| Aktivitet |
sträng |
Anger den aktivitetstyp som den identifierade risken är kopplad till. Möjliga värden är: signin, user, unknownFutureValue. |
| ActivityDateTime |
datetime |
Datum och tid då den riskfyllda aktiviteten inträffade. |
| AdditionalInfo |
dynamisk |
Ytterligare information som är associerad med användarriskhändelsen i JSON-format. |
| _BilledSize |
real |
Poststorleken i byte |
| CorrelationId |
sträng |
Korrelations-ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
| DetectedDateTime |
datetime |
Datum och tid då risken identifierades. |
| DetectionTimingType |
sträng |
Tidpunkt för den identifierade risken (realtid/offline). Möjliga värden är: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| Id |
sträng |
Unikt ID för riskhändelsen. |
| IpAddress |
sträng |
IP-adressen för klienten där risken inträffade. |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| LastUpdatedDateTime |
datetime |
Datum och tid då riskidentifieringen senast uppdaterades. |
| Plats |
dynamisk |
Plats för inloggningen. |
| OperationName |
sträng |
Namnet på åtgärden. |
| RequestId |
sträng |
Begär ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
| RiskDetail |
sträng |
Information om den identifierade risken. Möjliga värden är: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskEventType |
sträng |
Typen av riskhändelse har identifierats. |
| RiskLevel |
sträng |
Nivån på den identifierade risken. Möjliga värden är: låg, medel, hög, dold, ingen, unknownFutureValue. |
| RiskState |
sträng |
Tillståndet för en identifierad riskfylld användare eller inloggning. Möjliga värden är: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| Källa |
sträng |
Källan till riskidentifieringen. Till exempel activeDirectory. |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Datum och tid för händelsen i UTC. |
| TokenIssuerType |
sträng |
Anger typen av token utfärdare för den identifierade inloggningsrisken. Möjliga värden är: AzureAD, ADFederationServices, UnknownFutureValue. |
| Typ |
sträng |
Namnet på tabellen |
| UserDisplayName |
sträng |
Användarens huvudnamn (UPN). |
| AnvändarID |
sträng |
Unikt-ID för användaren. |
| UserPrincipalName |
sträng |
Användarens huvudnamn (UPN). |