AADUserRiskEvents
Журналы, созданные защитой идентификации для событий риска Azure AD пользователей.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | Аудит, безопасность |
| Решения | LogManagement |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | Да |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| Действие | строка | Указывает тип действия, с который связан обнаруженный риск. Возможные значения: signin, user, unknownFutureValue. |
| ActivityDateTime | DATETIME | Дата и время, когда произошло рискованное действие. |
| AdditionalInfo | Динамический | Дополнительные сведения, связанные с событием риска пользователя, в формате JSON. |
| _BilledSize | real | Размер записи в байтах |
| CorrelationId | строка | Идентификатор корреляции входа, связанного с обнаружением риска. Это свойство имеет значение NULL, если обнаружение риска не связано со вхожением. |
| DetectedDateTime | DATETIME | Дата и время обнаружения риска. |
| DetectionTimingType | строка | Время обнаружения риска (в режиме реального времени или в автономном режиме). Возможные значения: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Идентификатор | строка | Уникальный идентификатор события риска. |
| IPAddress | строка | IP-адрес клиента, с которого возникла опасность. |
| _IsBillable | строка | Указывает, является ли прием данных оплачиваемым. Если _IsBillable false не выставляется счет в вашей учетной записи Azure |
| LastUpdatedDateTime | DATETIME | Дата и время последнего обновления обнаружения рисков. |
| Расположение | Динамический | Расположение входа. |
| OperationName | строка | Имя операции. |
| RequestId | строка | Идентификатор запроса для входа, связанного с обнаружением риска. Это свойство имеет значение NULL, если обнаружение риска не связано со вхожением. |
| RiskDetail | строка | Сведения об обнаружении риска. Возможные значения: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskEventType | строка | Тип обнаруженного события риска. |
| RiskLevel | строка | Уровень обнаруженного риска. Возможные значения: low, medium, high, hidden, none, unknownFutureValue. |
| RiskState | строка | Состояние обнаруженного пользователя или входа в систему. Возможные значения: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Source | строка | Источник обнаружения риска. Например, activeDirectory. |
| SourceSystem | строка | Тип агента, которым было выполнено событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Дата и время события в формате UTC. |
| TokenIssuerType | строка | Указывает тип издателя маркера для обнаруженного риска входа. Возможные значения: AzureAD, ADFederationServices, UnknownFutureValue. |
| Тип | строка | Имя таблицы. |
| UserDisplayName | строка | Имя участника-пользователя (UPN) этого пользователя. |
| UserId | строка | Уникальный идентификатор пользователя. |
| UserPrincipalName | строка | Имя участника-пользователя (UPN) этого пользователя. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по