AADUserRiskEvents
Von Identity Protection für Azure AD-Benutzerrisikoereignisse generierte Protokolle.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Überwachung, Sicherheit |
| Lösungen | LogManagement |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | Ja |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| Aktivität | Zeichenfolge | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user, unknownFutureValue. |
| ActivityDateTime | datetime | Datum und Uhrzeit des Auftretens der riskanten Aktivität. |
| AdditionalInfo | dynamisch | Zusätzliche Informationen, die dem Benutzerrisikoereignis im JSON-Format zugeordnet sind. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| CorrelationId | Zeichenfolge | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht einer Anmeldung zugeordnet ist. |
| DetectedDateTime | datetime | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. |
| DetectionTimingType | Zeichenfolge | Zeitpunkt des erkannten Risikos (Echtzeit/Offline). Mögliche Werte sind: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Id | string | Eindeutige ID des Risikoereignisses. |
| IpAddress | Zeichenfolge | Die IP-Adresse des Clients, von dem aus das Risiko aufgetreten ist. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LastUpdatedDateTime | datetime | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
| Standort | dynamisch | Speicherort der Anmeldung. |
| Vorgangsname | Zeichenfolge | Name des Vorgangs. |
| RequestId | Zeichenfolge | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht einer Anmeldung zugeordnet ist. |
| RiskDetail | Zeichenfolge | Details zum erkannten Risiko. Mögliche Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. |
| RiskLevel | Zeichenfolge | Ebene des erkannten Risikos. Mögliche Werte sind: niedrig, mittel, hoch, hidden, none, unknownFutureValue. |
| RiskState | Zeichenfolge | Der Status eines erkannten risikobehafteten Benutzers oder einer anmeldung. Mögliche Werte sind: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Quelle | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Das Datum und die Uhrzeit des Ereignisses in UTC. |
| TokenIssuerType | Zeichenfolge | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices, UnknownFutureValue. |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserDisplayName | Zeichenfolge | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |
| UserId | Zeichenfolge | Eindeutige ID des Benutzers. |
| UserPrincipalName | Zeichenfolge | Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für