Compartir a través de


tipo de recurso riskDetection

Espacio de nombres: microsoft.graph

Representa información sobre un riesgo detectado en un inquilino de Microsoft Entra.

Microsoft Entra ID evalúa continuamente los riesgos del usuario y los riesgos de inicio de sesión de aplicaciones o usuarios en función de varias señales y aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos en el entorno de Microsoft Entra.

Para obtener más información sobre la detección de riesgos, consulte Protección de Microsoft Entra ID y ¿Qué son las detecciones de riesgos?

Nota:

La disponibilidad de los datos de detección de riesgos se rige por las directivas de retención de datos Microsoft Entra.

Métodos

Método Tipo devuelto Descripción
List colección riskDetection Obtenga una lista de los objetos riskDetection y sus propiedades.
Get riskDetection Lea las propiedades y relaciones de un objeto riskDetection .

Propiedades

Propiedad Tipo Descripción
actividad activityType Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son: signin, user y unknownFutureValue.
activityDateTime DateTimeOffset Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z
additionalInfo Cadena Información adicional asociada a la detección de riesgos en formato JSON. Por ejemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Las claves posibles de la cadena JSON additionalInfo son: , , , , deviceInformationrelatedUserAgent, , relatedLocation, requestId, correlationIdlastActivityTimeInUtc, malwareName, , clientLocation, clientIpriskReasons. relatedEventTimeInUtcalertUrluserAgent
Para obtener más información sobre riskReasons y los valores posibles, consulte valores riskReasons.
correlationId Cadena Identificador de correlación del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión.
detectedDateTime DateTimeOffset Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z
detectionTimingType riskDetectionTimingType Tiempo del riesgo detectado (en tiempo real/sin conexión). Los valores posibles son: notDefined, realtime, nearRealtime, offline y unknownFutureValue.
id Cadena Identificador único de la detección de riesgos. Heredado de la entidad
ipAddress Cadena Proporciona la dirección IP del cliente desde donde se produjo el riesgo.
lastUpdatedDateTime DateTimeOffset Fecha y hora en que se actualizó por última vez la detección de riesgos. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z
location signInLocation Ubicación del inicio de sesión.
requestId Cadena Identificador de solicitud del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión.
riskDetail riskDetail Detalles del riesgo detectado. Los valores posibles son: none, adminGeneratedTemporaryPassword, , userChangedPasswordOnPremises, userPerformedSecuredPasswordResetuserPerformedSecuredPasswordChange, adminConfirmedSigninSafe, , aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, , unknownFutureValue, m365DAdminDismissedDetection. Tenga en cuenta que debe usar el Prefer: include - unknown -enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: m365DAdminDismissedDetection.
riskEventType Cadena Tipo de evento de riesgo detectado. Los valores posibles son adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravelinvestigationsThreatIntelligence, , suspiciousSendingPatterns, , leakedCredentials, maliciousIPAddress,malwareInfectedIPAddress , , mcasSuspiciousInboxManipulationRules, newCountry, passwordSprayriskyIPAddress, , suspiciousBrowsersuspiciousAPITraffic, , suspiciousIPAddresssuspiciousInboxForwarding, tokenIssuerAnomaly, unfamiliarFeatures, . unlikelyTravel Si la detección de riesgos es una detección premium, mostrará generic.
Para obtener más información sobre cada valor, vea Tipos de riesgo y detección.
riskLevel riskLevel Nivel del riesgo detectado. Los valores posibles son: low, medium, high, hidden, none, unknownFutureValue.
riskState riskState Estado de un usuario o inicio de sesión de riesgo detectado. Valores posibles: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
source Cadena Origen de la detección de riesgos. Por ejemplo, activeDirectory.
tokenIssuerType tokenIssuerType Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son: AzureAD, ADFederationServices y UnknownFutureValue.
userDisplayName Cadena El nombre principal del usuario (UPN) del usuario.
userId Cadena Id. único del usuario.
userPrincipalName Cadena El nombre principal del usuario (UPN) del usuario.

valores riskReasons

riskEventType Valor Cadena de presentación de la interfaz de usuario
investigationsThreatIntelligence suspiciousIP Este inicio de sesión era desde una dirección IP sospechosa
investigationsThreatIntelligence passwordSpray Esta cuenta de usuario fue atacada por una difusión de contraseña.

Relaciones

Ninguna.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "@odata.type": "#microsoft.graph.riskDetection",
  "id": "String (identifier)",
  "requestId": "String",
  "correlationId": "String",
  "riskEventType": "String",
  "riskState": "String",
  "riskLevel": "String",
  "riskDetail": "String",
  "source": "String",
  "detectionTimingType": "String",
  "activity": "String",
  "tokenIssuerType": "String",
  "ipAddress": "String",
  "location": {
    "@odata.type": "microsoft.graph.signInLocation"
  },
  "activityDateTime": "String (timestamp)",
  "detectedDateTime": "String (timestamp)",
  "lastUpdatedDateTime": "String (timestamp)",
  "userId": "String",
  "userDisplayName": "String",
  "userPrincipalName": "String",
  "additionalInfo": "String"
}