| Aktivität |
Zeichenfolge |
Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Mögliche Werte sind: signin, user, unknownFutureValue. |
| ActivityDateTime |
datetime |
Datum und Uhrzeit, zu dem die riskante Aktivität aufgetreten ist. |
| AdditionalInfo |
dynamisch |
Zusätzliche Informationen, die dem Benutzerrisikoereignis im JSON-Format zugeordnet sind. |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| CorrelationId |
Zeichenfolge |
Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht mit einer Anmeldung verknüpft ist. |
| DetectedDateTime |
datetime |
Datum und Uhrzeit, zu dem das Risiko erkannt wurde. |
| DetectionTimingType |
Zeichenfolge |
Anzeigedauer des erkannten Risikos (Echtzeit/Offline). Mögliche Werte sind: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Kennung |
Zeichenfolge |
Eindeutige ID des Risikoereignisses. |
| IP-Adresse |
Zeichenfolge |
Die IP-Adresse des Clients, von wo aus das Risiko aufgetreten ist. |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| LastUpdatedDateTime |
datetime |
Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
| Location |
dynamisch |
Speicherort der Anmeldung. |
| Vorgangsname |
Zeichenfolge |
Name des Vorgangs. |
| RequestId |
Zeichenfolge |
Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung nicht mit einer Anmeldung verknüpft ist. |
| RiskDetail |
Zeichenfolge |
Details zum erkannten Risiko. Mögliche Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskEventType |
Zeichenfolge |
Der Typ des erkannten Risikoereignisses. |
| RiskLevel |
Zeichenfolge |
Ebene des erkannten Risikos. Mögliche Werte sind: niedrig, mittel, hoch, ausgeblendet, none, unknownFutureValue. |
| RiskState |
Zeichenfolge |
Der Status eines erkannten riskanten Benutzers oder einer Anmeldung. Mögliche Werte sind: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Quelle |
Zeichenfolge |
Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Das Datum und die Uhrzeit des Ereignisses in UTC. |
| TokenIssuerType |
Zeichenfolge |
Gibt den Typ des Tokenherausgebers für das erkannte Anmelderisiko an. Mögliche Werte sind: AzureAD, ADFederationServices, UnknownFutureValue. |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| User.DisplayName |
Zeichenfolge |
Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |
| Benutzer-ID |
Zeichenfolge |
Eindeutige ID des Benutzers. |
| UserPrincipalName |
Zeichenfolge |
Der Benutzerprinzipalname (User Principal Name, UPN) des Benutzers. |