riskDetection リソースの種類
名前空間: microsoft.graph
Azure AD テナントで検出されたリスクに関する情報を表します。
Azure ADは、さまざまなシグナルと機械学習に基づいて、ユーザー リスクとアプリまたはユーザー サインイン リスクを継続的に評価します。 この API を使用すると、Azure AD環境内のすべてのリスク検出にプログラムでアクセスできます。
リスク イベントの詳細については、「Azure Active Directory Identity Protection」を参照してください。
注意
- リスク検出 API を使用するには、Azure AD Premium P1または P2 ライセンスが必要です。
- リスク検出データの可用性は、Azure ADデータ保持ポリシーによって管理されます。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| riskDetection を一覧表示する | riskDetection コレクション | riskDetection オブジェクトとそのプロパティの一覧を取得します。 |
| riskDetection を取得する | riskDetection | riskDetection オブジェクトのプロパティとリレーションシップを読み取ります。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| アクティビティ | activityType | 検出されたリスクがリンクされているアクティビティの種類を示します。 可能な値は signin、user、unknownFutureValue です。 |
| activityDateTime | DateTimeOffset | 危険なアクティビティが発生した日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時の UTC は次のようになります。 2014-01-01T00:00:00Z |
| additionalInfo | String | JSON 形式のリスク検出に関連する追加情報。 たとえば、「 "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]" 」のように入力します。 additionalInfo JSON 文字列で使用できるキーは次のとおりです。 userAgent, , , relatedLocation``deviceInformation``alertUrl``relatedEventTimeInUtc``relatedUserAgent, requestId``correlationId, lastActivityTimeInUtc``malwareName, clientLocation, , . riskReasons``clientIp riskReasons と考えられる値の詳細については、「 riskReasons 値」を参照してください。 |
| correlationId | String | リスク検出に関連付けられているサインインの関連付け ID。 このプロパティは、 null リスク検出がサインインに関連付けられていない場合です。 |
| detectedDateTime | DateTimeOffset | リスクが検出された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時の UTC は次のようになります。 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 検出されたリスクのタイミング (リアルタイム/オフライン)。 可能な値は、notDefined、realtime、nearRealtime、offline、unknownFutureValue です。 |
| id | String | リスク検出の一意の ID。 エンティティから継承 |
| ipAddress | String | リスクが発生したクライアントの IP アドレスを提供します。 |
| lastUpdatedDateTime | DateTimeOffset | リスク検出が最後に更新された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時の UTC は次のようになります。 2014-01-01T00:00:00Z |
| location | signInLocation | サインインの場所。 |
| requestId | String | リスク検出に関連付けられたサインインの要求 ID。 リスク検出がサインインに関連付けられていない場合、このプロパティは null です。 |
| riskDetail | riskDetail | 検出されたリスクの詳細。 可能な値は、none、adminGeneratedTemporaryPassword、userPerformedSecuredPasswordChange、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、userPassedMFADrivenByRiskBasedPolicy、adminDismissedAllRiskForUser、adminConfirmedSigninCompromised、hidden、adminConfirmedUserCompromised、unknownFutureValue です。 |
| riskEventType | String | 検出されたリスク イベントの種類。 指定できる値はunlikelyTravel、 , , anonymizedIPAddress``maliciousIPAddress, unfamiliarFeatures, suspiciousIPAddress``riskyIPAddress``generic``investigationsThreatIntelligence``adminConfirmedUserCompromised``leakedCredentials``passwordSpray``tokenIssuerAnomaly``newCountry``impossibleTravel``malwareInfectedIPAddress``suspiciousBrowser``mcasSuspiciousInboxManipulationRules``anomalousToken, suspiciousInboxForwardingおよび .unknownFutureValue リスク検出が Premium 検出の場合は、次のように表示 genericされます。 各値の詳細については、「 riskEventType 値」を参照してください。 |
| riskLevel | riskLevel | 検出されたリスクのレベル。 使用可能な値: low、medium、high、hidden、none、unknownFutureValue。 |
| riskState | riskState | 検出された危険なユーザーまたはサインインの状態。 可能な値は、none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue です。 |
| source | String | リスク検出のソース。 たとえば、「 activeDirectory 」のように入力します。 |
| tokenIssuerType | tokenIssuerType | 検出されたサインイン リスクのトークン発行者の種類を示します。 可能な値は AzureAD、ADFederationServices、UnknownFutureValue です。 |
| userDisplayName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
| userId | String | ユーザーの一意の ID。 |
| userPrincipalName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
riskEventType 値
| 名前 | UI 表示名 | 説明 |
|---|---|---|
| unlikelyTravel | 非定型旅行 | 地理的に離れた場所から発信された 2 つのサインインを識別します。この場所の少なくとも 1 つは、過去の動作を考慮して、ユーザーにとって非定型の場合もあります。 |
| anonymizedIPAddress | 匿名 IP アドレス | 匿名ブラウザーや VPN を使用するなど、匿名 IP アドレスからのサインインを示します。 |
| maliciousIPAddress | 悪意のある IP アドレス | 悪意のある IP アドレスからのサインインを示します。 IP アドレスまたは他の IP 評判ソースから受信した資格情報が無効であるため、高いエラー率に基づいて、IP アドレスは悪意のあると見なされます。 |
| unfamiliarFeatures | なじみのないサインイン プロパティ | 過去のサインイン プロパティとは異なる特性を持つサインインを示します。 |
| malwareInfectedIPAddress | マルウェアにリンクされた IP アドレス | マルウェアに感染した IP アドレスからのサインインを示します。 非推奨になり、新しい検出用に生成されなくなります。 |
| suspiciousIPAddress | 悪意のある IP アドレス | サインイン時に悪意があることがわかっている IP アドレスからのログインを識別します。 |
| leakedCredentials | 漏えいした資格情報 | ユーザーの有効な資格情報が漏洩したことを示します。 この共有は通常、ダーク Web に公開したり、サイトを貼り付けたり、ブラック マーケットで資格情報を取引して販売したりすることによって行われます。 Microsoft 漏洩した資格情報サービスがダーク Web、貼り付けサイト、またはその他のソースからユーザー資格情報を取得すると、ユーザーの現在の有効な資格情報Azure ADチェックされて、有効な一致が見つかります。 |
| investigationsThreatIntelligence | Azure AD脅威インテリジェンス | 特定のユーザーにとって異常なサインイン アクティビティ、または Microsoft の内部および外部の脅威インテリジェンス ソースに基づく既知の攻撃パターンと一致することを示します。 |
| ジェネリック | 追加のリスクが検出されました | ユーザーが Identity Protection に対して有効になっていないことを示します。 |
| adminConfirmedUserCompromification | 管理者がユーザーの侵害を確認しました | 管理者が ユーザーの侵害を確認したことを示します。 |
| passwordSpray | パスワード スプレー | 複数のユーザー名が、一貫したブルート フォース方式で一般的なパスワードを使用して攻撃され、不正アクセスが行われることを示します。 |
| anomalousToken | 異常なトークン | 異常なトークンの有効期間や、なじみのない場所から再生されるトークンなど、トークンに異常な特性があることを示します。 |
| tokenIssuerAnomaly | トークン発行者の異常 | 関連付けられた SAML トークンの SAML トークン発行者が侵害される可能性があることを示します。 トークンに含まれる要求は、通常とは異なるか、既知の攻撃者パターンと一致します。 |
| suspiciousBrowser | 疑わしいブラウザー | 同じブラウザー内の異なる国の複数のテナントにわたる疑わしいサインイン アクティビティ。 |
| impossibleTravel | 不可能な移動 | Microsoft Defender for Cloud Apps (MDCA) によって検出されます。 ユーザーが最初の場所から 2 番目の場所に移動するまでの時間よりも短い期間内に、地理的に離れた場所から発信された 2 つのユーザー アクティビティ (1 つまたは複数のセッション) を識別し、別のユーザーが同じ資格情報を使用していることを示します。 |
| newCountry | 新しい国 | この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。 サインインは、最近行われていないか、特定のユーザーがアクセスしたことがない場所から発生しました。 |
| riskyIPAddress | 匿名 IP アドレスからのアクティビティ | この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。 ユーザーは、匿名プロキシ IP アドレスとして識別された IP アドレスからアクティブでした。 |
| mcasSuspiciousInboxManipulationRules | 疑わしい受信トレイ操作ルール | Microsoft Defender for Cloud Apps (MDCA) によって検出されます。 たとえば、ユーザーが外部アドレスにすべてのメールのコピーを転送する受信トレイ ルールを作成した場合など、疑わしい電子メール転送ルールを識別します。 |
| suspiciousInboxForwarding | 疑わしい受信トレイの転送 | この検出は、Microsoft Cloud App Security (MCAS) によって検出されます。 たとえば、すべてのメールのコピーを外部アドレスに転送する受信トレイ ルールをユーザーが作成した場合など、疑わしいメール転送ルールが検索されます。 |
| unknownFutureValue | 該当なし | 進化可能な列挙センチネル値。 使用しないでください。 |
riskReasons 値
| riskEventType | 値 | UI 表示文字列 |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
このサインインは疑わしい IP アドレスからのものでした |
investigationsThreatIntelligence |
passwordSpray |
このユーザー アカウントは、パスワード スプレーによって攻撃されました。 |
リレーションシップ
なし。
JSON 表記
リソースの JSON 表記を次に示します。
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}
フィードバック
フィードバックの送信と表示