AADUserRiskEvents

  • 项目

Azure AD 用户风险事件的标识保护生成的日志。

表属性

Attribute
资源类型 -
类别 审核、安全
解决方案 LogManagement
基本日志
引入时间转换
示例查询

类型 说明
活动 字符串 指示检测到的风险链接到的活动类型。 可能的值为:signin、user、unknownFutureValue。
ActivityDateTime datetime 发生风险活动的日期和时间。
AdditionalInfo dynamic 与 JSON 格式的用户风险事件关联的其他信息。
_BilledSize real 记录大小(以字节为单位)
CorrelationId 字符串 与风险检测关联的登录的相关 ID。 如果风险检测未与登录相关联,则此属性为 null。
DetectedDateTime datetime 检测到风险的日期和时间。
DetectionTimingType 字符串 检测到的风险的时间 (实时/脱机) 。 可能的值为:notDefined、realtime、nearRealtime、offline、unknownFutureValue。
ID 字符串 风险事件的唯一 ID。
IpAddress 字符串 发生风险的客户端的 IP 地址。
_IsBillable 字符串 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费
LastUpdatedDateTime datetime 上次更新风险检测的日期和时间。
位置 dynamic 登录的位置。
OperationName 字符串 操作的名称。
RequestId 字符串 与风险检测关联的登录的请求 ID。 如果风险检测未与登录相关联,则此属性为 null。
RiskDetail 字符串 检测到的风险的详细信息。 可能的值为:none、adminGeneratedTemporaryPassword、 userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser、adminConfirmedSigninCompromised、hidden、adminConfirmedUserCompromised、unknownFutureValue。
RiskEventType 字符串 检测到的风险事件类型。
RiskLevel 字符串 检测到的风险级别。 可能的值包括:low、medium、high、hidden、none、unknownFutureValue。
RiskState 字符串 检测到有风险的用户或登录的状态。 可能的值包括:none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。
字符串 风险检测的来源。 例如,activeDirectory。
SourceSystem 字符串 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断
TenantId 字符串 Log Analytics 工作区 ID
TimeGenerated datetime 事件的日期和时间(以 UTC 为单位)。
TokenIssuerType 字符串 指示检测到的登录风险的令牌颁发者类型。 可能的值为:AzureAD、ADFederationServices、UnknownFutureValue。
类型 字符串 表的名称
UserDisplayName 字符串 用户的用户主体名称 (UPN)。
UserId string 用户的唯一 ID。
UserPrincipalName 字符串 用户的用户主体名称 (UPN)。