tipo de recurso riskDetection
Namespace: microsoft.graph
Representa informações sobre um risco detectado em um locatário Microsoft Entra.
Microsoft Entra ID avalia continuamente os riscos de entrada do usuário e do aplicativo ou do usuário com base em vários sinais e aprendizado de máquina. Essa API fornece acesso programático a todas as detecções de risco em seu ambiente Microsoft Entra.
Para obter mais informações sobre a detecção de risco, consulte Microsoft Entra ID Protection e O que são detecções de risco?
Observação
A disponibilidade de dados de detecção de risco é regida pelas políticas de retenção de dados Microsoft Entra.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| Listar riskDetections | coleção riskDetection | Obtenha uma lista dos objetos riskDetection e suas propriedades. |
| Obter riskDetection | riskDetection | Leia as propriedades e as relações de um objeto riskDetection . |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| atividade | activityType | Indica o tipo de atividade ao qual o risco detectado está vinculado. Os valores possíveis são: signin, user, unknownFutureValue. |
| activityDateTime | DateTimeOffset | Data e hora em que a atividade arriscada ocorreu. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é assim: 2014-01-01T00:00:00Z |
| additionalInfo | Cadeia de caracteres | Informações adicionais associadas à detecção de risco no formato JSON. Por exemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". As chaves possíveis na cadeia de caracteres JSON adicionalinfo são: userAgent, alertUrl, , relatedEventTimeInUtc, relatedUserAgent, deviceInformationrelatedLocation, requestId, correlationId, lastActivityTimeInUtc, malwareName, clientLocation, clientIp, . riskReasons Para obter mais informações sobre riskReasons e valores possíveis, consulte valores riskReasons. |
| correlationId | Cadeia de caracteres | ID de correlação da entrada associada à detecção de risco. Essa propriedade será null se a detecção de risco não estiver associada a uma entrada. |
| detectedDateTime | DateTimeOffset | Data e hora em que o risco foi detectado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 tem a seguinte aparência: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Tempo do risco detectado (tempo real/offline). Os valores possíveis são: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Cadeia de caracteres | ID exclusiva da detecção de risco. Herdado da entidade |
| ipAddress | Cadeia de caracteres | Fornece o endereço IP do cliente de onde o risco ocorreu. |
| lastUpdatedDateTime | DateTimeOffset | Data e hora em que a detecção de risco foi atualizada pela última vez. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é assim: 2014-01-01T00:00:00Z |
| location | signInLocation | Local da entrada. |
| Requestid | Cadeia de caracteres | ID de solicitação da entrada associada à detecção de risco. Essa propriedade será null se a detecção de risco não estiver associada a uma entrada. |
| riskDetail | riskDetail | Detalhes do risco detectado. Os valores possíveis são: none, , adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, , adminConfirmedUserCompromised, , unknownFutureValue, m365DAdminDismissedDetection. Observe que você deve usar o Prefer: include - unknown -enum-members cabeçalho de solicitação para obter os seguintes valores neste enumerável em evolução: m365DAdminDismissedDetection. |
| riskEventType | Cadeia de caracteres | O tipo de evento de risco detectado. Os valores possíveis são adminConfirmedUserCompromised, anomalousToken, , anomalousUserActivity, anonymizedIPAddress, generic, investigationsThreatIntelligenceimpossibleTravel, suspiciousSendingPatterns, , leakedCredentials,malwareInfectedIPAddressmaliciousIPAddress , , newCountrymcasSuspiciousInboxManipulationRules, ,riskyIPAddresspasswordSpray , suspiciousAPITrafficsuspiciousBrowser,suspiciousInboxForwardingtokenIssuerAnomalysuspiciousIPAddress , , unfamiliarFeatures, . unlikelyTravel Se a detecção de risco for uma detecção premium, mostrará generic. Para obter mais informações sobre cada valor, consulte Tipos de risco e detecção. |
| riskLevel | riskLevel | Nível do risco detectado. Os possíveis valores são: low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | O estado de um usuário ou entrada de risco detectado. Os valores possíveis são: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Cadeia de caracteres | Fonte da detecção de risco. Por exemplo, activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indica o tipo de emissor de token para o risco de entrada detectado. Os valores possíveis são: AzureAD, ADFederationServices, UnknownFutureValue. |
| userDisplayName | String | O nome UPN do usuário. |
| userId | Cadeia de caracteres | ID exclusivo do usuário. |
| userPrincipalName | String | O nome UPN do usuário. |
valores riskReasons
| riskEventType | Valor | Cadeia de caracteres de exibição da interface do usuário |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Essa entrada era de um endereço IP suspeito |
investigationsThreatIntelligence |
passwordSpray |
Essa conta de usuário foi atacada por um spray de senha. |
Relações
Nenhum
Representação JSON
Veja a seguir uma representação JSON do recurso.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de