Condividi tramite


AADUserRiskEvents

Log generati da Identity Protection per gli eventi di rischio utente di Azure AD.

Attributi di tabella

Attributo Valore
Tipi di risorse -
Categorie Controllo, sicurezza
Soluzioni LogManagement
Log di base No
Trasformazione in fase di inserimento
Query di esempio

Colonne

Column Type Descrizione
Attività string Indica il tipo di attività a cui è collegato il rischio rilevato. I valori possibili sono: signin, user, unknownFutureValue.
ActivityDateTime datetime Data e ora in cui si è verificata l'attività rischiosa.
AdditionalInfo dynamic Informazioni aggiuntive associate all'evento di rischio utente in formato JSON.
_BilledSize real Dimensioni del record in byte
CorrelationId string ID di correlazione dell'accesso associato al rilevamento dei rischi. Questa proprietà è Null se il rilevamento dei rischi non è associato a un accesso.
DetectedDateTime datetime Data e ora in cui è stato rilevato il rischio.
DetectionTimingType string Temporizzazione del rischio rilevato (in tempo reale/offline). I valori possibili sono: notDefined, realtime, nearRealtime, offline, unknownFutureValue.
ID. string ID univoco dell'evento di rischio.
IpAddress string Indirizzo IP del client da cui si è verificato il rischio.
_IsBillable string Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable è false, l'inserimento dati non viene fatturato all'account Azure
LastUpdatedDateTime datetime Data e ora dell'ultimo aggiornamento del rilevamento dei rischi.
Ufficio dynamic Posizione dell'accesso.
OperationName string Nome dell'operazione.
RequestId string ID richiesta dell'accesso associato al rilevamento dei rischi. Questa proprietà è Null se il rilevamento dei rischi non è associato a un accesso.
RiskDetail string Dettagli del rischio rilevato. I valori possibili sono: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, admin ConfirmSigninSafe, ai ConfirmSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, admin ConfirmSigninCompromised, hidden, admin ConfirmUserCompromised, unknownFutureValue.
RiskEventType string Tipo di evento di rischio rilevato.
RiskLevel string Livello del rischio rilevato. I valori possibili sono: basso, medio, alto, nascosto, none, unknownFutureValue.
RiskState string Stato di un utente rischioso o dell'accesso rilevato. I valori possibili sono: nessuno, confermatoSafe, corretto, ignorato, atRisk, confermato Compromesso, unknownFutureValue.
Origine string Origine del rilevamento dei rischi. Ad esempio, activeDirectory.
SourceSystem string Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, la connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure
TenantId string L'ID dell'area di lavoro Log Analytics
TimeGenerated datetime Data e ora dell'evento in formato UTC.
TokenIssuerType string Indica il tipo di autorità di certificazione del token per il rischio di accesso rilevato. I valori possibili sono: AzureAD, ADFederationServices, UnknownFutureValue.
Type string Nome della tabella
UserDisplayName string Nome dell'entità utente (UPN) dell'utente.
ID utente string ID univoco dell'utente.
UserPrincipalName string Nome dell'entità utente (UPN) dell'utente.