Dela via


AADUserRiskEvents

Loggar som genereras av Identity Protection för Azure AD-användarriskhändelser.

Tabellattribut

Attribut Värde
Resurstyper -
Kategorier Granskning, säkerhet
Lösningar LogManagement
Grundläggande logg Nej
Inmatningstidstransformering Ja
Exempelfrågor Ja

Kolumner

Column Type Beskrivning
Aktivitet sträng Anger den aktivitetstyp som den identifierade risken är kopplad till. Möjliga värden är: signin, user, unknownFutureValue.
ActivityDateTime datetime Datum och tid då den riskfyllda aktiviteten inträffade.
AdditionalInfo dynamisk Ytterligare information som är associerad med användarriskhändelsen i JSON-format.
_BilledSize real Poststorleken i byte
CorrelationId sträng Korrelations-ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning.
DetectedDateTime datetime Datum och tid då risken identifierades.
DetectionTimingType sträng Tidpunkt för den identifierade risken (realtid/offline). Möjliga värden är: notDefined, realtime, nearRealtime, offline, unknownFutureValue.
Id sträng Unikt ID för riskhändelsen.
IpAddress sträng IP-adressen för klienten där risken inträffade.
_IsBillable sträng Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto
LastUpdatedDateTime datetime Datum och tid då riskidentifieringen senast uppdaterades.
Plats dynamisk Plats för inloggningen.
OperationName sträng Namnet på åtgärden.
RequestId sträng Begär ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning.
RiskDetail sträng Information om den identifierade risken. Möjliga värden är: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue.
RiskEventType sträng Typen av riskhändelse har identifierats.
RiskLevel sträng Nivån på den identifierade risken. Möjliga värden är: låg, medel, hög, dold, ingen, unknownFutureValue.
RiskState sträng Tillståndet för en identifierad riskfylld användare eller inloggning. Möjliga värden är: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
Källa sträng Källan till riskidentifieringen. Till exempel activeDirectory.
SourceSystem sträng Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics
TenantId sträng Log Analytics-arbetsytans ID
TimeGenerated datetime Datum och tid för händelsen i UTC.
TokenIssuerType sträng Anger typen av token utfärdare för den identifierade inloggningsrisken. Möjliga värden är: AzureAD, ADFederationServices, UnknownFutureValue.
Typ sträng Namnet på tabellen
UserDisplayName sträng Användarens huvudnamn (UPN).
AnvändarID sträng Unikt-ID för användaren.
UserPrincipalName sträng Användarens huvudnamn (UPN).