Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Namespace: microsoft.graph
Stellt Informationen zu einem erkannten Risiko in einem Microsoft Entra Mandanten dar.
Microsoft Entra ID bewertet kontinuierlich Benutzerrisiken und App- oder Benutzeranmeldungsrisiken basierend auf verschiedenen Signalen und maschinellem Lernen. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen in Ihrer Microsoft Entra-Umgebung.
Weitere Informationen zur Risikoerkennung finden Sie unter Microsoft Entra ID Protection und Was sind Risikoerkennungen?
Hinweis
Die Verfügbarkeit von Risikoerkennungsdaten wird durch die Microsoft Entra Datenaufbewahrungsrichtlinien geregelt.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | riskDetection-Sammlung | Rufen Sie eine Liste der riskDetection-Objekte und deren Eigenschaften ab. |
| Get | riskDetection | Lesen der Eigenschaften und Beziehungen eines riskDetection-Objekts . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user und unknownFutureValue. |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| additionalInfo | Zeichenfolge | Zusätzliche Informationen zur Risikoerkennung im JSON-Format. Beispiel: "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Mögliche Schlüssel in der JSON-Zeichenfolge additionalInfo sind: , , , , , requestIddeviceInformationrelatedLocation, correlationIdmalwareNameclientLocationlastActivityTimeInUtc, , . riskReasonsclientIprelatedUserAgentrelatedEventTimeInUtcalertUrluserAgent Weitere Informationen zu riskReasons und möglichen Werten finden Sie unter riskReasons-Werte. |
| correlationId | String | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Zeitpunkt des erkannten Risikos (Echtzeit/Offline). Mögliche Werte: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Zeichenfolge | Eindeutige ID der Risikoerkennung. Geerbt von der Entität |
| ipAddress | String | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| location | signInLocation | Speicherort der Anmeldung. |
| requestId | Zeichenfolge | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| riskDetail | riskDetail | Details zum erkannten Risiko. Die möglichen Werte sind: none, adminGeneratedTemporaryPassword, userChangedPasswordOnPremises, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, , aiConfirmedSigninSafeadminConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hiddenadminConfirmedUserCompromised, , unknownFutureValue, . m365DAdminDismissedDetection Verwenden Sie den Prefer: include - unknown -enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: m365DAdminDismissedDetection. |
| riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravel, investigationsThreatIntelligence, suspiciousSendingPatternsleakedCredentials, , maliciousIPAddress,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRules , newCountry, , passwordSpray,riskyIPAddresssuspiciousAPITraffic , , suspiciousBrowser,suspiciousInboxForwardingsuspiciousIPAddress , tokenIssuerAnomaly, , unfamiliarFeatures, . unlikelyTravel Wenn es sich bei der Risikoerkennung um eine Premiumerkennung handelt, wird angezeigt generic. Weitere Informationen zu den einzelnen Werten finden Sie unter Risikotypen und Erkennung. |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Mögliche Werte sind: low, medium, high, hidden, none und unknownFutureValue. |
| riskState | riskState | Der Status eines erkannten risikobehafteten Benutzers oder einer Anmeldung. Mögliche Werte: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices und UnknownFutureValue. |
| userDisplayName | String | Der User Principal Name (UPN) des Benutzers. |
| userId | String | Eindeutige ID des Benutzers. |
| userPrincipalName | Zeichenfolge | Der User Principal Name (UPN) des Benutzers. |
riskReasons-Werte
| riskEventType | Wert | Anzeigezeichenfolge der Benutzeroberfläche |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Diese Anmeldung stammte von einer verdächtigen IP-Adresse. |
investigationsThreatIntelligence |
passwordSpray |
Dieses Benutzerkonto wurde von einem Kennwortspray angegriffen. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}