Тип ресурса riskDetection
Пространство имен: microsoft.graph
Важно!
API версии /beta
в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет сведения об обнаруженном риске в клиенте Microsoft Entra.
Microsoft Entra ID Protection постоянно оценивает риски пользователей и приложений или рисков входа пользователей на основе различных сигналов и машинного обучения. Этот API предоставляет программный доступ ко всем обнаружениям рисков в среде Microsoft Entra.
Дополнительные сведения об обнаружении рисков см. в разделах Защита идентификаторов Microsoft Entra и Что такое обнаружение рисков?
Примечание.
Доступность данных обнаружения рисков регулируется политиками хранения данных Microsoft Entra.
Методы
Метод | Возвращаемый тип | Описание |
---|---|---|
Список | Коллекция riskDetection | Перечисление обнаруженных рисков и их свойств. |
Получение | riskDetection | Получение определенного опасного обнаружения и его свойств. |
Свойства
Свойство | Тип | Описание |
---|---|---|
действие | activityType | Указывает тип действия, с который связан обнаруженный риск. Возможные значения: signin , user , unknownFutureValue . |
activityDateTime | DateTimeOffset | Дата и время выполнения рискованных действий. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
additionalInfo | string | Дополнительные сведения, связанные с обнаружением рисков, в формате JSON. |
correlationId | string | Идентификатор корреляции входа, связанного с обнаружением риска. Это свойство имеет значение NULL, если обнаружение риска не связано со вхожением. |
detectedDateTime | DateTimeOffset | Дата и время обнаружения риска. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
detectionTimingType | riskDetectionTimingType | Время обнаружения риска (в режиме реального времени или в автономном режиме). Возможные значения: notDefined , realtime , nearRealtime , offline , unknownFutureValue . |
id | string | Уникальный идентификатор обнаружения риска. |
ipAddress | string | Предоставляет IP-адрес клиента, с которого возник риск. |
lastUpdatedDateTime | DateTimeOffset | Дата и время последнего обновления обнаружения рисков. |
location | signInLocation | Расположение входа. |
requestId | string | Идентификатор запроса для входа, связанного с обнаружением риска. Это свойство имеет значение NULL, если обнаружение риска не связано со вхожением. |
riskEventType | String | Тип обнаруженного события риска. Возможные значения: adminConfirmedUserCompromised , , anonymizedIPAddress anomalousUserActivity , ,attackerinTheMiddle , generic attemptedPRTAccess investigationsThreatIntelligenceSigninLinked investigationsThreatIntelligence , ,leakedCredentials , maliciousIPAddressValidCredentialsBlockedIP maliciousIPAddress , mcasImpossibleTravel malwareInfectedIPAddress ,mcasFinSuspiciousFileAccess mcasSuspiciousInboxManipulationRules ,nationStateIP , . suspiciousAPITraffic suspiciousIPAddress suspiciousSendingPatterns unfamiliarFeatures unlikelyTravel userReportedSuspiciousActivity Дополнительные сведения о каждом значении см. в разделе Типы рисков и обнаружение. |
riskDetail | riskDetail | Сведения об обнаружении риска. Возможные значения: none , , adminGeneratedTemporaryPassword , userPerformedSecuredPasswordChange userPerformedSecuredPasswordReset , adminConfirmedSigninSafe , , aiConfirmedSigninSafe userPassedMFADrivenByRiskBasedPolicy , , adminDismissedAllRiskForUser , adminConfirmedSigninCompromised , hidden , adminConfirmedUserCompromised , , unknownFutureValue , adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal , . m365DAdminDismissedDetection Обратите внимание, что необходимо использовать Prefer: include - unknown -enum-members заголовок запроса, чтобы получить следующие значения в этом развиваемом перечислении: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal , m365DAdminDismissedDetection . Заметка: Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Клиенты P1 будут возвращены hidden . |
riskLevel | riskLevel | Уровень обнаруженного риска. Возможные значения: low , medium , high , hidden , none , . unknownFutureValue Заметка: Сведения об этом свойстве доступны только для клиентов Microsoft Entra ID P2. Клиенты P1 будут возвращены hidden . |
riskState | riskState | Состояние обнаруженного опасного пользователя или входа. Возможные значения: none , confirmedSafe , remediated , dismissed , atRisk , confirmedCompromised и unknownFutureValue . |
source | string | Источник обнаружения рисков. Например, activeDirectory . |
tokenIssuerType | tokenIssuerType | Указывает тип издателя маркера для обнаруженного риска входа. Возможные значения: AzureAD , ADFederationServices и unknownFutureValue . |
userId | строка | Уникальный идентификатор пользователя. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z . |
userDisplayName | string | Имя пользователя. |
userPrincipalName | string | Имя участника-пользователя. |
riskType (не рекомендуется) | riskEventType | Список типов событий риска. Заметка: Это свойство устарело. Вместо этого используйте riskEventType . |
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}