Partilhar via


riskDetection tipo de recurso

Namespace: microsoft.graph

Representa informações sobre um risco detetado num inquilino Microsoft Entra.

Microsoft Entra ID avalia continuamente os riscos do utilizador e os riscos de início de sessão de aplicações ou utilizadores com base em vários sinais e machine learning. Esta API fornece acesso programático a todas as deteções de risco no seu ambiente de Microsoft Entra.

Para obter mais informações sobre a deteção de riscos, veja Microsoft Entra ID Protection e O que são deteções de risco?

Observação

A disponibilidade dos dados de deteção de riscos é regida pelas políticas de retenção de dados Microsoft Entra.

Métodos

Método Tipo de retorno Descrição
List riskDetection collection Obtenha uma lista dos objetos riskDetection e respetivas propriedades.
Get riskDetection Leia as propriedades e relações de um objeto riskDetection .

Propriedades

Propriedade Tipo Descrição
atividade activityType Indica o tipo de atividade ao qual o risco detetado está ligado. Os valores possíveis são: signin, user, unknownFutureValue.
activityDateTime DateTimeOffset Data e hora em que a atividade de risco ocorreu. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z
additionalInfo Cadeia de caracteres Informações adicionais associadas à deteção de riscos no formato JSON. Por exemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". As chaves possíveis na cadeia JSON additionalInfo são: userAgent, alertUrl, relatedEventTimeInUtc, relatedUserAgent, deviceInformation, relatedLocation, requestId, correlationId, , lastActivityTimeInUtc, malwareName, , clientLocation, clientIp. riskReasons
Para obter mais informações sobre riskReasons e valores possíveis, veja riskReasons values (valores riskReasons).
correlationId Cadeia de caracteres ID de Correlação do início de sessão associado à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a um início de sessão.
detectedDateTime DateTimeOffset Data e hora em que o risco foi detetado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z
detectionTimingType riskDetectionTimingType Temporização do risco detetado (em tempo real/offline). Os valores possíveis são: notDefined, realtime, nearRealtime, offline, unknownFutureValue.
id Cadeia de caracteres ID exclusivo da deteção de risco. Herdado da entidade
ipAddress Cadeia de caracteres Fornece o endereço IP do cliente de onde ocorreu o risco.
lastUpdatedDateTime DateTimeOffset Data e hora em que a deteção de risco foi atualizada pela última vez. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z
location signInLocation Localização do início de sessão.
requestId Cadeia de caracteres ID do pedido do início de sessão associado à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a um início de sessão.
riskDetail riskDetail Detalhes do risco detetado. Os valores possíveis são: none, , adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChangeuserChangedPasswordOnPremises, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, , adminConfirmedSigninCompromised, hidden, , adminConfirmedUserCompromised, , . m365DAdminDismissedDetectionunknownFutureValue Tenha em atenção que tem de utilizar o cabeçalho do Prefer: include - unknown -enum-members pedido para obter os seguintes valores neste enum evoluível: m365DAdminDismissedDetection.
riskEventType Cadeia de caracteres O tipo de evento de risco detetado. Os valores possíveis são adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravel, suspiciousSendingPatternsinvestigationsThreatIntelligence, , leakedCredentials,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRulesmaliciousIPAddress , , newCountry, passwordSpray, , suspiciousAPITrafficriskyIPAddress,suspiciousBrowsersuspiciousInboxForwarding, suspiciousIPAddress, , tokenIssuerAnomaly, unfamiliarFeatures. unlikelyTravel Se a deteção de risco for uma deteção premium, irá mostrar generic.
Para obter mais informações sobre cada valor, veja Tipos de risco e deteção.
riskLevel riskLevel Nível do risco detetado. Os possíveis valores são: low, medium, high, hidden, none, unknownFutureValue.
riskState riskState O estado de um utilizador de risco detetado ou início de sessão. Os valores possíveis são: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
source Cadeia de caracteres Origem da deteção de risco. Por exemplo, activeDirectory.
tokenIssuerType tokenIssuerType Indica o tipo de emissor de tokens para o risco de início de sessão detetado. Os valores possíveis são: AzureAD, ADFederationServices, UnknownFutureValue.
userDisplayName String O nome UPN do usuário.
userId Cadeia de caracteres ID exclusivo do usuário.
userPrincipalName String O nome UPN do usuário.

riskReasons valores

riskEventType Valor Cadeia de apresentação da IU
investigationsThreatIntelligence suspiciousIP Este início de sessão era de um endereço IP suspeito
investigationsThreatIntelligence passwordSpray Esta conta de utilizador foi atacada por um spray de palavra-passe.

Relações

Nenhum

Representação JSON

A representação JSON seguinte mostra o tipo de recurso.

{
  "@odata.type": "#microsoft.graph.riskDetection",
  "id": "String (identifier)",
  "requestId": "String",
  "correlationId": "String",
  "riskEventType": "String",
  "riskState": "String",
  "riskLevel": "String",
  "riskDetail": "String",
  "source": "String",
  "detectionTimingType": "String",
  "activity": "String",
  "tokenIssuerType": "String",
  "ipAddress": "String",
  "location": {
    "@odata.type": "microsoft.graph.signInLocation"
  },
  "activityDateTime": "String (timestamp)",
  "detectedDateTime": "String (timestamp)",
  "lastUpdatedDateTime": "String (timestamp)",
  "userId": "String",
  "userDisplayName": "String",
  "userPrincipalName": "String",
  "additionalInfo": "String"
}