Тип ресурса riskDetection
Пространство имен: microsoft.graph
Представляет сведения об обнаруженном риске в клиенте Microsoft Entra.
Microsoft Entra ID постоянно оценивает риски пользователей и рисков при входе в приложения или пользователя на основе различных сигналов и машинного обучения. Этот API предоставляет программный доступ ко всем обнаружениям рисков в Microsoft Entra среде.
Дополнительные сведения об обнаружении рисков см. в разделах Защита Microsoft Entra ID и Что такое обнаружение рисков?
Примечание.
Доступность данных обнаружения рисков регулируется политиками хранения данных Microsoft Entra.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция riskDetection | Получение списка объектов riskDetection и их свойств. |
| Получение | riskDetection | Чтение свойств и связей объекта riskDetection . |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| действие | activityType | Указывает тип действия, с который связан обнаруженный риск. Возможные значения: signin, user, unknownFutureValue. |
| activityDateTime | DateTimeOffset | Дата и время выполнения рискованных действий. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, полночь в формате UTC 1 января 2014 г. выглядит следующим образом: 2014-01-01T00:00:00Z |
| additionalInfo | String | Дополнительные сведения, связанные с обнаружением рисков, в формате JSON. Например, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Возможные ключи в строке JSON additionalInfo: userAgent, alertUrl, relatedEventTimeInUtc, relatedUserAgent, deviceInformation, relatedLocation, requestId, correlationId, , lastActivityTimeInUtcmalwareName, clientLocation, , clientIp. riskReasons Дополнительные сведения о riskReasons и возможных значениях см. в разделе Значения riskReasons. |
| correlationId | String | Идентификатор корреляции входа, связанного с обнаружением риска. Это свойство имеет значение, null если обнаружение риска не связано со вхожением. |
| detectedDateTime | DateTimeOffset | Дата и время обнаружения риска. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, полночь в формате UTC 1 января 2014 г. выглядит следующим образом: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Время обнаружения риска (в режиме реального времени или в автономном режиме). Возможные значения: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | String | Уникальный идентификатор обнаружения риска. Наследуется от сущности |
| ipAddress | String | Предоставляет IP-адрес клиента, с которого возник риск. |
| lastUpdatedDateTime | DateTimeOffset | Дата и время последнего обновления обнаружения рисков. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, полночь в формате UTC 1 января 2014 г. выглядит следующим образом: 2014-01-01T00:00:00Z |
| location | signInLocation | Расположение входа. |
| requestId | String | Идентификатор запроса для входа, связанного с обнаружением риска. Это свойство имеет значение, null если обнаружение риска не связано со вхожением. |
| riskDetail | riskDetail | Сведения об обнаружении риска. Возможные значения: none, , adminGeneratedTemporaryPassword, userChangedPasswordOnPremisesuserPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, , adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, , adminConfirmedUserCompromised, unknownFutureValue, . m365DAdminDismissedDetection Обратите внимание, что необходимо использовать Prefer: include - unknown -enum-members заголовок запроса, чтобы получить следующие значения в этом развиваемом перечислении: m365DAdminDismissedDetection. |
| riskEventType | String | Тип обнаруженного события риска. Возможные значения: adminConfirmedUserCompromised, , anomalousToken, anomalousUserActivity, genericanonymizedIPAddress, impossibleTravel, investigationsThreatIntelligence, suspiciousSendingPatterns, leakedCredentials, maliciousIPAddressmalwareInfectedIPAddressmcasSuspiciousInboxManipulationRulesnewCountrypasswordSpray,riskyIPAddress , suspiciousAPITraffic, suspiciousBrowser,suspiciousInboxForwarding , . unlikelyTravelsuspiciousIPAddresstokenIssuerAnomalyunfamiliarFeatures Если обнаружение риска является обнаружением уровня "Премиум", отобразится значение generic. Дополнительные сведения о каждом значении см. в разделе Типы рисков и обнаружение. |
| riskLevel | riskLevel | Уровень обнаруженного риска. Возможные значения: low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | Состояние обнаруженного опасного пользователя или входа. Возможные значения: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | String | Источник обнаружения рисков. Например, activeDirectory. |
| tokenIssuerType | tokenIssuerType | Указывает тип издателя маркера для обнаруженного риска входа. Возможные значения: AzureAD, ADFederationServices, UnknownFutureValue. |
| userDisplayName | String | Имя участника-пользователя. |
| userId | String | Уникальный идентификатор пользователя. |
| userPrincipalName | String | Имя участника-пользователя. |
значения riskReasons
| riskEventType | Значение | Строка отображения пользовательского интерфейса |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Вход выполнен с подозрительного IP-адреса. |
investigationsThreatIntelligence |
passwordSpray |
Эта учетная запись пользователя подверглась атаке с помощью распыления паролей. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}