| Activité |
string |
Indique le type d’activité auquel le risque détecté est lié. Les valeurs possibles sont : signin, user, unknownFutureValue. |
| ActivityDateTime |
DATETIME |
Date et heure à laquelle l’activité à risque s’est produite. |
| AdditionalInfo |
dynamic |
Informations supplémentaires associées à l’événement de risque utilisateur au format JSON. |
| _BilledSize |
real |
Taille de l’enregistrement en octets |
| CorrelationId |
string |
ID de corrélation de la connexion associée à la détection des risques. Cette propriété a la valeur Null si la détection des risques n’est pas associée à une connexion. |
| DetectedDateTime |
DATETIME |
Date et heure à laquelle le risque a été détecté. |
| DetectionTimingType |
string |
Minutage du risque détecté (temps réel/hors connexion). Les valeurs possibles sont : notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Id |
string |
ID unique de l’événement à risque. |
| IpAddress |
string |
Adresse IP du client à partir de laquelle le risque s’est produit. |
| _IsBillable |
string |
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure. |
| LastUpdatedDateTime |
DATETIME |
Date et heure de la dernière mise à jour de la détection des risques. |
| Emplacement |
dynamic |
Emplacement de la connexion. |
| NomOpération |
string |
Nom de l’opération. |
| ID demande |
string |
ID de demande de la connexion associée à la détection des risques. Cette propriété a la valeur Null si la détection des risques n’est pas associée à une connexion. |
| RiskDetail |
string |
Détails du risque détecté. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromed, hidden, adminConfirmedUserCompromization, unknownFutureValue. |
| RiskEventType |
string |
Type d’événement à risque détecté. |
| RiskLevel |
string |
Niveau du risque détecté. Les valeurs possibles sont les suivantes : faible, moyen, élevé, masqué, none, unknownFutureValue. |
| RiskState |
string |
État d’un utilisateur ou d’une connexion à risque détecté. Les valeurs possibles sont : none, confirmSafe, remediated, dismissed, atRisk, confirmedCompromated, unknownFutureValue. |
| Source |
string |
Source de la détection des risques. Par exemple, activeDirectory. |
| SourceSystem |
string |
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure. |
| TenantId |
string |
ID de l’espace de travail Log Analytics |
| TimeGenerated |
DATETIME |
Date et heure de l’événement au format UTC. |
| TokenIssuerType |
string |
Indique le type d’émetteur de jeton pour le risque de connexion détecté. Les valeurs possibles sont : AzureAD, ADFederationServices, UnknownFutureValue. |
| Type |
string |
Le nom de la table |
| UserDisplayName |
string |
Nom d’utilisateur principal (UPN) de l’utilisateur. |
| ID utilisateur |
chaîne |
Identifiant unique de l’utilisateur. |
| UserPrincipalName |
string |
Nom d’utilisateur principal (UPN) de l’utilisateur. |