riskDetection 资源类型
命名空间:microsoft.graph
重要
Microsoft Graph /beta 版本下的 API 可能会发生更改。 不支持在生产应用程序中使用这些 API。 若要确定 API 是否在 v1.0 中可用,请使用 版本 选择器。
表示有关Microsoft Entra 租户中检测到的风险的信息。
Microsoft Entra ID Protection 会根据各种信号和机器学习持续评估 用户风险 以及应用或用户 登录 风险。 此 API 提供对 Microsoft Entra 环境中所有风险检测的编程访问。
有关风险检测的详细信息,请参阅 Microsoft Entra ID Protection 和 什么是风险检测?
注意
风险检测数据的可用性由 Microsoft Entra 数据保留策略控制。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | riskDetection 集合 | 列出风险检测及其属性。 |
| Get | riskDetection | 获取特定的风险检测及其属性。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| 活动 | activityType | 指示检测到的风险链接到的活动类型。 可能的值为 signin、 user、 unknownFutureValue。 |
| activityDateTime | DateTimeOffset | 风险活动的发生日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| additionalInfo | string | 与 JSON 格式的风险检测关联的其他信息。 |
| correlationId | string | 与风险检测关联的登录的相关 ID。 如果风险检测未与登录相关联,则此属性为 null。 |
| detectedDateTime | DateTimeOffset | 检测到风险的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 检测到的风险的计时 (实时/脱机) 。 可能的值为 notDefined、、unknownFutureValuerealtimenearRealtimeoffline。 |
| id | string | 风险检测的唯一 ID。 |
| ipAddress | string | 提供发生风险的客户端的 IP 地址。 |
| lastUpdatedDateTime | DateTimeOffset | 上次更新风险检测的日期和时间。 |
| location | signInLocation | 登录的位置。 |
| requestId | string | 与风险检测关联的登录的请求 ID。 如果风险检测未与登录相关联,则此属性为 null。 |
| riskEventType | String | 检测到的风险事件类型。 可能的值为 、、、、attackerinTheMiddleleakedCredentialsattemptedPRTAccessgenericmaliciousIPAddressmaliciousIPAddressValidCredentialsBlockedIPanonymizedIPAddressinvestigationsThreatIntelligenceSigninLinkedinvestigationsThreatIntelligence、suspiciousAPITrafficmcasSuspiciousInboxManipulationRulesnationStateIPsuspiciousIPAddressmcasImpossibleTravelmalwareInfectedIPAddressmcasFinSuspiciousFileAccess、suspiciousSendingPatterns、 。 userReportedSuspiciousActivityunlikelyTravelunfamiliarFeaturesanomalousUserActivityadminConfirmedUserCompromised 有关每个值的详细信息,请参阅 风险类型和检测。 |
| riskDetail | riskDetail | 检测到的风险的详细信息。 可能的值为:none、、userPerformedSecuredPasswordChangeadminGeneratedTemporaryPassword、aiConfirmedSigninSafeadminConfirmedSigninSafeadminConfirmedSigninCompromisedhiddenuserPerformedSecuredPasswordResetuserPassedMFADrivenByRiskBasedPolicyadminDismissedAllRiskForUser、、adminConfirmedUserCompromisedunknownFutureValue、、、adminConfirmedServicePrincipalCompromised、、 。 m365DAdminDismissedDetectionadminDismissedAllRiskForServicePrincipal 请注意,必须使用 Prefer: include - unknown -enum-members 请求标头来获取以下值 (此 可演变枚举中的) : adminConfirmedServicePrincipalCompromised 、 adminDismissedAllRiskForServicePrincipal 、 m365DAdminDismissedDetection。 注意: 此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 P1 客户将返回 hidden。 |
| riskLevel | riskLevel | 检测到的风险级别。 可能的值为 low、、medium、high、hiddennone、 unknownFutureValue。 注意: 此属性的详细信息仅适用于Microsoft Entra ID P2 客户。 P1 客户将返回 hidden。 |
| riskState | riskState | 检测到有风险的用户或登录的状态。 可能的值为 none、、confirmedSafe、remediated、dismissedatRisk、 confirmedCompromised和 unknownFutureValue。 |
| source | string | 风险检测的来源。 例如,activeDirectory。 |
| tokenIssuerType | tokenIssuerType | 指示检测到的登录风险的令牌颁发者类型。 可取值为:AzureAD、ADFederationServices 和 unknownFutureValue。 |
| userId | string | 用户的唯一 ID。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 为 2014-01-01T00:00:00Z |
| userDisplayName | string | 用户名。 |
| userPrincipalName | string | 用户的用户主体名称 (UPN)。 |
| riskType (已弃用) | riskEventType | 风险事件类型的列表。 注意: 此属性已弃用。 请改用 riskEventType 。 |
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}