riskDetection リソースの種類
名前空間: microsoft.graph
重要
Microsoft Graph のバージョンの /beta API は変更される可能性があります。 実稼働アプリケーションでこれらの API を使用することは、サポートされていません。 API が v1.0 で使用できるかどうかを確認するには、 バージョン セレクターを使用します。
Azure AD テナントで検出されたリスクに関する情報を表します。
Azure ADは、さまざまなシグナルと機械学習に基づいて、ユーザー リスクとアプリまたはユーザー サインイン リスクを継続的に評価します。 この API を使用すると、Azure AD環境内のすべてのリスク検出にプログラムでアクセスできます。
リスク イベントの詳細については、「Azure Active Directory Identity Protection」を参照してください。
注意
- リスク検出 API を使用するには、Azure AD Premium P1または P2 ライセンスが必要です。
- リスク検出データの可用性は、Azure ADデータ保持ポリシーによって管理されます。
メソッド
| メソッド | 戻り値の型 | 説明 |
|---|---|---|
| list riskDetection | riskDetection コレクション | リスク検出とそのプロパティを一覧表示します。 |
| riskDetection を取得する | riskDetection | 特定の危険な検出とそのプロパティを取得します。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| id | string | リスク検出の一意の ID。 |
| requestId | string | リスク検出に関連付けられたサインインの要求 ID。 リスク検出がサインインに関連付けられていない場合、このプロパティは null です。 |
| correlationId | string | リスク検出に関連付けられているサインインの関連付け ID。 リスク検出がサインインに関連付けられていない場合、このプロパティは null です。 |
| riskEventType | string | 検出されたリスク イベントの種類。 指定できる値はunlikelyTravel、 , , , anonymizedIPAddress, maliciousIPAddress, malwareInfectedIPAddress``unfamiliarFeatures, suspiciousIPAddress, generic``adminConfirmedUserCompromised``investigationsThreatIntelligence``leakedCredentials``mcasSuspiciousInboxManipulationRules``investigationsThreatIntelligenceSigninLinked``mcasImpossibleTravel``maliciousIPAddressValidCredentialsBlockedIPおよび .unknownFutureValue 各値の詳細については、「 riskEventType 値」を参照してください。 |
| riskState | riskState | 検出された危険なユーザーまたはサインインの状態。 指定できる値はnone、, , , confirmedSafe, remediated``dismissed, atRisk``confirmedCompromised, および unknownFutureValue. |
| riskLevel | riskLevel | 検出されたリスクのレベル。 指定できる値はlow、 , , medium, high``hidden, none. unknownFutureValue 注: このプロパティの詳細は、Azure AD Premium P2 のお客様のみ利用可能です。 P1 のお客様は返されます hidden。 |
| riskDetail | riskDetail | 検出されたリスクの詳細。 指定できる値はnone、 , , , adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, adminConfirmedSigninSafe``userPerformedSecuredPasswordReset, adminDismissedAllRiskForUser``adminConfirmedUserCompromised``adminConfirmedSigninCompromised``unknownFutureValue``aiConfirmedSigninSafe``userPassedMFADrivenByRiskBasedPolicy``hidden. 注: このプロパティの詳細は、Azure AD Premium P2 のお客様のみ利用可能です。 P1 のお客様は返されます hidden。 |
| source | string | リスク検出のソース。 たとえば、「 activeDirectory 」のように入力します。 |
| detectionTimingType | riskDetectionTimingType | 検出されたリスクのタイミング (リアルタイム/オフライン)。 指定できる値は notDefined、, , realtime``nearRealtime, offline, ですunknownFutureValue。 |
| アクティビティ | activityType | 検出されたリスクがリンクされているアクティビティの種類を示します。 指定できる値は signin、 、 user. unknownFutureValue |
| tokenIssuerType | tokenIssuerType | 検出されたサインイン リスクのトークン発行者の種類を示します。 使用可能な値は AzureAD、ADFederationServices、および unknownFutureValue。 |
| ipAddress | string | リスクが発生したクライアントの IP アドレスを提供します。 |
| location | signInLocation | サインインの場所。 |
| activityDateTime | DateTimeOffset | 危険なアクティビティが発生した日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| detectedDateTime | DateTimeOffset | リスクが検出された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| lastUpdatedDateTime | DateTimeOffset | リスク検出が最後に更新された日時。 |
| userId | string | ユーザーの一意の ID。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日午前 0 時 (UTC) は、2014-01-01T00:00:00Z です。 |
| userDisplayName | string | ユーザーの名前 |
| userPrincipalName | string | ユーザーのユーザー プリンシパル名 (UPN)。 |
| additionalInfo | string | JSON 形式のリスク検出に関連する追加情報。 |
| riskType (非推奨) | riskEventType | リスク イベントの種類の一覧。 メモ: このプロパティは非推奨です。 代わりに riskEventType を使用します。 |
riskEventType 値
| メンバー | 説明 |
|---|---|
| unlikelyTravel | 地理的に離れた場所から発信された 2 つのサインインを識別します。この場所の少なくとも 1 つは、過去の動作を考慮して、ユーザーにとって非定型の場合もあります。 |
| anonymizedIPAddress | 匿名ブラウザーや VPN を使用するなど、匿名 IP アドレスからのサインインを示します。 |
| maliciousIPAddress | 悪意のあることがわかっている IP アドレスからのサインインを示します。 非推奨になり、新しい検出用に生成されなくなります。 |
| unfamiliarFeatures | 過去のサインイン プロパティとは異なる特性を持つサインインを示します。 |
| malwareInfectedIPAddress | マルウェアに感染した IP アドレスからのサインインを示します |
| suspiciousIPAddress | サインイン時に悪意があることがわかっている IP アドレスからのログインを識別します。 |
| leakedCredentials | ユーザーの有効な資格情報が漏洩したことを示します。 この共有は通常、ダーク Web に公開したり、サイトを貼り付けたり、ブラック マーケットで資格情報を取引して販売したりすることによって行われます。 Microsoft 漏洩した資格情報サービスがダーク Web、貼り付けサイト、またはその他のソースからユーザー資格情報を取得すると、ユーザーの現在の有効な資格情報Azure ADチェックされて、有効な一致が見つかります。 |
| investigationsThreatIntelligence | 特定のユーザーにとって異常なサインイン アクティビティ、または Microsoft の内部および外部の脅威インテリジェンス ソースに基づく既知の攻撃パターンと一致することを示します。 |
| ジェネリック | ユーザーが Identity Protection に対して有効になっていないことを示します。 |
| adminConfirmedUserCompromification | 管理者が ユーザーの侵害を確認したことを示します。 |
| mcasImpossibleTravel | Microsoft Defender for Cloud Apps (MDCA) によって検出されます。 ユーザーが最初の場所から 2 番目の場所に移動するまでの時間よりも短い期間内に、地理的に離れた場所から発信された 2 つのユーザー アクティビティ (1 つまたは複数のセッション) を識別し、別のユーザーが同じ資格情報を使用していることを示します。 |
| mcasSuspiciousInboxManipulationRules | Microsoft Defender for Cloud Apps (MDCA) によって検出されます。 たとえば、ユーザーが外部アドレスにすべてのメールのコピーを転送する受信トレイ ルールを作成した場合など、疑わしい電子メール転送ルールを識別します。 |
| investigationsThreatIntelligenceSigninLinked | 脅威インテリジェンスに基づいて既知の攻撃パターンで異常なアクティビティを識別します |
| maliciousIPAddressValidCredentialsBlockedIP | 悪意のある IP アドレスからの有効な資格情報を使用してサインインが行われたことを示します。 |
| unknownFutureValue | 進化可能な列挙センチネル値。 使用しないでください。 |
JSON 表記
リソースの JSON 表記を次に示します。
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}
フィードバック
フィードバックの送信と表示