riskDetection リソースの種類
名前空間: microsoft.graph
Microsoft Entra テナントで検出されたリスクに関する情報を表します。
Microsoft Entra IDは、さまざまなシグナルと機械学習に基づいて、ユーザー のリスクとアプリまたはユーザーのサインイン リスクを継続的に評価します。 この API を使用すると、Microsoft Entra環境内のすべてのリスク検出にプログラムからアクセスできます。
リスク検出の詳細については、「Microsoft Entra ID 保護」と「リスク検出とは」を参照してください。
注:
リスク検出データの可用性は、Microsoft Entraデータ保持ポリシーによって管理されます。
メソッド
| メソッド | 戻り値の種類 | 説明 |
|---|---|---|
| List | riskDetection コレクション | riskDetection オブジェクトとそのプロパティの一覧を取得します。 |
| Get | riskDetection | riskDetection オブジェクトのプロパティとリレーションシップを読み取ります。 |
プロパティ
| プロパティ | 型 | 説明 |
|---|---|---|
| アクティビティ | activityType | 検出されたリスクがリンクされているアクティビティの種類を示します。 可能な値は signin、user、unknownFutureValue です。 |
| activityDateTime | DateTimeOffset | 危険なアクティビティが発生した日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| additionalInfo | String | JSON 形式のリスク検出に関連する追加情報。 たとえば、「 "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]" 」のように入力します。 additionalInfo JSON 文字列で使用できるキーはuserAgent、、、alertUrl、、relatedEventTimeInUtc、、 requestIddeviceInformationclientIprelatedUserAgentcorrelationIdriskReasonsrelatedLocationlastActivityTimeInUtcmalwareNameclientLocationです。 riskReasons と考えられる値の詳細については、「 riskReasons 値」を参照してください。 |
| correlationId | String | リスク検出に関連付けられているサインインの関連付け ID。 このプロパティは、 null リスク検出がサインインに関連付けられていない場合です。 |
| detectedDateTime | DateTimeOffset | リスクが検出された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 検出されたリスクのタイミング (リアルタイム/オフライン)。 可能な値は、notDefined、realtime、nearRealtime、offline、unknownFutureValue です。 |
| id | String | リスク検出の一意の ID。 エンティティから継承 |
| ipAddress | String | リスクが発生したクライアントの IP アドレスを提供します。 |
| lastUpdatedDateTime | DateTimeOffset | リスク検出が最後に更新された日時。 DateTimeOffset 型は、ISO 8601 形式を使用して日付と時刻の情報を表し、常に UTC 時間です。 たとえば、2014 年 1 月 1 日の午前 0 時 UTC は次のようになります。 2014-01-01T00:00:00Z |
| location | signInLocation | サインインの場所。 |
| requestId | String | リスク検出に関連付けられているサインインの要求 ID。 このプロパティは、 null リスク検出がサインインに関連付けられていない場合です。 |
| riskDetail | riskDetail | 検出されたリスクの詳細。 使用可能な値は、noneadminGeneratedTemporaryPassworduserPerformedSecuredPasswordChangeuserChangedPasswordOnPremises、userPerformedSecuredPasswordReset、adminConfirmedSigninSafe、aiConfirmedSigninSafe、 userPassedMFADrivenByRiskBasedPolicyadminConfirmedSigninCompromisedm365DAdminDismissedDetectionadminDismissedAllRiskForUserhiddenadminConfirmedUserCompromisedunknownFutureValueです。 要求ヘッダーをPrefer: include - unknown -enum-members使用して、この進化可能な列挙型で次の値を取得する必要があることに注意してください。 m365DAdminDismissedDetection |
| riskEventType | String | 検出されたリスク イベントの種類。 指定できる値はadminConfirmedUserCompromisedanomalousTokenanomalousUserActivity、、、anonymizedIPAddress、generic、、impossibleTravel、investigationsThreatIntelligence、、suspiciousSendingPatterns、leakedCredentials、maliciousIPAddressmalwareInfectedIPAddress、newCountrysuspiciousAPITrafficriskyIPAddresspasswordSpraymcasSuspiciousInboxManipulationRulessuspiciousBrowsersuspiciousInboxForwarding、tokenIssuerAnomalysuspiciousIPAddress、 unfamiliarFeaturesです。 unlikelyTravel リスク検出がプレミアム検出の場合は、 が表示 genericされます。 各値の詳細については、「 リスクの種類と検出」を参照してください。 |
| riskLevel | riskLevel | 検出されたリスクのレベル。 使用可能な値: low、medium、high、hidden、none、unknownFutureValue。 |
| riskState | riskState | 危険なユーザーまたはサインインが検出された状態。 可能な値は、none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue です。 |
| source | String | リスク検出のソース。 たとえば、「 activeDirectory 」のように入力します。 |
| tokenIssuerType | tokenIssuerType | 検出されたサインイン リスクのトークン発行者の種類を示します。 可能な値は AzureAD、ADFederationServices、UnknownFutureValue です。 |
| userDisplayName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
| userId | String | ユーザーの一意の ID。 |
| userPrincipalName | String | ユーザーのユーザー プリンシパル名 (UPN)。 |
riskReasons の値
| riskEventType | 値 | UI 表示文字列 |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
このサインインは、疑わしい IP アドレスからのものでした |
investigationsThreatIntelligence |
passwordSpray |
このユーザー アカウントは、パスワード スプレーによって攻撃されました。 |
リレーションシップ
なし。
JSON 表記
次の JSON 表現は、リソースの種類を示しています。
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}