tipo de recurso riskDetection
Espacio de nombres: microsoft.graph
Representa información sobre un riesgo detectado en un inquilino de Microsoft Entra.
Microsoft Entra ID evalúa continuamente los riesgos del usuario y los riesgos de inicio de sesión de aplicaciones o usuarios en función de varias señales y aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos en el entorno de Microsoft Entra.
Para obtener más información sobre la detección de riesgos, consulte Protección de Microsoft Entra ID y ¿Qué son las detecciones de riesgos?
Nota:
La disponibilidad de los datos de detección de riesgos se rige por las directivas de retención de datos Microsoft Entra.
Métodos
| Método | Tipo devuelto | Descripción |
|---|---|---|
| List | colección riskDetection | Obtenga una lista de los objetos riskDetection y sus propiedades. |
| Get | riskDetection | Lea las propiedades y relaciones de un objeto riskDetection . |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| actividad | activityType | Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son: signin, user y unknownFutureValue. |
| activityDateTime | DateTimeOffset | Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
| additionalInfo | Cadena | Información adicional asociada a la detección de riesgos en formato JSON. Por ejemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Las claves posibles de la cadena JSON additionalInfo son: , , , , deviceInformationrelatedUserAgent, , relatedLocation, requestId, correlationIdlastActivityTimeInUtc, malwareName, , clientLocation, clientIpriskReasons. relatedEventTimeInUtcalertUrluserAgent Para obtener más información sobre riskReasons y los valores posibles, consulte valores riskReasons. |
| correlationId | Cadena | Identificador de correlación del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
| detectedDateTime | DateTimeOffset | Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Tiempo del riesgo detectado (en tiempo real/sin conexión). Los valores posibles son: notDefined, realtime, nearRealtime, offline y unknownFutureValue. |
| id | Cadena | Identificador único de la detección de riesgos. Heredado de la entidad |
| ipAddress | Cadena | Proporciona la dirección IP del cliente desde donde se produjo el riesgo. |
| lastUpdatedDateTime | DateTimeOffset | Fecha y hora en que se actualizó por última vez la detección de riesgos. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
| location | signInLocation | Ubicación del inicio de sesión. |
| requestId | Cadena | Identificador de solicitud del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
| riskDetail | riskDetail | Detalles del riesgo detectado. Los valores posibles son: none, adminGeneratedTemporaryPassword, , userChangedPasswordOnPremises, userPerformedSecuredPasswordResetuserPerformedSecuredPasswordChange, adminConfirmedSigninSafe, , aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, , unknownFutureValue, m365DAdminDismissedDetection. Tenga en cuenta que debe usar el Prefer: include - unknown -enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: m365DAdminDismissedDetection. |
| riskEventType | Cadena | Tipo de evento de riesgo detectado. Los valores posibles son adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravelinvestigationsThreatIntelligence, , suspiciousSendingPatterns, , leakedCredentials, maliciousIPAddress,malwareInfectedIPAddress , , mcasSuspiciousInboxManipulationRules, newCountry, passwordSprayriskyIPAddress, , suspiciousBrowsersuspiciousAPITraffic, , suspiciousIPAddresssuspiciousInboxForwarding, tokenIssuerAnomaly, unfamiliarFeatures, . unlikelyTravel Si la detección de riesgos es una detección premium, mostrará generic. Para obtener más información sobre cada valor, vea Tipos de riesgo y detección. |
| riskLevel | riskLevel | Nivel del riesgo detectado. Los valores posibles son: low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | Estado de un usuario o inicio de sesión de riesgo detectado. Valores posibles: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Cadena | Origen de la detección de riesgos. Por ejemplo, activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son: AzureAD, ADFederationServices y UnknownFutureValue. |
| userDisplayName | Cadena | El nombre principal del usuario (UPN) del usuario. |
| userId | Cadena | Id. único del usuario. |
| userPrincipalName | Cadena | El nombre principal del usuario (UPN) del usuario. |
valores riskReasons
| riskEventType | Valor | Cadena de presentación de la interfaz de usuario |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Este inicio de sesión era desde una dirección IP sospechosa |
investigationsThreatIntelligence |
passwordSpray |
Esta cuenta de usuario fue atacada por una difusión de contraseña. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}