riskDetection 资源类型

命名空间:microsoft.graph

重要

Microsoft Graph版本下的 /beta API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。

表示有关Azure AD租户中检测到的风险的信息。

Azure AD根据各种信号和机器学习持续评估用户风险、应用或用户登录风险。 此 API 提供对Azure AD环境中的所有风险检测的编程访问。

有关风险事件的详细信息,请参阅Azure Active Directory标识保护

备注

  1. 必须具有Azure AD Premium P1或 P2 许可证才能使用风险检测 API。
  2. 风险检测数据的可用性受Azure AD数据保留策略的约束。

方法

方法 返回类型 说明
列出 riskDetection riskDetection 集合 列出风险检测及其属性。
获取 riskDetection riskDetection 获取特定的风险检测及其属性。

属性

属性 类型 说明
id string 风险检测的唯一 ID。
requestId string 与风险检测关联的登录的请求 ID。 如果风险检测未与登录关联,则此属性为 null。
correlationId string 与风险检测关联的登录的相关 ID。 如果风险检测未与登录关联,则此属性为 null。
riskEventType string 检测到的风险事件的类型。 可能的值是unlikelyTravel,、anonymizedIPAddressmaliciousIPAddressmalwareInfectedIPAddress``unfamiliarFeaturessuspiciousIPAddressleakedCredentialsinvestigationsThreatIntelligence``adminConfirmedUserCompromised``generic、、mcasSuspiciousInboxManipulationRules``investigationsThreatIntelligenceSigninLinked``mcasImpossibleTravelmaliciousIPAddressValidCredentialsBlockedIP和 。unknownFutureValue
有关每个值的详细信息,请参阅 riskEventType 值
riskState riskState 检测到的风险用户或登录的状态。 可能的值是none,、confirmedSaferemediatedatRisk``dismissedconfirmedCompromised``unknownFutureValue
riskLevel riskLevel 检测到的风险级别。 可能的值是low, , high``mediumhidden, , noneunknownFutureValue
注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 将返回 hiddenP1 客户。
riskDetail riskDetail 检测到的风险的详细信息。 可能的值是noneadminGeneratedTemporaryPassword、、userPerformedSecuredPasswordReset``userPerformedSecuredPasswordChangeadminConfirmedSigninSafeaiConfirmedSigninSafeuserPassedMFADrivenByRiskBasedPolicy``adminDismissedAllRiskForUseradminConfirmedSigninCompromisedhiddenadminConfirmedUserCompromised``unknownFutureValue
注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。 将返回 hiddenP1 客户。
source string 风险检测的来源。 例如,activeDirectory
detectionTimingType riskDetectionTimingType 检测到的风险的计时 (实时/脱机) 。 可能的值是notDefined, , nearRealtime``realtime, , offlineunknownFutureValue
活动 activityType 指示检测到的风险链接到的活动类型。 可能的值是 signinuser. unknownFutureValue
tokenIssuerType tokenIssuerType 指示检测到的登录风险的令牌颁发者类型。 可取值为:AzureADADFederationServicesunknownFutureValue
ipAddress string 提供发生风险的客户端的 IP 地址。
location signInLocation 登录位置。
activityDateTime DateTimeOffset 发生风险活动的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
detectedDateTime DateTimeOffset 检测到风险的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
lastUpdatedDateTime DateTimeOffset 上次更新风险检测的日期和时间。
userId string 用户的唯一 ID。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z
userDisplayName string 用户名。
userPrincipalName string 用户的用户主体名称 (UPN)。
additionalInfo string 与 JSON 格式的风险检测相关联的其他信息。
riskType (已弃用) riskEventType 风险事件类型的列表。
注意: 此属性已弃用。 请改用 riskEventType

riskEventType 值

成员 说明
unlikelyTravel 标识两个来自地理遥远位置的登录,根据过去的行为,其中至少有一个位置可能对用户来说也是非典型的。
anonymizedIPAddress 指示来自匿名 IP 地址的登录,例如,使用匿名浏览器或 VPN。
maliciousIPAddress 指示已知为恶意的 IP 地址的登录。 已弃用并且不再为新检测生成。
unfamiliarFeatures 指示具有与过去登录属性相差的特征的登录。
malwareInfectedIPAddress 指示来自已感染恶意软件的 IP 地址的登录
suspiciousIPAddress 标识登录时已知为恶意的 IP 地址的登录名。
leakedCredentials 指示用户的有效凭据已泄露。 这种共享通常通过在深色 Web 上公开发布、粘贴网站或在黑市上交易和销售凭据来完成。 当 Microsoft 泄露的凭据服务从深色 Web、粘贴站点或其他源获取用户凭据时,会根据Azure AD用户当前的有效凭据检查这些凭据以查找有效的匹配项。
investigationsThreatIntelligence 指示针对给定用户的异常或与基于 Microsoft 内部和外部威胁情报源的已知攻击模式一致的登录活动。
通用 指示用户未启用标识保护。
adminConfirmedUserCompromised 指示管理员已 确认用户已遭入侵
mcasImpossibleTravel 由 Microsoft Defender for Cloud Apps (MDCA) 发现。 标识一个或多个会话 (两个用户活动,) 在比用户从第一个位置到第二个位置所用的时间短的时间段内从地理上遥远的位置出发,指示另一个用户使用相同的凭据。
mcasSuspiciousInboxManipulationRules 由 Microsoft Defender for Cloud Apps (MDCA) 发现。 标识可疑的电子邮件转发规则,例如,如果用户创建了一个收件箱规则,该规则将所有电子邮件的副本转发到外部地址。
investigationsThreatIntelligenceSigninLinked 根据威胁情报标识已知攻击模式异常的活动
maliciousIPAddressValidCredentialsBlockedIP 指示使用来自恶意 IP 地址的有效凭据进行登录。
unknownFutureValue 可变枚举 sentinel 值。 请勿使用。

JSON 表示形式

下面是资源的 JSON 表示形式。

{
 "id": "string",
    "requestId": "string",
    "correlationId": "string",
    "riskType": {"@odata.type": "microsoft.graph.riskEventType"},
    "riskState": {"@odata.type": "microsoft.graph.riskState"},
    "riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
    "riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
    "source": "string",
    "detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
    "activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
    "tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
    "ipAddress": "string",
    "location": {"@odata.type": "microsoft.graph.signInLocation"},
    "activityDateTime": "string (timestamp)",
    "detectedDateTime": "string (timestamp)",
    "lastUpdatedDateTime": "string (timestamp)",
    "userId": "string",
    "userDisplayName": "string",
    "userPrincipalName": "string",
    "additionalInfo": "string"
}