riskDetection-Ressourcentyp
Namespace: microsoft.graph
Wichtig
APIs unter der /beta Version in Microsoft Graph können geändert werden. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in Version 1.0 verfügbar ist, verwenden Sie die Versionsauswahl .
Stellt Informationen zu einem erkannten Risiko in einem Azure AD Mandanten dar.
Azure AD bewertet kontinuierlich Benutzerrisiken und App- oder Benutzeranmeldungsrisiken basierend auf verschiedenen Signalen und maschinellem Lernen. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen in Ihrer Azure AD Umgebung.
Weitere Informationen zu Risikoereignissen finden Sie unter Azure Active Directory Identity Protection.
Hinweis
- Sie müssen über eine Azure AD Premium P1- oder P2-Lizenz verfügen, um die Risikoerkennungs-API verwenden zu können.
- Die Verfügbarkeit von Risikoerkennungsdaten wird durch die Azure AD Aufbewahrungsrichtlinien für Daten gesteuert.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| RiskDetection auflisten | riskDetection-Sammlung | Auflisten von Risikoerkennungen und deren Eigenschaften. |
| riskDetection abrufen | riskDetection | Rufen Sie eine bestimmte riskante Erkennung und deren Eigenschaften ab. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| id | string | Eindeutige ID der Risikoerkennung. |
| Requestid | string | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| correlationId | string | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| riskEventType | string | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind unlikelyTravel, anonymizedIPAddress, , maliciousIPAddress, malwareInfectedIPAddress``unfamiliarFeatures, suspiciousIPAddress, leakedCredentials``investigationsThreatIntelligence, generic,adminConfirmedUserCompromised``mcasImpossibleTravel , , , mcasSuspiciousInboxManipulationRules, investigationsThreatIntelligenceSigninLinked``maliciousIPAddressValidCredentialsBlockedIPund .unknownFutureValue Weitere Informationen zu den einzelnen Werten finden Sie unter riskEventType-Werte. |
| riskState | riskState | Der Status eines erkannten riskanten Benutzers oder einer anmeldung. Die möglichen Werte sind none, confirmedSafe, remediated, dismissed, atRiskund confirmedCompromised``unknownFutureValue. |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Die möglichen Werte sind low, medium, high, hidden, none. unknownFutureValue Hinweis: Details für diese Eigenschaft sind nur für Kunden von Azure AD Premium P2 verfügbar. P1-Kunden werden zurückgegeben hidden. |
| riskDetail | riskDetail | Details des erkannten Risikos. Die möglichen Werte sind none, adminGeneratedTemporaryPassword, , userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, aiConfirmedSigninSafe``adminConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy``adminDismissedAllRiskForUser, adminConfirmedSigninCompromised``hidden, , adminConfirmedUserCompromised, . unknownFutureValue Hinweis: Details für diese Eigenschaft sind nur für Kunden von Azure AD Premium P2 verfügbar. P1-Kunden werden zurückgegeben hidden. |
| source | string | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| detectionTimingType | riskDetectionTimingType | Timing des erkannten Risikos (Echtzeit/Offline). Die möglichen Werte sind notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Die möglichen Werte sind signin, user, unknownFutureValue. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenherausgabeers für das erkannte Anmelderisiko an. Die gültigen Werte sind AzureAD, ADFederationServices und unknownFutureValue. |
| ipAddress | string | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| location | signInLocation | Speicherort der Anmeldung. |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu denen das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
| userId | Zeichenfolge | Eindeutige ID des Benutzers. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| userDisplayName | string | Der Name des Benutzers. |
| userPrincipalName | string | Der User Principal Name (UPN) des Benutzers. |
| additionalInfo | string | Zusätzliche Informationen zur Risikoerkennung im JSON-Format. |
| riskType (veraltet) | riskEventType | Liste der Risikoereignistypen. Hinweis: Diese Eigenschaft ist veraltet. Verwenden Sie stattdessen "riskEventType ". |
riskEventType-Werte
| Member | Beschreibung |
|---|---|
| unwahrscheinlichTravel | Identifiziert zwei Anmeldungen, die von geografisch entfernten Orten stammen, wobei mindestens einer der Standorte aufgrund des verhaltens der Vergangenheit auch für den Benutzer atypisch sein kann. |
| anonymizedIPAddress | Gibt Anmeldungen von einer anonymen IP-Adresse an, z. B. mithilfe eines anonymen Browsers oder VPN. |
| maliciousIPAddress | Gibt Anmeldungen von IP-Adressen an, von der bekannt ist, dass sie bösartig sind. Veraltet und nicht mehr für neue Erkennungen generiert. |
| unfamiliarFeatures | Gibt Anmeldungen mit Merkmalen an, die von früheren Anmeldeeigenschaften abweichen. |
| malwareInfectedIPAddress | Gibt Anmeldungen von IP-Adressen an, die mit Schadsoftware infiziert sind |
| suspiciousIPAddress | Identifiziert Anmeldungen von IP-Adressen, von denen bekannt ist, dass sie zum Zeitpunkt der Anmeldung schädlich sind. |
| leakedCredentials | Gibt an, dass die gültigen Anmeldeinformationen des Benutzers durchgesickert sind. Diese Freigabe erfolgt in der Regel durch öffentliches Veröffentlichen im dunklen Web, Einfügen von Websites oder durch Den Handel und Verkauf der Anmeldeinformationen auf dem Schwarzmarkt. Wenn der Microsoft-Dienst für durchgesickerte Anmeldeinformationen Benutzeranmeldeinformationen aus dem dunklen Web, Websites oder anderen Quellen erhält, werden diese mit den aktuellen gültigen Anmeldeinformationen Azure AD Benutzers überprüft, um gültige Übereinstimmungen zu finden. |
| investigationsThreatIntelligence | Gibt eine Anmeldeaktivität an, die für den jeweiligen Benutzer ungewöhnlich ist oder mit bekannten Angriffsmustern konsistent ist, die auf den internen und externen Bedrohungserkennungsquellen von Microsoft basieren. |
| Generische | Gibt an, dass der Benutzer nicht für Identitätsschutz aktiviert wurde. |
| adminConfirmedUserCompromised | Gibt an, dass ein Administrator bestätigt hat, dass der Benutzer kompromittiert ist. |
| mcasImpossibleTravel | Entdeckt von Microsoft Defender for Cloud Apps (MDCA). Identifiziert zwei Benutzeraktivitäten (eine einzelne oder mehrere Sitzungen), die innerhalb eines kürzeren Zeitraums von geografisch entfernten Orten stammen als die Zeit, in der der Benutzer vom ersten Standort zum zweiten gereist wäre, und gibt an, dass ein anderer Benutzer dieselben Anmeldeinformationen verwendet. |
| mcasSuspiciousInboxManipulationRules | Entdeckt von Microsoft Defender for Cloud Apps (MDCA). Identifiziert verdächtige E-Mail-Weiterleitungsregeln, z. B. wenn ein Benutzer eine Posteingangsregel erstellt hat, die eine Kopie aller E-Mails an eine externe Adresse weiterleitet. |
| investigationsThreatIntelligenceSigninLinked | Identifiziert Aktivitäten, die bei bekannten Angriffsmustern basierend auf Bedrohungserkennung ungewöhnlich sind |
| maliciousIPAddressValidCredentialsBlockedIP | Gibt an, dass die Anmeldung mit gültigen Anmeldeinformationen von einer schädlichen IP-Adresse vorgenommen wurde. |
| unknownFutureValue | Evolvable Enumeration Sentinel-Wert. Nicht verwenden. |
JSON-Darstellung
Es folgt eine JSON-Darstellung der Ressource.
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}
Feedback
Feedback senden und anzeigen für