Freigeben über

AADRiskyUsers

  • Artikel

Protokolle, die von Identity Protection für riskante Azure AD-Benutzer generiert werden.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Überwachung, Sicherheit
Lösungen LogManagement
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen Ja

Spalten

Spalte Type Beschreibung
_BilledSize real Die Datensatzgröße in Bytes.
CorrelationId Zeichenfolge Die ID für korrelierte Protokollanalyseereignisse. Kann verwendet werden, um korrelierte Ereignisse zwischen verschiedenen Tabellen zu identifizieren.
Kennung Zeichenfolge Eindeutige ID des risikobehafteten Benutzers.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
isDeleted bool Gibt an, ob der Benutzer gelöscht wird.
IsProcessing bool Gibt an, ob der riskante Zustand eines Benutzers vom Back-End verarbeitet wird.
Vorgangsname Zeichenfolge Name des Vorgangs.
RiskDetail Zeichenfolge Details zum erkannten Risiko. Mögliche Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue.
RiskLastUpdatedDateTime datetime Das Datum und die Uhrzeit, zu der der riskante Benutzer zuletzt aktualisiert wurde.
RiskLevel Zeichenfolge Ebene des erkannten riskanten Benutzers. Mögliche Werte sind: niedrig, mittel, hoch, ausgeblendet, none, unknownFutureValue.
RiskState Zeichenfolge Der Status des Risikos des Benutzers. Mögliche Werte sind: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Das Datum und die Uhrzeit des Ereignisses in UTC.
type Zeichenfolge Der Name der Tabelle.
User.DisplayName Zeichenfolge Riskante Anzeigename des Benutzers.
UserPrincipalName Zeichenfolge Riskanter Benutzerprinzipalname.