命名空间:microsoft.graph
表示有关Microsoft Entra租户中检测到的风险的信息。
Microsoft Entra ID根据各种信号和机器学习持续评估用户风险以及应用或用户登录风险。 此 API 提供对Microsoft Entra环境中所有风险检测的编程访问。
有关风险检测的详细信息,请参阅Microsoft Entra ID 保护和什么是风险检测?
注意
风险检测数据的可用性由Microsoft Entra数据保留策略控制。
方法
| 方法 | 返回类型 | Description |
|---|---|---|
| List | riskDetection 集合 | 获取 riskDetection 对象及其属性的列表。 |
| Get | riskDetection | 读取 riskDetection 对象的属性和关系。 |
属性
| 属性 | 类型 | 说明 |
|---|---|---|
| 活动 | activityType | 指示检测到的风险链接到的活动类型。 可取值为:signin、user、unknownFutureValue。 |
| activityDateTime | DateTimeOffset | 风险活动的发生日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 如下所示: 2014-01-01T00:00:00Z |
| additionalInfo | String | 与 JSON 格式的风险检测关联的其他信息。 例如,"[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]"。 additionalInfo JSON 字符串中的可能键包括:userAgent、、alertUrl、、relatedEventTimeInUtcrelatedUserAgent、correlationIdlastActivityTimeInUtcrequestIddeviceInformationrelatedLocationmalwareName、clientLocation、 。 riskReasonsclientIp 有关 riskReasons 和可能值的详细信息,请参阅 riskReasons 值。 |
| correlationId | String | 与风险检测关联的登录的相关 ID。 如果风险检测未与登录相关联,则此属性 null 为 。 |
| detectedDateTime | DateTimeOffset | 检测到风险的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 如下所示: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | 检测到的风险的计时 (实时/脱机) 。 可取值为:notDefined、realtime、nearRealtime、offline、unknownFutureValue。 |
| id | String | 风险检测的唯一 ID。 继承自 实体 |
| ipAddress | String | 提供发生风险的客户端的 IP 地址。 |
| lastUpdatedDateTime | DateTimeOffset | 上次更新风险检测的日期和时间。 DateTimeOffset 表示使用 ISO 8601 格式的日期和时间信息,并且始终处于 UTC 时间。 例如,2014 年 1 月 1 日午夜 UTC 如下所示: 2014-01-01T00:00:00Z |
| location | signInLocation | 登录的位置。 |
| requestId | String | 与风险检测关联的登录的请求 ID。 如果风险检测未与登录相关联,则此属性 null 为 。 |
| riskDetail | riskDetail | 检测到的风险的详细信息。 可能的值为:none、、adminGeneratedTemporaryPassworduserChangedPasswordOnPremises、aiConfirmedSigninSafeuserPerformedSecuredPasswordResetuserPerformedSecuredPasswordChangeuserPassedMFADrivenByRiskBasedPolicyadminConfirmedSigninCompromisedadminDismissedAllRiskForUseradminConfirmedSigninSafe、、、hidden、adminConfirmedUserCompromised、 。 m365DAdminDismissedDetectionunknownFutureValue 使用 Prefer: include - unknown -enum-members 请求标头获取以下值, (此 可演变枚举中的) : m365DAdminDismissedDetection。 |
| riskEventType | String | 检测到的风险事件类型。 可能的值为 adminConfirmedUserCompromised、、anomalousToken、newCountryriskyIPAddressanomalousUserActivitysuspiciousSendingPatternsleakedCredentialsimpossibleTravelinvestigationsThreatIntelligencemaliciousIPAddressgenericmcasSuspiciousInboxManipulationRulessuspiciousAPITrafficmalwareInfectedIPAddresssuspiciousBrowserpasswordSprayanonymizedIPAddress、suspiciousInboxForwarding、suspiciousIPAddress、tokenIssuerAnomaly、 。 unlikelyTravelunfamiliarFeatures 如果风险检测是高级检测,将显示 generic。 有关每个值的详细信息,请参阅 风险类型和检测。 |
| riskLevel | riskLevel | 检测到的风险级别。 可取值为:low、medium、high、hidden、none、unknownFutureValue。 |
| riskState | riskState | 检测到有风险的用户或登录的状态。 可取值为:none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised 或 unknownFutureValue。 |
| source | String | 风险检测的来源。 例如,activeDirectory。 |
| tokenIssuerType | tokenIssuerType | 指示检测到的登录风险的令牌颁发者类型。 可取值为:AzureAD、ADFederationServices、UnknownFutureValue。 |
| userDisplayName | String | 用户的用户主体名称 (UPN)。 |
| userId | String | 用户的唯一 ID。 |
| userPrincipalName | String | 用户的用户主体名称 (UPN)。 |
riskReasons 值
| riskEventType | 值 | UI 显示字符串 |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
此登录来自可疑 IP 地址 |
investigationsThreatIntelligence |
passwordSpray |
此用户帐户受到密码喷射攻击。 |
关系
无。
JSON 表示形式
以下 JSON 表示形式显示了资源类型。
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}