AADUserRiskEvents
Journaux générés par Identity Protection pour les événements à risque utilisateur Azure AD.
Attributs de table
| Attribut | Valeur |
|---|---|
| Types de ressource | - |
| Catégories | Audit, Sécurité |
| Solutions | LogManagement |
| Journal de base | No |
| Transformation au moment de l’ingestion | Yes |
| Exemples de requêtes | Oui |
Colonnes
| Colonne | Type | Description |
|---|---|---|
| Activité | string | Indique le type d’activité auquel le risque détecté est lié. Les valeurs possibles sont : signin, user, unknownFutureValue. |
| ActivityDateTime | DATETIME | Date et heure auxquelles l’activité à risque s’est produite. |
| AdditionalInfo | dynamique | Informations supplémentaires associées à l’événement de risque utilisateur au format JSON. |
| _BilledSize | real | Taille de l’enregistrement en octets |
| CorrelationId | string | ID de corrélation de la connexion associée à la détection des risques. Cette propriété a la valeur Null si la détection des risques n’est pas associée à une connexion. |
| DetectedDateTime | DATETIME | Date et heure auxquelles le risque a été détecté. |
| DetectionTimingType | string | Minutage du risque détecté (temps réel/hors connexion). Les valeurs possibles sont les suivantes : notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Id | string | ID unique de l’événement à risque. |
| IpAddress | string | Adresse IP du client à partir duquel le risque s’est produit. |
| _IsBillable | string | Spécifie si l’ingestion des données est facturable. Lorsque _IsBillable l’ingestion n’est false pas facturée à votre compte Azure |
| LastUpdatedDateTime | DATETIME | Date et heure de la dernière mise à jour de la détection des risques. |
| Emplacement | dynamique | Emplacement de la connexion. |
| NomOpération | string | Nom de l’opération. |
| RequestId | string | ID de demande de la connexion associée à la détection des risques. Cette propriété a la valeur Null si la détection des risques n’est pas associée à une connexion. |
| RiskDetail | string | Détails du risque détecté. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskEventType | string | Type d’événement à risque détecté. |
| RiskLevel | string | Niveau du risque détecté. Les valeurs possibles sont : faible, moyen, élevé, masqué, aucun, unknownFutureValue. |
| RiskState | string | État d’un utilisateur ou d’une connexion à risque détecté. Les valeurs possibles sont : none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromated, unknownFutureValue. |
| Source | string | Source de la détection des risques. Par exemple, activeDirectory. |
| SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
| TenantId | string | ID de l’espace de travail Log Analytics |
| TimeGenerated | DATETIME | Date et heure de l’événement en UTC. |
| TokenIssuerType | string | Indique le type d’émetteur de jeton pour le risque de connexion détecté. Les valeurs possibles sont : AzureAD, ADFederationServices, UnknownFutureValue. |
| Type | string | Le nom de la table |
| UserDisplayName | string | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| UserId | string | ID unique de l’utilisateur. |
| UserPrincipalName | string | Nom d’utilisateur principal (UPN) de l’utilisateur. |
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour