riskDetection-Ressourcentyp
Namespace: microsoft.graph
Stellt Informationen zu einem erkannten Risiko in einem Azure AD Mandanten dar.
Azure AD bewertet kontinuierlich Benutzerrisiken und App- oder Benutzeranmeldungsrisiken basierend auf verschiedenen Signalen und maschinellem Lernen. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen in Ihrer Azure AD Umgebung.
Weitere Informationen zu Risikoereignissen finden Sie unter Azure Active Directory Identity Protection.
Hinweis
- Sie müssen über eine Azure AD Premium P1- oder P2-Lizenz verfügen, um die Risikoerkennungs-API verwenden zu können.
- Die Verfügbarkeit von Risikoerkennungsdaten wird durch die Azure AD Aufbewahrungsrichtlinien für Daten gesteuert.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| riskDetections auflisten | riskDetection-Sammlung | Dient zum Abrufen einer Liste der riskDetection-Objekte und deren Eigenschaften. |
| riskDetection abrufen | riskDetection | Lesen sie die Eigenschaften und Beziehungen eines riskDetection-Objekts . |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user und unknownFutureValue. |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC-Zeit am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| additionalInfo | Zeichenfolge | Zusätzliche Informationen zur Risikoerkennung im JSON-Format. Beispiel: "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Mögliche Schlüssel in der JSON-Zeichenfolge "additionalInfo" sind: , , , relatedEventTimeInUtc``relatedUserAgent, deviceInformation, relatedLocation, requestId, correlationId, clientIp``malwareName``riskReasons``clientLocation``lastActivityTimeInUtc. alertUrl``userAgent Weitere Informationen zu riskReasons und möglichen Werten finden Sie unter riskReasons-Werte. |
| correlationId | String | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu denen das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC-Zeit am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Timing des erkannten Risikos (Echtzeit/Offline). Mögliche Werte: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Zeichenfolge | Eindeutige ID der Risikoerkennung. Geerbt von Entität |
| ipAddress | String | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Mitternacht UTC-Zeit am 1. Januar 2014 sieht beispielsweise wie folgt aus: 2014-01-01T00:00:00Z |
| location | signInLocation | Speicherort der Anmeldung. |
| Requestid | Zeichenfolge | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| riskDetail | riskDetail | Details des erkannten Risikos. Mögliche Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised und unknownFutureValue. |
| riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind unlikelyTravel, anonymizedIPAddress, , maliciousIPAddress, unfamiliarFeatures, suspiciousIPAddress``malwareInfectedIPAddress, leakedCredentials, investigationsThreatIntelligence, generic``adminConfirmedUserCompromised``passwordSpray, , impossibleTravel, , newCountry, , tokenIssuerAnomaly``anomalousToken``riskyIPAddress``suspiciousBrowser, , mcasSuspiciousInboxManipulationRules``suspiciousInboxForwardingund .unknownFutureValue Wenn es sich bei der Risikoerkennung um eine Premiumerkennung handelt, wird angezeigt generic. Weitere Informationen zu den einzelnen Werten finden Sie unter riskEventType-Werte. |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Mögliche Werte sind: low, medium, high, hidden, none und unknownFutureValue. |
| riskState | riskState | Der Status eines erkannten riskanten Benutzers oder einer anmeldung. Mögliche Werte: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenherausgabeers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices und UnknownFutureValue. |
| userDisplayName | String | Der User Principal Name (UPN) des Benutzers. |
| userId | String | Eindeutige ID des Benutzers. |
| userPrincipalName | Zeichenfolge | Der User Principal Name (UPN) des Benutzers. |
riskEventType-Werte
| Name | Anzeigename der Benutzeroberfläche | Beschreibung |
|---|---|---|
| unwahrscheinlichTravel | Atypische Reise | Identifiziert zwei Anmeldungen, die von geografisch entfernten Orten stammen, wobei mindestens einer der Standorte aufgrund des verhaltens der Vergangenheit auch für den Benutzer atypisch sein kann. |
| anonymizedIPAddress | Anonyme IP-Adresse | Gibt Anmeldungen von einer anonymen IP-Adresse an, z. B. mithilfe eines anonymen Browsers oder VPN. |
| maliciousIPAddress | Bösartige IP-Adresse | Gibt Anmeldungen von einer schädlichen IP-Adresse an. Eine IP-Adresse wird basierend auf hohen Fehlerraten aufgrund ungültiger Anmeldeinformationen, die von der IP-Adresse oder anderen IP-Zuverlässigkeitsquellen empfangen wurden, als bösartig betrachtet. |
| unfamiliarFeatures | Unbekannte Anmeldeeigenschaften | Gibt Anmeldungen mit Merkmalen an, die von früheren Anmeldeeigenschaften abweichen. |
| malwareInfectedIPAddress | Mit Schadsoftware verknüpfte IP-Adresse | Gibt Anmeldungen von IP-Adressen an, die mit Schadsoftware infiziert sind. Veraltet und nicht mehr für neue Erkennungen generiert. |
| suspiciousIPAddress | Bösartige IP-Adresse | Identifiziert Anmeldungen von IP-Adressen, von denen bekannt ist, dass sie zum Zeitpunkt der Anmeldung schädlich sind. |
| leakedCredentials | Kompromittierte Anmeldeinformationen | Gibt an, dass die gültigen Anmeldeinformationen des Benutzers durchgesickert sind. Diese Freigabe erfolgt in der Regel durch öffentliches Veröffentlichen im dunklen Web, Einfügen von Websites oder durch Den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldeinformationen Benutzeranmeldeinformationen aus dem dunklen Web, Websites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldeinformationen Azure AD Benutzers überprüft, um gültige Übereinstimmungen zu finden. |
| investigationsThreatIntelligence | Azure AD Threat Intelligence | Gibt eine Anmeldeaktivität an, die für den jeweiligen Benutzer ungewöhnlich ist oder mit bekannten Angriffsmustern konsistent ist, die auf den internen und externen Bedrohungserkennungsquellen von Microsoft basieren. |
| Generische | Zusätzliches Risiko erkannt | Gibt an, dass der Benutzer nicht für Identitätsschutz aktiviert wurde. |
| adminConfirmedUserCompromised | Administrator bestätigt Benutzer kompromittiert | Gibt an, dass ein Administrator bestätigt hat, dass der Benutzer kompromittiert ist. |
| passwordSpray | Kennwort-Spray | Gibt an, dass mehrere Benutzernamen mithilfe allgemeiner Kennwörter auf einheitliche Brute-Force-Weise angegriffen werden, um nicht autorisierten Zugriff zu erhalten. |
| anomalousToken | Anomales Token | Gibt an, dass das Token ungewöhnliche Merkmale aufweist, z. B. eine ungewöhnliche Tokenlebensdauer oder ein Token, das von einem unbekannten Ort aus wiedergegeben wird. |
| tokenIssuerAnomaly | Tokenherausgabeanomalie | Gibt an, dass der SAML-Tokenherausgaber für das zugeordnete SAML-Token potenziell kompromittiert ist. Die im Token enthaltenen Ansprüche sind ungewöhnlich oder entsprechen bekannten Angreifermustern. |
| suspiciousBrowser | Verdächtiger Browser | Verdächtige Anmeldeaktivitäten über mehrere Mandanten aus verschiedenen Ländern im selben Browser hinweg. |
| impossibleTravel | Unmöglicher Ortswechsel | Entdeckt von Microsoft Defender for Cloud Apps (MDCA). Identifiziert zwei Benutzeraktivitäten (eine einzelne oder mehrere Sitzungen), die innerhalb eines kürzeren Zeitraums von geografisch entfernten Orten stammen als die Zeit, in der der Benutzer vom ersten Standort zum zweiten gereist wäre, und gibt an, dass ein anderer Benutzer dieselben Anmeldeinformationen verwendet. |
| newCountry | Neues Land | Diese Erkennung wird von Microsoft Cloud App Security (MCAS) erkannt. Die Anmeldung erfolgte von einem Ort, der vor kurzem nicht oder nie vom angegebenen Benutzer besucht wurde. |
| riskyIPAddress | Aktivität von anonymer IP-Adresse | Diese Erkennung wird von Microsoft Cloud App Security (MCAS) erkannt. Benutzer waren von einer IP-Adresse aus aktiv, die als anonyme Proxy-IP-Adresse identifiziert wurde. |
| mcasSuspiciousInboxManipulationRules | Verdächtige Posteingangsmanipulationsregeln | Entdeckt von Microsoft Defender for Cloud Apps (MDCA). Identifiziert verdächtige E-Mail-Weiterleitungsregeln, z. B. wenn ein Benutzer eine Posteingangsregel erstellt hat, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. |
| suspiciousInboxForwarding | Verdächtige Weiterleitung im Posteingang | Diese Erkennung wird von Microsoft Cloud App Security (MCAS) erkannt. Es sucht nach verdächtigen E-Mail-Weiterleitungsregeln, z. B. wenn ein Benutzer eine Posteingangsregel erstellt hat, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. |
| unknownFutureValue | N/V | Evolvable Enumeration Sentinel-Wert. Nicht verwenden. |
riskReasons-Werte
| riskEventType | Wert | Ui-Anzeigezeichenfolge |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Diese Anmeldung stammt von einer verdächtigen IP-Adresse. |
investigationsThreatIntelligence |
passwordSpray |
Dieses Benutzerkonto wurde von einem Kennwortspray angegriffen. |
Beziehungen
Keine.
JSON-Darstellung
Es folgt eine JSON-Darstellung der Ressource.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}
Feedback
Feedback senden und anzeigen für