tipo de recurso riskDetection
Namespace: microsoft.graph
Representa informações sobre um risco detectado em um locatário Microsoft Entra.
Microsoft Entra ID avalia continuamente os riscos de entrada do usuário e do aplicativo ou do usuário com base em vários sinais e aprendizado de máquina. Essa API fornece acesso programático a todas as detecções de risco em seu ambiente Microsoft Entra.
Para obter mais informações sobre a detecção de risco, consulte Microsoft Entra ID Protection e O que são detecções de risco?
Observação
A disponibilidade de dados de detecção de risco é regida pelas políticas de retenção de dados Microsoft Entra.
Métodos
Método | Tipo de retorno | Descrição |
---|---|---|
Listar riskDetections | coleção riskDetection | Obtenha uma lista dos objetos riskDetection e suas propriedades. |
Obter riskDetection | riskDetection | Leia as propriedades e as relações de um objeto riskDetection . |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
atividade | activityType | Indica o tipo de atividade ao qual o risco detectado está vinculado. Os valores possíveis são: signin , user , unknownFutureValue . |
activityDateTime | DateTimeOffset | Data e hora em que a atividade arriscada ocorreu. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é assim: 2014-01-01T00:00:00Z |
additionalInfo | Cadeia de caracteres | Informações adicionais associadas à detecção de risco no formato JSON. Por exemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]" . As chaves possíveis na cadeia de caracteres JSON adicionalinfo são: userAgent , alertUrl , , relatedEventTimeInUtc , relatedUserAgent , deviceInformation relatedLocation , requestId , correlationId , lastActivityTimeInUtc , malwareName , clientLocation , clientIp , . riskReasons Para obter mais informações sobre riskReasons e valores possíveis, consulte valores riskReasons. |
correlationId | Cadeia de caracteres | ID de correlação da entrada associada à detecção de risco. Essa propriedade será null se a detecção de risco não estiver associada a uma entrada. |
detectedDateTime | DateTimeOffset | Data e hora em que o risco foi detectado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 tem a seguinte aparência: 2014-01-01T00:00:00Z |
detectionTimingType | riskDetectionTimingType | Tempo do risco detectado (tempo real/offline). Os valores possíveis são: notDefined , realtime , nearRealtime , offline , unknownFutureValue . |
id | Cadeia de caracteres | ID exclusiva da detecção de risco. Herdado da entidade |
ipAddress | Cadeia de caracteres | Fornece o endereço IP do cliente de onde o risco ocorreu. |
lastUpdatedDateTime | DateTimeOffset | Data e hora em que a detecção de risco foi atualizada pela última vez. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1º de janeiro de 2014 é assim: 2014-01-01T00:00:00Z |
location | signInLocation | Local da entrada. |
Requestid | Cadeia de caracteres | ID de solicitação da entrada associada à detecção de risco. Essa propriedade será null se a detecção de risco não estiver associada a uma entrada. |
riskDetail | riskDetail | Detalhes do risco detectado. Os valores possíveis são: none , , adminGeneratedTemporaryPassword , userPerformedSecuredPasswordChange , userPerformedSecuredPasswordReset , adminConfirmedSigninSafe , aiConfirmedSigninSafe , userPassedMFADrivenByRiskBasedPolicy , adminDismissedAllRiskForUser , adminConfirmedSigninCompromised , hidden , , adminConfirmedUserCompromised , , unknownFutureValue , m365DAdminDismissedDetection . Observe que você deve usar o Prefer: include - unknown -enum-members cabeçalho de solicitação para obter os seguintes valores neste enumerável em evolução: m365DAdminDismissedDetection . |
riskEventType | Cadeia de caracteres | O tipo de evento de risco detectado. Os valores possíveis são adminConfirmedUserCompromised , anomalousToken , , anomalousUserActivity , anonymizedIPAddress , generic , investigationsThreatIntelligence impossibleTravel , suspiciousSendingPatterns , , leakedCredentials ,malwareInfectedIPAddress maliciousIPAddress , , newCountry mcasSuspiciousInboxManipulationRules , ,riskyIPAddress passwordSpray , suspiciousAPITraffic suspiciousBrowser ,suspiciousInboxForwarding tokenIssuerAnomaly suspiciousIPAddress , , unfamiliarFeatures , . unlikelyTravel Se a detecção de risco for uma detecção premium, mostrará generic . Para obter mais informações sobre cada valor, consulte Tipos de risco e detecção. |
riskLevel | riskLevel | Nível do risco detectado. Os possíveis valores são: low , medium , high , hidden , none , unknownFutureValue . |
riskState | riskState | O estado de um usuário ou entrada de risco detectado. Os valores possíveis são: none , confirmedSafe , remediated , dismissed , atRisk , confirmedCompromised , unknownFutureValue . |
source | Cadeia de caracteres | Fonte da detecção de risco. Por exemplo, activeDirectory . |
tokenIssuerType | tokenIssuerType | Indica o tipo de emissor de token para o risco de entrada detectado. Os valores possíveis são: AzureAD , ADFederationServices , UnknownFutureValue . |
userDisplayName | String | O nome UPN do usuário. |
userId | Cadeia de caracteres | ID exclusivo do usuário. |
userPrincipalName | String | O nome UPN do usuário. |
valores riskReasons
riskEventType | Valor | Cadeia de caracteres de exibição da interface do usuário |
---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Essa entrada era de um endereço IP suspeito |
investigationsThreatIntelligence |
passwordSpray |
Essa conta de usuário foi atacada por um spray de senha. |
Relações
Nenhum
Representação JSON
Veja a seguir uma representação JSON do recurso.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de