tipo de recurso riskDetection
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa información sobre un riesgo detectado en un inquilino de Microsoft Entra.
Protección de Microsoft Entra ID evalúa continuamente los riesgos de los usuarios y los riesgos de inicio de sesión de aplicaciones o usuarios en función de varias señales y aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos en el entorno de Microsoft Entra.
Para obtener más información sobre la detección de riesgos, consulte Protección de Microsoft Entra ID y ¿Qué son las detecciones de riesgos?
Nota:
La disponibilidad de los datos de detección de riesgos se rige por las directivas de retención de datos Microsoft Entra.
Métodos
| Método | Tipo de valor devuelto | Descripción |
|---|---|---|
| List | colección riskDetection | Enumera las detecciones de riesgo y sus propiedades. |
| Get | riskDetection | Obtenga una detección de riesgo específica y sus propiedades. |
Propiedades
| Propiedad | Tipo | Descripción |
|---|---|---|
| actividad | activityType | Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son signin, user, unknownFutureValue. |
| activityDateTime | DateTimeOffset | Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| additionalInfo | string | Información adicional asociada a la detección de riesgos en formato JSON. |
| correlationId | string | Identificador de correlación del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
| detectedDateTime | DateTimeOffset | Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| detectionTimingType | riskDetectionTimingType | Tiempo del riesgo detectado (en tiempo real/sin conexión). Los valores posibles son notDefined, realtime, nearRealtime, offline, . unknownFutureValue |
| id | string | Identificador único de la detección de riesgos. |
| ipAddress | string | Proporciona la dirección IP del cliente desde donde se produjo el riesgo. |
| lastUpdatedDateTime | DateTimeOffset | Fecha y hora en que se actualizó por última vez la detección de riesgos. |
| location | signInLocation | Ubicación del inicio de sesión. |
| requestId | string | Identificador de solicitud del inicio de sesión asociado a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a un inicio de sesión. |
| riskEventType | Cadena | Tipo de evento de riesgo detectado. Los valores posibles son adminConfirmedUserCompromised, anomalousUserActivity, anonymizedIPAddress,attackerinTheMiddle ,attemptedPRTAccess , genericinvestigationsThreatIntelligence, investigationsThreatIntelligenceSigninLinked,leakedCredentials , , maliciousIPAddress, maliciousIPAddressValidCredentialsBlockedIP, , malwareInfectedIPAddress, mcasImpossibleTravel, mcasSuspiciousInboxManipulationRulesmcasFinSuspiciousFileAccess, ,nationStateIP , , suspiciousAPITraffic, suspiciousIPAddress,suspiciousSendingPatternsunfamiliarFeatures , , . unlikelyTraveluserReportedSuspiciousActivity Para obtener más información sobre cada valor, vea Tipos de riesgo y detección. |
| riskDetail | riskDetail | Detalles del riesgo detectado. Los valores posibles son: none, adminGeneratedTemporaryPassword, , userPerformedSecuredPasswordChange, adminConfirmedSigninSafeuserPerformedSecuredPasswordReset, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, , adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, , unknownFutureValue, adminConfirmedServicePrincipalCompromised, , adminDismissedAllRiskForServicePrincipal. m365DAdminDismissedDetection Tenga en cuenta que debe usar el Prefer: include - unknown -enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal , m365DAdminDismissedDetection. Nota: Los detalles de esta propiedad solo están disponibles para Microsoft Entra ID clientes de P2. Se devolverá hiddena los clientes P1 . |
| riskLevel | riskLevel | Nivel del riesgo detectado. Los valores posibles son low, medium, high, hidden, , none. unknownFutureValue Nota: Los detalles de esta propiedad solo están disponibles para Microsoft Entra ID clientes de P2. Se devolverá hiddena los clientes P1 . |
| riskState | riskState | Estado de un usuario o inicio de sesión de riesgo detectado. Los valores posibles son none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromisedy unknownFutureValue. |
| source | string | Origen de la detección de riesgos. Por ejemplo, activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son AzureAD, ADFederationServices y unknownFutureValue. |
| userId | string | Id. único del usuario. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z. |
| userDisplayName | string | Nombre del usuario. |
| userPrincipalName | string | El nombre principal del usuario (UPN) del usuario. |
| riskType (en desuso) | riskEventType | Lista de tipos de eventos de riesgo. Nota: Esta propiedad está en desuso. Use riskEventType en su lugar. |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}