AADUserRiskEvents

Identity Protection 針對 Azure AD 用戶風險事件所產生的記錄。

數據表屬性

屬性	值
資源類型	-
類別	稽核、安全性
方案	LogManagement
基本記錄檔	No
擷取時間轉換	Yes
範例查詢	是

資料行

資料行	類型	描述
活動	字串	指出所偵測到風險所連結的活動類型。 可能的值為：signin、user、unknownFutureValue。
ActivityDateTime	datetime	發生有風險活動的日期和時間。
AdditionalInfo	動態	JSON 格式與用戶風險事件相關聯的其他資訊。
_BilledSize	real	以位元組為單位的記錄大小
CorrelationId	字串	與風險偵測相關聯的登入相互關聯標識碼。 如果風險偵測未與登入相關聯，則此屬性為 Null。
DetectedDateTime	datetime	偵測到風險的日期和時間。
DetectionTimingType	字串	偵測到的風險時間 (即時/離線) 。 可能的值為：notDefined、realtime、nearRealtime、offline、unknownFutureValue。
識別碼	字串	風險事件的唯一標識符。
IpAddress	字串	發生風險之用戶端的IP位址。
_IsBillable	字串	指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時
LastUpdatedDateTime	datetime	上次更新風險偵測的日期和時間。
位置	動態	登入的位置。
OperationName	字串	作業名稱。
RequestId	字串	與風險偵測相關聯的登入要求標識碼。 如果風險偵測未與登入相關聯，則此屬性為 Null。
RiskDetail	字串	偵測到風險的詳細數據。 可能的值為：none、adminGeneratedTemporaryPassword、 userPerformedSecuredPasswordChange， userPerformedSecuredPasswordReset， adminConfirmedSigninSafe， aiConfirmedSigninSafe， userPassedMFADrivenByRiskBasedPolicy， adminDismissedAllRiskForUser， adminConfirmedSigninCompromised， hidden， adminConfirmedUserCompromised， unknownFutureValue.
RiskEventType	字串	偵測到的風險事件類型。
RiskLevel	字串	偵測到的風險層級。 可能的值為：low、medium、high、hidden、none、unknownFutureValue。
RiskState	字串	偵測到有風險的使用者或登入的狀態。 可能的值為：none、confirmedSafe、補救、已關閉、atRisk、confirmedCompromised、unknownFutureValue。
Source	字串	風險偵測的來源。 例如，activeDirectory。
SourceSystem	字串	事件所收集的代理程序類型。 例如，針對 Windows 代理程式、OpsManager直接連線或 Operations Manager、Linux所有 Linux 代理程式，或Azure針對 Azure 診斷
TenantId	字串	Log Analytics 工作區標識符
TimeGenerated	Datetime	以 UTC 表示之事件的日期和時間。
TokenIssuerType	字串	指出偵測到登入風險的令牌簽發者類型。 可能的值為：AzureAD、ADFederationServices、UnknownFutureValue。
類型	字串	資料表的名稱
UserDisplayName	字串	使用者的使用者主體名稱 (UPN)。
UserId	字串	使用者的唯一標識碼。
UserPrincipalName	字串	使用者的使用者主體名稱 (UPN)。