Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Journaux générés par Identity Protection pour les événements à risque d’un utilisateur Azure AD.
Attributs de la table
| Attribut | Valeur |
|---|---|
| Types de ressources | - |
| Catégories | Audit, sécurité |
| Solutions | Gestion des logs |
| Journal de base | Oui |
| Transformation au moment de l’ingestion | Oui |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Catégorie | Descriptif |
|---|---|---|
| _BilledSize | réel | Taille de l’enregistrement en octets |
| CorrelationId | ficelle | ID des événements Log Analytics corrélés. Peut être utilisé pour identifier les événements corrélés entre plusieurs tables. |
| Id | ficelle | ID unique de l’utilisateur à risque. |
| _IsBillable | ficelle | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| IsDeleted | bool | Indique si l’utilisateur est supprimé. |
| IsProcessing | bool | Indique si l’état à risque d’un utilisateur est traité par le serveur principal. |
| NomOpération | ficelle | Nom de l’opération. |
| Détail du risque | ficelle | Détails du risque détecté. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskLastUpdatedDateTime | date et heure | Date et heure de la dernière mise à jour de l’utilisateur à risque au format UTC. |
| NiveauDeRisque | ficelle | Niveau de l’utilisateur à risque détecté. Les valeurs possibles sont les suivantes : faible, moyen, élevé, masqué, none, unknownFutureValue. |
| RiskState | ficelle | État du risque de l’utilisateur. Les valeurs possibles sont : aucun, confirmé comme sûr, corrigé, rejeté, à risque, confirmé compromis, valeur future inconnue. |
| SourceSystem | ficelle | Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| Id de locataire | ficelle | ID de l’espace de travail Log Analytics |
| TimeGenerated | date et heure | Date et heure de l’événement au format UTC. |
| Catégorie | ficelle | Le nom de la table |
| UserDisplayName | ficelle | Nom d’affichage de l’utilisateur à risque. |
| Nom Principal de l'Utilisateur | ficelle | Nom d’utilisateur principal à risque. |