Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Логи, созданные службой защиты удостоверений для событий риска пользователей Azure AD.
Атрибуты таблицы
| Атрибут | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Аудит, безопасность |
| Решения | Управление журналами |
| Базовый журнал | Нет |
| Трансформация в момент получения данных | Да |
| Примеры запросов | Да |
Столбцы
| Column | Тип | Описание |
|---|---|---|
| Вид занятий | строка | Указывает тип действия, с с который связан обнаруженный риск. Возможные значения: "signin", "user", "unknownFutureValue". |
| ДатаВремяАктивности | дата и время | Дата и время возникновения рискованного действия. |
| Дополнительная информация | динамичный | Дополнительные сведения, связанные с событием риска пользователя в формате JSON. |
| _BilledSize | реальный | Размер записи в байтах |
| CorrelationId | строка | Идентификатор корреляции входа, связанного с выявлением риска. Это свойство равно NULL, если обнаружение рисков не связано с входом. |
| Дата и время обнаружения | дата и время | Дата и время обнаружения риска. |
| Тип временных характеристик обнаружения | строка | Время обнаруженного риска (в режиме реального времени или в автономном режиме). Возможные значения: "notDefined", "realtime", "nearRealtime", "offline", "unknownFutureValue". |
| Идентификатор | строка | Уникальный идентификатор события риска. |
| IP-адрес | строка | IP-адрес клиента, из которого произошел риск. |
| _IsПлатежеспособно | строка | Указывает, является ли загрузка данных платной. Если _IsBillable false, то за прием не взимается плата на учетную запись Azure. |
| ДатаВремяПоследнегоОбновления | дата и время | Дата и время последнего обновления обнаружения рисков. |
| Расположение | динамичный | Местоположение для входа в систему. |
| Название операции | строка | Имя операции. |
| RequestId | строка | Идентификатор запроса на вход, связанного с обнаружением риска. Это свойство равно NULL, если обнаружение рисков не связано с входом. |
| Детали риска | строка | Сведения об обнаружении риска. Возможные значения: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| Тип рискового события | строка | Тип обнаруженного события риска. |
| Уровень риска | строка | Уровень обнаруженного риска. Возможные значения: низкий, средний, высокий, скрытый, нет, unknownFutureValue. |
| RiskState | строка | Состояние обнаруженного опасного пользователя или входа. Возможные значения: нет, подтверждено безопасное, исправлено, отклонено, под угрозой, подтверждено скомпрометированное, неизвестное будущее значение. |
| Источник | строка | Источник обнаружения рисков. Например, activeDirectory. |
| SourceSystem | строка | Тип агента, которым было собрано событие. Например, OpsManager для агента Windows прямого подключения или Operations Manager, Linux для всех агентов Linux, или Azure для Диагностики Azure. |
| ИдентификаторАрендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Дата и время события в формате UTC. |
| ТипЭмитентаТокена | строка | Указывает тип издателя токена для обнаруженного риска входа. Возможные значения: AzureAD, ADFederationServices, UnknownFutureValue. |
| Тип | строка | Имя таблицы. |
| ИмяПользователя | строка | Основное имя пользователя (UPN) пользователя. |
| UserId | строка | Уникальный ИД пользователя. |
| UserPrincipalName (Имя принципала пользователя) | строка | Основное имя пользователя (UPN) пользователя. |