Aktivitet |
sträng |
Anger den aktivitetstyp som den identifierade risken är kopplad till. Möjliga värden är: signin, user, unknownFutureValue. |
ActivityDateTime |
datetime |
Datum och tid då den riskfyllda aktiviteten inträffade. |
AdditionalInfo |
dynamisk |
Ytterligare information som är associerad med användarriskhändelsen i JSON-format. |
_BilledSize |
real |
Poststorleken i byte |
CorrelationId |
sträng |
Korrelations-ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
DetectedDateTime |
datetime |
Datum och tid då risken identifierades. |
DetectionTimingType |
sträng |
Tidpunkt för den identifierade risken (realtid/offline). Möjliga värden är: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
Id |
sträng |
Unikt ID för riskhändelsen. |
IpAddress |
sträng |
IP-adressen för klienten där risken inträffade. |
_IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
LastUpdatedDateTime |
datetime |
Datum och tid då riskidentifieringen senast uppdaterades. |
Plats |
dynamisk |
Plats för inloggningen. |
OperationName |
sträng |
Namnet på åtgärden. |
RequestId |
sträng |
Begär ID för inloggningen som är associerad med riskidentifieringen. Den här egenskapen är null om riskidentifieringen inte är associerad med en inloggning. |
RiskDetail |
sträng |
Information om den identifierade risken. Möjliga värden är: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
RiskEventType |
sträng |
Typen av riskhändelse har identifierats. |
RiskLevel |
sträng |
Nivån på den identifierade risken. Möjliga värden är: låg, medel, hög, dold, ingen, unknownFutureValue. |
RiskState |
sträng |
Tillståndet för en identifierad riskfylld användare eller inloggning. Möjliga värden är: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
Källa |
sträng |
Källan till riskidentifieringen. Till exempel activeDirectory. |
SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
TenantId |
sträng |
Log Analytics-arbetsytans ID |
TimeGenerated |
datetime |
Datum och tid för händelsen i UTC. |
TokenIssuerType |
sträng |
Anger typen av token utfärdare för den identifierade inloggningsrisken. Möjliga värden är: AzureAD, ADFederationServices, UnknownFutureValue. |
Typ |
sträng |
Namnet på tabellen |
UserDisplayName |
sträng |
Användarens huvudnamn (UPN). |
AnvändarID |
sträng |
Unikt-ID för användaren. |
UserPrincipalName |
sträng |
Användarens huvudnamn (UPN). |