserAccount
Der Benutzerprinzipalname
  • sample_email@trendmicro.com
  • Microsoft Entra ID
productCode
  • string
-
Der interne Produktcode des Identitätsanbieters (aad=Microsoft Entra ID, opa=Microsoft Active Directory)
  • aad
  • opa
  • Alle Produkte
  • Microsoft Entra ID
requestMethod
  • string
-
Die Anmeldungsauthentifizierungsmethode
  • [{"authenticationStepDateTime": "2023-11-28T03:44:05Z","authenticationMethod": "Previously satisfied","authenticationMethodDetail": null,"succeeded" : true,"authenticationStepResultDetail": "MFA requirement satisfied by claim in the Token","authenticationStepRequirement": ""}]
  • Microsoft Entra ID
Ergebnis
  • string
-
Das Ereignisergebnis
  • success
  • failure
  • timeout
  • Microsoft Entra ID
Ergebnisgrund
  • string
-
Die Ursache für das Ereignisversagen oder den Timeout
  • success
  • failure
  • timeout
  • Microsoft Entra ID
riskEventTypes
  • dynamic
-
Die zugehörigen Anmelderisiko-Ereignistypen
  • -
  • Microsoft Entra ID
servicePrincipalId
  • string
-
Die Dienstprinzipal-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
servicePrincipalName
  • string
-
Der Dienstprinzipalname
  • Service_01
  • Microsoft Entra ID
signInEventTypes
  • dynamic
-
Der Anmeldeereignistyp
  • -
  • Microsoft Entra ID
signInIdentifierType
  • string
-
Der Anmeldungs-ID-Typ
  • userPrincipalName
  • phoneNumber
  • Microsoft Entra ID
status
  • string
-
Das Anmeldestatus-Ergebnis
  • 0
  • 50126
  • 50155
  • Microsoft Entra ID
statusDetail
  • string
-
Die zusätzlichen Informationen zum Anmeldestatus
  • MFA requirement satisfied by claim in the token
  • Microsoft Entra ID
statusReason
  • string
-
Der Anmeldestatus
  • Error validating credentials due to invalid username or password.
  • Others.
  • Microsoft Entra ID
Tags
  • dynamic
  • Technik
  • Taktik
Die von Trend Vision One basierend auf dem Alarmfilter erkannte Angriffstechnik-ID
  • MITREV9.T1057
  • MITREV9.T1059.003
  • XSAE.F2924
  • Alle Produkte
Zielressourcenanzeigename
  • string
-
Der Anzeigename der Zielressource
  • Microsoft Graph
  • Microsoft Entra ID
Zielressourcen-ID
  • string
-
Die Zielressourcen-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Zielressourcen
  • dynamic
-
Die Zielressource des Ereignisses
  • Microsoft Entra ID
Mandanten-ID
  • string
-
Die Microsoft Entra ID-Mandanten-ID der Organisation
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
userAgent
  • string
-
Der Benutzeragent
  • Microsoft.OData.Client/7.12.5
  • Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
  • Microsoft Entra ID
BenutzerAnzeigename
  • string
  • UserAccount
Der Anzeigename des Benutzers
  • Test User(RD-TW)
  • Microsoft Entra ID
userId
  • string
  • UserAccount
Die Benutzer-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
userSessionId
  • string
-
Die Sitzungs-ID
  • 11111111-1111-1111-1111-111111111111
  • Microsoft Entra ID
Benutzertyp
  • string
-
Der Mandantenbenutzertyp
  • member
  • guest
  • Microsoft Entra ID
uuid
  • string
-
Der eindeutige Schlüssel des Protokolleintrags
  • 11111111-1111-1111-1111-111111111111
  • Alle Produkte