Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Protokolle, die durch den Identitätsschutz für Benutzer-Risikoereignisse in Azure AD generiert werden.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Überwachung, Sicherheit |
| Lösungen | Protokollverwaltung |
| Standardprotokoll | Ja |
| Transformation zur Erfassungszeit | Ja |
| Beispielabfragen | Ja |
Spalten
| Kolumne | Typ | Beschreibung |
|---|---|---|
| Aktivität | Zeichenfolge | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user, unknownFutureValue. |
| AktivitätsdatumUhrzeit | Datum/Uhrzeit | Datum und Uhrzeit, zu dem die riskante Aktivität in UTC aufgetreten ist. |
| Zusätzliche Informationen | dynamisch | Zusätzliche Informationen, die dem Benutzerrisikoereignis im JSON-Format zugeordnet sind. |
| _BilledSize | Echt | Die Datensatzgröße in Bytes. |
| CorrelationId | Zeichenfolge | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht mit einer Anmeldung verknüpft ist. |
| Erkennungszeitpunkt | Datum/Uhrzeit | Datum und Uhrzeit, zu dem das Risiko in UTC erkannt wurde. |
| Erkennungszeittyp | Zeichenfolge | Zeitpunkt der Erkennung des Risikos (Echtzeit/Offline). Mögliche Werte sind: nicht definiert, Echtzeit, nahezu Echtzeit, offline, unbekannter zukünftiger Wert. |
| Id | Zeichenfolge | Eindeutige ID des Risikoereignisses. |
| IP-Adresse | Zeichenfolge | Die IP-Adresse des Clients, von wo aus das Risiko aufgetreten ist. |
| _IstAbrechnungsfähig | Zeichenfolge | Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn „_IsBillable“ auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| Datum und Uhrzeit der letzten Aktualisierung | Datum/Uhrzeit | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung in UTC. |
| Standort | dynamisch | Ort der Anmeldung. |
| Vorgangsname | Zeichenfolge | Name des Vorgangs. |
| Anfrage-ID | Zeichenfolge | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht mit einer Anmeldung verknüpft ist. |
| Risikodetail | Zeichenfolge | Details zum erkannten Risiko. Mögliche Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| Risikoereignistyp | Zeichenfolge | Der Typ des erkannten Risikoereignisses. |
| Risikostufe | Zeichenfolge | Ebene des erkannten Risikos. Mögliche Werte sind: niedrig, mittel, hoch, ausgeblendet, keine, unbekannterZukunftswert. |
| RiskState | Zeichenfolge | Der Status eines erkannten riskanten Benutzers oder einer Anmeldung. Mögliche Werte sind: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Quelle | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| SourceSystem | Zeichenfolge | Typ des Agents, von dem das Ereignis erfasst wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Mieter-ID | Zeichenfolge | Die ID des Log Analytics-Arbeitsbereichs. |
| Zeitpunkt der Generierung | Datum/Uhrzeit | Das Datum und die Uhrzeit des Ereignisses in UTC. |
| Token-Ausgabetyp | Zeichenfolge | Gibt den Typ des Tokenherausgebers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices, UnknownFutureValue. |
| Typ | Zeichenfolge | Der Name der Tabelle. |
| Benutzeranzeigename | Zeichenfolge | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |
| Benutzer-ID | Zeichenfolge | Eindeutige ID des Benutzers. |
| Benutzerhauptname | Zeichenfolge | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |