Type de ressource riskDetection
Espace de noms: microsoft.graph
Représente des informations sur un risque détecté dans un locataire Microsoft Entra.
Microsoft Entra ID évalue en permanence les risques liés aux utilisateurs et aux risques liés à l’application ou à la connexion utilisateur en fonction de différents signaux et du Machine Learning. Cette API fournit un accès par programmation à toutes les détections de risques dans votre environnement Microsoft Entra.
Pour plus d’informations sur la détection des risques, consultez Protection Microsoft Entra ID et Que sont les détections de risques ?
Remarque
La disponibilité des données de détection des risques est régie par les stratégies de conservation des données Microsoft Entra.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| List | collection riskDetection | Obtenez la liste des objets riskDetection et de leurs propriétés. |
| Obtenir | riskDetection | Lisez les propriétés et les relations d’un objet riskDetection . |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| activité | activityType | Indique le type d’activité auquel le risque détecté est lié. Les valeurs possibles sont signin, user et unknownFutureValue. |
| activityDateTime | DateTimeOffset | Date et heure auxquelles l’activité à risque s’est produite. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| additionalInfo | String | Informations supplémentaires associées à la détection des risques au format JSON. Par exemple : "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Les clés possibles dans la chaîne JSON additionalInfo sont : userAgent, alertUrl, relatedEventTimeInUtc, relatedUserAgent, deviceInformation, requestIdrelatedLocation, , correlationId, lastActivityTimeInUtc, clientLocationmalwareName, clientIp. riskReasons Pour plus d’informations sur riskReasons et les valeurs possibles, consultez valeurs riskReasons. |
| correlationId | String | ID de corrélation de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| detectedDateTime | DateTimeOffset | Date et heure auxquelles le risque a été détecté. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Minutage du risque détecté (temps réel/hors connexion). Les valeurs possibles sont les suivantes : notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | String | ID unique de la détection des risques. Hérité de l’entité |
| ipAddress | String | Fournit l’adresse IP du client à partir duquel le risque s’est produit. |
| lastUpdatedDateTime | DateTimeOffset | Date et heure de la dernière mise à jour de la détection des risques. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| location | signInLocation | Emplacement de la connexion. |
| requestId | String | ID de demande de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| riskDetail | riskDetail | Détails du risque détecté. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userChangedPasswordOnPremises, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafeaiConfirmedSigninSafe, , userPassedMFADrivenByRiskBasedPolicyadminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, , adminConfirmedUserCompromised, unknownFutureValue, . m365DAdminDismissedDetection Notez que vous devez utiliser l’en-tête Prefer: include - unknown -enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : m365DAdminDismissedDetection. |
| riskEventType | String | Type d’événement à risque détecté. Les valeurs possibles sont adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, genericimpossibleTravel, investigationsThreatIntelligence, suspiciousSendingPatterns, leakedCredentialsmaliciousIPAddress,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRules ,riskyIPAddresssuspiciousAPITrafficnewCountrypasswordSpray ,suspiciousInboxForwardingsuspiciousIPAddresssuspiciousBrowser , . tokenIssuerAnomalyunfamiliarFeaturesunlikelyTravel Si la détection des risques est une détection Premium, affiche generic. Pour plus d’informations sur chaque valeur, consultez Types de risques et détection. |
| riskLevel | riskLevel | Niveau du risque détecté. Les valeurs possibles sont low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | État d’un utilisateur ou d’une connexion à risque détecté. Les valeurs possibles sont les suivantes : none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised et unknownFutureValue. |
| source | String | Source de la détection des risques. Par exemple : activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indique le type d’émetteur de jeton pour le risque de connexion détecté. Les valeurs possibles sont AzureAD, ADFederationServices et UnknownFutureValue. |
| userDisplayName | String | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| userId | String | ID unique de l’utilisateur. |
| userPrincipalName | String | Nom d’utilisateur principal (UPN) de l’utilisateur. |
valeurs riskReasons
| riskEventType | Valeur | Chaîne d’affichage de l’interface utilisateur |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Cette connexion provient d’une adresse IP suspecte |
investigationsThreatIntelligence |
passwordSpray |
Ce compte d’utilisateur a été attaqué par un pulvérisation de mot de passe. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}