Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Loggar som genereras av identitetsskydd för Azure AD-användarriskhändelser.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | Granskning, säkerhet |
| Lösningar | Logghantering |
| Grundläggande logg | Ja |
| Förtäringstidstransformation | Ja |
| Exempelfrågor | Ja |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| Aktivitet | sträng | Anger den aktivitetstyp som den identifierade risken är kopplad till. Möjliga värden är: signin, user, unknownFutureValue. |
| AktivitetsDatumTid | datum och tid | Datum och tid då den riskfyllda aktiviteten inträffade i UTC. |
| Ytterligare information | dynamisk | Ytterligare information som är associerad med användarriskhändelsen i JSON-format. |
| _FaktureradStorlek | verklig | Poststorleken i byte |
| CorrelationId | sträng | Korrelations-ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
| UpptäcktsDatumTid | datum och tid | Datum och tid då risken identifierades i UTC. |
| DetektionsTidpunktsTyp | sträng | Tidpunkt för den identifierade risken (realtid/offline). Möjliga värden är: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Id | sträng | Unikt ID för riskhändelsen. |
| IP-adress | sträng | IP-adressen för klienten där risken inträffade. |
| _ÄrFakturabar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false så debiteras inte inmatningen på ditt Azure-konto. |
| Senast uppdaterad datum och tid | datum och tid | Datum och tid då riskidentifieringen senast uppdaterades i UTC. |
| Plats | dynamisk | Plats för inloggningen. |
| Operationens namn | sträng | Namnet på åtgärden. |
| BegäranId | sträng | Begär ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
| Riskdetalj | sträng | Information om den identifierade risken. Möjliga värden är: ingen, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, dold, adminConfirmedUserCompromised, unknownFutureValue. |
| Riskhändelsetyp | sträng | Typen av riskhändelse har identifierats. |
| Risknivå | sträng | Nivån på den identifierade risken. Möjliga värden är: låg, medel, hög, dold, ingen, unknownFutureValue. |
| RiskState | sträng | Tillståndet för en identifierad riskfylld användare eller inloggning. Möjliga värden är: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Källa | sträng | Källan till riskidentifieringen. Till exempel activeDirectory. |
| SourceSystem | sträng | Typen av agent som händelsen insamlades av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Hyresgästens ID | sträng | ID för Log Analytics-arbetsyta |
| Tidpunkt för generering | datum och tid | Datum och tid för händelsen i UTC. |
| Typ av tokenutfärdare | sträng | Anger typen av token utfärdare för den identifierade inloggningsrisken. Möjliga värden är: AzureAD, ADFederationServices, UnknownFutureValue. |
| Typ | sträng | Namnet på tabellen |
| Användarvisningsnamn | sträng | Användarens huvudnamn (UPN). |
| AnvändarID | sträng | Unikt-ID för användaren. |
| Användarens huvudnamn | sträng | Användarens huvudnamn (UPN). |