名前空間: microsoft.graph
Microsoft Entra テナントで検出されたリスクに関する情報を表します。
Microsoft Entra IDは、さまざまなシグナルと機械学習に基づいて、ユーザー のリスクとアプリまたはユーザーのサインイン リスクを継続的に評価します。 この API を使用すると、Microsoft Entra環境内のすべてのリスク検出にプログラムからアクセスできます。
リスク検出の詳細については、「Microsoft Entra ID保護」と「リスク検出とは」を参照してください。
注:
リスク検出データの可用性は、Microsoft Entraデータ保持ポリシーによって管理されます。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| List | riskDetection コレクション | riskDetection オブジェクトとそのプロパティの一覧を取得します。 |
| Get | riskDetection | riskDetection オブジェクトのプロパティとリレーションシップを読み取ります。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| アクティビティ | activityType | 検出されたリスクがリンクされているアクティビティの種類を示します。 |
| activityDateTime | DateTimeOffset | 危険なアクティビティが発生した日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| additionalInfo | 文字列 | JSON 形式のリスク検出に関連する追加情報。 たとえば、「 "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]" 」のように入力します。 additionalInfo JSON 文字列で使用できるキーは、 userAgent、 alertUrl、 relatedEventTimeInUtc、 relatedUserAgent、 deviceInformation、 relatedLocation、 requestId、 correlationId、 lastActivityTimeInUtc、 malwareName、 clientLocation、 clientIp、 riskReasonsです。 riskReasons と考えられる値の詳細については、「 riskReasons 値」を参照してください。 |
| correlationId | String | リスク検出に関連付けられているサインインの関連付け ID。 このプロパティは、リスク検出がサインインに関連付けられていない場合に null されます。 |
| detectedDateTime | DateTimeOffset | リスクが検出された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 検出されたリスクのタイミング (リアルタイム/オフライン)。 使用可能な値: notDefined、realtime、nearRealtime、offline、unknownFutureValue。 |
| id | 文字列 | リスク検出の一意の ID。 エンティティから継承 |
| ipAddress | String | リスクが発生したクライアントの IP アドレスを提供します。 |
| lastUpdatedDateTime | DateTimeOffset | リスク検出が最後に更新された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| location | signInLocation | サインインの場所。 |
| requestId | 文字列 | リスク検出に関連付けられているサインインの要求 ID。 このプロパティは、リスク検出がサインインに関連付けられていない場合に null されます。 |
| riskDetail | riskDetail | 検出されたリスクの詳細。 |
| riskEventType | 文字列 | 検出されたリスク イベントの種類。 使用可能な値は adminConfirmedUserCompromisedです。 anomalousToken、 anomalousUserActivity、 anonymizedIPAddress、 generic、 impossibleTravel、 investigationsThreatIntelligence、 suspiciousSendingPatterns、 leakedCredentials、 maliciousIPAddress、malwareInfectedIPAddress、 mcasSuspiciousInboxManipulationRules、 newCountry、 passwordSpray、riskyIPAddress、 suspiciousAPITraffic、 suspiciousBrowser、suspiciousInboxForwarding、 suspiciousIPAddress、 tokenIssuerAnomaly、 unfamiliarFeatures、 unlikelyTravel。 リスク検出がプレミアム検出の場合は、 genericが表示されます。 各値の詳細については、「 リスクの種類と検出」を参照してください。 |
| riskLevel | riskLevel | 検出されたリスクのレベル。 使用可能な値: low、medium、high、hidden、none、unknownFutureValue。 |
| riskState | riskState | 危険なユーザーまたはサインインが検出された状態。 使用可能な値: none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。 |
| source | 文字列 | リスク検出のソース。 たとえば、「 activeDirectory 」のように入力します。 |
| tokenIssuerType | tokenIssuerType | 検出されたサインイン リスクのトークン発行者の種類を示します。 使用可能な値: AzureAD、ADFederationServices、UnknownFutureValue。 |
| userDisplayName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
| userId | String | ユーザーの一意の ID。 |
| userPrincipalName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
riskReasons の値
| riskEventType | 値 | UI 表示文字列 |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
このサインインは、疑わしい IP アドレスからのものでした |
investigationsThreatIntelligence |
passwordSpray |
このユーザー アカウントは、パスワード スプレーによって攻撃されました。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}