AADRiskyUsers
Artikel 11/05/2024
2 deltagare
Feedback
I den här artikeln
Loggar som genereras av Identity Protection för Azure AD Risky-användare.
Tabellattribut
Attribut
Värde
Resurstyper -
Kategorier Granskning, säkerhet
Lösningar LogManagement
Grundläggande logg Nej
Inmatningstidstransformering Ja
Exempelfrågor Ja
Kolumner
Column
Type
Beskrivning
_BilledSize
real
Poststorleken i byte
CorrelationId
sträng
ID:t för korrelerade log analytics-händelser. Kan användas för att identifiera korrelerade händelser mellan flera tabeller.
Id
sträng
Unikt ID för den användare som är i riskzonen.
_IsBillable
sträng
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
IsDeleted
bool
Anger om användaren tas bort.
IsProcessing
bool
Anger om en användares riskfyllda tillstånd bearbetas av serverdelen.
OperationName
sträng
Namnet på åtgärden.
RiskDetail
sträng
Information om den identifierade risken. Möjliga värden är: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue.
RiskLastUpdatedDateTime
datetime
Datum och tid då den riskfyllda användaren senast uppdaterades.
RiskLevel
sträng
Nivå för den identifierade riskfyllda användaren. Möjliga värden är: låg, medel, hög, dold, ingen, unknownFutureValue.
RiskState
sträng
Tillstånd för användarens risk. Möjliga värden är: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
SourceSystem
sträng
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
TenantId
sträng
Log Analytics-arbetsytans ID
TimeGenerated
datetime
Datum och tid för händelsen i UTC.
Typ
sträng
Namnet på tabellen
UserDisplayName
sträng
Riskfyllt visningsnamn för användare.
UserPrincipalName
sträng
Riskfyllda användarens huvudnamn.