riskDetection-Ressourcentyp
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Stellt Informationen zu einem erkannten Risiko in einem Microsoft Entra Mandanten dar.
Microsoft Entra ID Protection bewertet kontinuierlich Benutzerrisiken und App- oder Benutzeranmeldungsrisiken basierend auf verschiedenen Signalen und maschinellem Lernen. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen in Ihrer Microsoft Entra-Umgebung.
Weitere Informationen zur Risikoerkennung finden Sie unter Microsoft Entra ID Protection und Was sind Risikoerkennungen?
Hinweis
Die Verfügbarkeit von Risikoerkennungsdaten wird durch die Microsoft Entra Datenaufbewahrungsrichtlinien geregelt.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | riskDetection-Sammlung | Auflisten von Risikoerkennungen und deren Eigenschaften |
| Get | riskDetection | Rufen Sie eine bestimmte Risikoerkennung und deren Eigenschaften ab. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Die möglichen Werte sind signin, user, . unknownFutureValue |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| additionalInfo | string | Zusätzliche Informationen zur Risikoerkennung im JSON-Format. |
| correlationId | string | Korrelations-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Zeitpunkt des erkannten Risikos (Echtzeit/Offline). Die möglichen Werte sind notDefined, realtime, nearRealtime, offline, . unknownFutureValue |
| id | string | Eindeutige ID der Risikoerkennung. |
| ipAddress | string | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
| location | signInLocation | Speicherort der Anmeldung. |
| requestId | string | Anforderungs-ID der Anmeldung, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist NULL, wenn die Risikoerkennung keiner Anmeldung zugeordnet ist. |
| riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind adminConfirmedUserCompromised, anomalousUserActivity, , anonymizedIPAddress,attemptedPRTAccessgenericattackerinTheMiddle , , investigationsThreatIntelligenceinvestigationsThreatIntelligenceSigninLinked,leakedCredentialsmaliciousIPAddress , , maliciousIPAddressValidCredentialsBlockedIP, malwareInfectedIPAddress, mcasImpossibleTravel,mcasFinSuspiciousFileAccessnationStateIPmcasSuspiciousInboxManipulationRulessuspiciousAPITraffic ,suspiciousSendingPatternsunfamiliarFeaturessuspiciousIPAddress , . userReportedSuspiciousActivityunlikelyTravel Weitere Informationen zu den einzelnen Werten finden Sie unter Risikotypen und Erkennung. |
| riskDetail | riskDetail | Details zum erkannten Risiko. Die möglichen Werte sind: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, , aiConfirmedSigninSafe, adminDismissedAllRiskForUseruserPassedMFADrivenByRiskBasedPolicy, adminConfirmedSigninCompromised, hiddenadminConfirmedUserCompromisedadminConfirmedServicePrincipalCompromisedunknownFutureValue, , . m365DAdminDismissedDetectionadminDismissedAllRiskForServicePrincipal Verwenden Sie den Prefer: include - unknown -enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal , m365DAdminDismissedDetection. Anmerkung: Details für diese Eigenschaft sind nur für Microsoft Entra ID P2-Kunden verfügbar. P1-Kunden werden zurückgegeben hidden. |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Die möglichen Werte sind low, medium, high, hidden, none, . unknownFutureValue Anmerkung: Details für diese Eigenschaft sind nur für Microsoft Entra ID P2-Kunden verfügbar. P1-Kunden werden zurückgegeben hidden. |
| riskState | riskState | Der Status eines erkannten risikobehafteten Benutzers oder einer Anmeldung. Die möglichen Werte sind none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromisedund unknownFutureValue. |
| source | string | Quelle der Risikoerkennung. Beispiel: activeDirectory. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Die gültigen Werte sind AzureAD, ADFederationServices und unknownFutureValue. |
| userId | Zeichenfolge | Eindeutige ID des Benutzers. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| userDisplayName | string | Der Name des Benutzers. |
| userPrincipalName | string | Der User Principal Name (UPN) des Benutzers. |
| riskType (veraltet) | riskEventType | Liste der Risikoereignistypen. Anmerkung: Diese Eigenschaft ist veraltet. Verwenden Sie stattdessen riskEventType . |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}