riskDetection-Ressourcentyp
Namespace: microsoft.graph
Stellt Informationen zu einem erkannten Risiko in einem Microsoft Entra Mandanten dar.
Microsoft Entra ID bewertet kontinuierlich Benutzerrisiken und App- oder Benutzeranmeldungsrisiken basierend auf verschiedenen Signalen und maschinellem Lernen. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen in Ihrer Microsoft Entra-Umgebung.
Weitere Informationen zur Risikoerkennung finden Sie unter Microsoft Entra ID Protection und Was sind Risikoerkennungen?
Hinweis
Die Verfügbarkeit von Risikoerkennungsdaten wird durch die Microsoft Entra Datenaufbewahrungsrichtlinien geregelt.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | riskDetection-Sammlung | Rufen Sie eine Liste der riskDetection-Objekte und deren Eigenschaften ab. |
| Get | riskDetection | Lesen der Eigenschaften und Beziehungen eines riskDetection-Objekts . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user und unknownFutureValue. |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| additionalInfo | Zeichenfolge | Zusätzliche Informationen zur Risikoerkennung im JSON-Format. Beispiel: "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Mögliche Schlüssel in der JSON-Zeichenfolge additionalInfo sind: , , , , , requestIddeviceInformationrelatedLocation, correlationIdmalwareNameclientLocationlastActivityTimeInUtc, , . riskReasonsclientIprelatedUserAgentrelatedEventTimeInUtcalertUrluserAgent Weitere Informationen zu riskReasons und möglichen Werten finden Sie unter riskReasons-Werte. |
| correlationId | String | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Zeitpunkt des erkannten Risikos (Echtzeit/Offline). Mögliche Werte: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Zeichenfolge | Eindeutige ID der Risikoerkennung. Geerbt von der Entität |
| ipAddress | String | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| location | signInLocation | Speicherort der Anmeldung. |
| requestId | Zeichenfolge | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| riskDetail | riskDetail | Details zum erkannten Risiko. Die möglichen Werte sind: none, adminGeneratedTemporaryPassword, userChangedPasswordOnPremises, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, , aiConfirmedSigninSafeadminConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hiddenadminConfirmedUserCompromised, , unknownFutureValue, . m365DAdminDismissedDetection Beachten Sie, dass Sie den Prefer: include - unknown -enum-members Anforderungsheader verwenden müssen, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: m365DAdminDismissedDetection. |
| riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravel, investigationsThreatIntelligence, suspiciousSendingPatternsleakedCredentials, , maliciousIPAddress,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRules , newCountry, , passwordSpray,riskyIPAddresssuspiciousAPITraffic , , suspiciousBrowser,suspiciousInboxForwardingsuspiciousIPAddress , tokenIssuerAnomaly, , unfamiliarFeatures, . unlikelyTravel Wenn es sich bei der Risikoerkennung um eine Premiumerkennung handelt, wird angezeigt generic. Weitere Informationen zu den einzelnen Werten finden Sie unter Risikotypen und Erkennung. |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Mögliche Werte sind: low, medium, high, hidden, none und unknownFutureValue. |
| riskState | riskState | Der Status eines erkannten risikobehafteten Benutzers oder einer Anmeldung. Mögliche Werte: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices und UnknownFutureValue. |
| userDisplayName | String | Der User Principal Name (UPN) des Benutzers. |
| userId | String | Eindeutige ID des Benutzers. |
| userPrincipalName | Zeichenfolge | Der User Principal Name (UPN) des Benutzers. |
riskReasons-Werte
| riskEventType | Wert | Anzeigezeichenfolge der Benutzeroberfläche |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Diese Anmeldung stammte von einer verdächtigen IP-Adresse. |
investigationsThreatIntelligence |
passwordSpray |
Dieses Benutzerkonto wurde von einem Kennwortspray angegriffen. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}