Azure AD 用戶風險事件的身分識別保護所產生的記錄。
數據表屬性
| 屬性 |
價值 |
|
資源類型 |
- |
|
類別 |
稽核、安全性 |
|
方案 |
日誌管理 |
|
基本記錄 |
是的 |
|
擷取時間轉換 |
是的 |
|
範例查詢 |
是 |
資料行
| 資料行 |
類型 |
描述 |
| 活動 |
字串 |
指出偵測到的風險所連結的活動類型。 可能的值為:signin、user、unknownFutureValue。 |
| 活動日期時間 |
Datetime |
發生風險活動的日期和時間UTC。 |
| 附加資訊 |
動態 |
JSON 格式與用戶風險事件相關聯的其他資訊。 |
| _BilledSize (帳單大小) |
真實 |
以位元組為單位的記錄大小 |
| CorrelationId |
字串 |
與風險偵測相關的登入關聯代碼。 如果風險偵測未與登入相關聯,則此屬性為 Null。 |
| 檢測日期時間 |
Datetime |
以UTC偵測到風險的日期和時間。 |
| 偵測時機類型 |
字串 |
偵測到的風險時間(即時/離線)。 可能的值為:notDefined、realtime、nearRealtime、offline、unknownFutureValue。 |
| 身份識別碼 |
字串 |
風險事件的唯一標識符。 |
| IP位址 |
字串 |
發生風險之用戶端的IP位址。 |
| _IsBillable // 是否可計費 |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,資料引入不會向您的 Azure 帳戶收費 |
| 最後更新日期時間 |
Datetime |
風險偵測上次以UTC更新的日期和時間。 |
| 位置 |
動態 |
登入的位置。 |
| 操作名稱 |
字串 |
作業名稱。 |
| 請求識別碼 |
字串 |
與風險偵測相關聯的登入要求識別碼。 如果風險偵測未與登入相關聯,則此屬性為 Null。 |
| 風險詳細資訊 |
字串 |
偵測到的風險詳細數據。 可能的值為:none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser、adminConfirmedSigninCompromised、hidden、adminConfirmedUserCompromised、unknownFutureValue。 |
| 風險事件類型 |
字串 |
偵測到的風險事件類型。 |
| 風險級別 |
字串 |
偵測到的風險層級。 可能的值為:低、中、高、隱藏、無、未知未來值。 |
| RiskState |
字串 |
偵測到有風險的使用者或登入的狀態。 可能的值為:none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。 |
| 來源 |
字串 |
風險偵測的來源。 例如,activeDirectory。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於所有 Linux 代理程式的 Linux,或適用於 Azure 診斷的 Azure |
| 租戶ID |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
Datetime |
以UTC為單位的事件日期和時間。 |
| 代幣發行者類型 |
字串 |
指出偵測到登入風險的令牌簽發者類型。 可能的值為:AzureAD、ADFederationServices、UnknownFutureValue。 |
| 類型 |
字串 |
資料表的名稱 |
| 用戶顯示名稱 |
字串 |
使用者的使用者主體名稱 (UPN)。 |
| UserId |
字串 |
使用者的唯一識別碼。 |
| 使用者主要名稱 (UserPrincipalName) |
字串 |
使用者的使用者主體名稱 (UPN)。 |