tipo de recurso riskDetection
Espacio de nombres: microsoft.graph
Representa información sobre un riesgo detectado en un inquilino de Microsoft Entra.
Microsoft Entra ID evalúa continuamente los riesgos del usuario y los riesgos de inicio de sesión de aplicaciones o usuarios en función de varias señales y aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos en el entorno de Microsoft Entra.
Para obtener más información sobre la detección de riesgos, consulte Protección de Microsoft Entra ID y ¿Qué son las detecciones de riesgos?
Nota:
La disponibilidad de los datos de detección de riesgos se rige por las directivas de retención de datos Microsoft Entra.
Métodos
Método | Tipo devuelto | Descripción |
---|---|---|
List | colección riskDetection | Obtenga una lista de los objetos riskDetection y sus propiedades. |
Get | riskDetection | Lea las propiedades y relaciones de un objeto riskDetection . |
Propiedades
Propiedad | Tipo | Descripción |
---|---|---|
actividad | activityType | Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son: signin , user y unknownFutureValue . |
activityDateTime | DateTimeOffset | Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
additionalInfo | Cadena | Información adicional asociada a la detección de riesgos en formato JSON. Por ejemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]" . Las claves posibles de la cadena JSON additionalInfo son: , , , , deviceInformation relatedUserAgent , , relatedLocation , requestId , correlationId lastActivityTimeInUtc , malwareName , , clientLocation , clientIp riskReasons . relatedEventTimeInUtc alertUrl userAgent Para obtener más información sobre riskReasons y los valores posibles, consulte valores riskReasons. |
correlationId | Cadena | Identificador de correlación del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
detectedDateTime | DateTimeOffset | Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
detectionTimingType | riskDetectionTimingType | Tiempo del riesgo detectado (en tiempo real/sin conexión). Los valores posibles son: notDefined , realtime , nearRealtime , offline y unknownFutureValue . |
id | Cadena | Identificador único de la detección de riesgos. Heredado de la entidad |
ipAddress | Cadena | Proporciona la dirección IP del cliente desde donde se produjo el riesgo. |
lastUpdatedDateTime | DateTimeOffset | Fecha y hora en que se actualizó por última vez la detección de riesgos. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche UTC del 1 de enero de 2014 tiene este aspecto: 2014-01-01T00:00:00Z |
location | signInLocation | Ubicación del inicio de sesión. |
requestId | Cadena | Identificador de solicitud del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
riskDetail | riskDetail | Detalles del riesgo detectado. Los valores posibles son: none , adminGeneratedTemporaryPassword , , userChangedPasswordOnPremises , userPerformedSecuredPasswordReset userPerformedSecuredPasswordChange , adminConfirmedSigninSafe , , aiConfirmedSigninSafe , userPassedMFADrivenByRiskBasedPolicy , adminDismissedAllRiskForUser , adminConfirmedSigninCompromised , hidden , adminConfirmedUserCompromised , , unknownFutureValue , m365DAdminDismissedDetection . Tenga en cuenta que debe usar el Prefer: include - unknown -enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: m365DAdminDismissedDetection . |
riskEventType | Cadena | Tipo de evento de riesgo detectado. Los valores posibles son adminConfirmedUserCompromised , anomalousToken , anomalousUserActivity , anonymizedIPAddress , generic , impossibleTravel investigationsThreatIntelligence , , suspiciousSendingPatterns , , leakedCredentials , maliciousIPAddress ,malwareInfectedIPAddress , , mcasSuspiciousInboxManipulationRules , newCountry , passwordSpray riskyIPAddress , , suspiciousBrowser suspiciousAPITraffic , , suspiciousIPAddress suspiciousInboxForwarding , tokenIssuerAnomaly , unfamiliarFeatures , . unlikelyTravel Si la detección de riesgos es una detección premium, mostrará generic . Para obtener más información sobre cada valor, vea Tipos de riesgo y detección. |
riskLevel | riskLevel | Nivel del riesgo detectado. Los valores posibles son: low , medium , high , hidden , none , unknownFutureValue . |
riskState | riskState | Estado de un usuario o inicio de sesión de riesgo detectado. Valores posibles: none , confirmedSafe , remediated , dismissed , atRisk , confirmedCompromised , unknownFutureValue . |
source | Cadena | Origen de la detección de riesgos. Por ejemplo, activeDirectory . |
tokenIssuerType | tokenIssuerType | Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son: AzureAD , ADFederationServices y UnknownFutureValue . |
userDisplayName | Cadena | El nombre principal del usuario (UPN) del usuario. |
userId | Cadena | Id. único del usuario. |
userPrincipalName | Cadena | El nombre principal del usuario (UPN) del usuario. |
valores riskReasons
riskEventType | Valor | Cadena de presentación de la interfaz de usuario |
---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Este inicio de sesión era desde una dirección IP sospechosa |
investigationsThreatIntelligence |
passwordSpray |
Esta cuenta de usuario fue atacada por una difusión de contraseña. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}