Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Espace de noms: microsoft.graph
Représente des informations sur un risque détecté dans un locataire Microsoft Entra.
Microsoft Entra ID évalue en permanence les risques liés aux utilisateurs et aux risques liés à l’application ou à la connexion utilisateur en fonction de différents signaux et du Machine Learning. Cette API fournit un accès par programmation à toutes les détections de risques dans votre environnement Microsoft Entra.
Pour plus d’informations sur la détection des risques, consultez Microsoft Entra ID Protection et Que sont les détections de risques ?
Remarque
La disponibilité des données de détection des risques est régie par les stratégies de conservation des données Microsoft Entra.
Méthodes
| Méthode | Type de retour | Description |
|---|---|---|
| List | collection riskDetection | Obtenez la liste des objets riskDetection et de leurs propriétés. |
| Obtenir | riskDetection | Lisez les propriétés et les relations d’un objet riskDetection . |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| activité | activityType | Indique le type d’activité auquel le risque détecté est lié. |
| activityDateTime | DateTimeOffset | Date et heure auxquelles l’activité à risque s’est produite. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| additionalInfo | String | Informations supplémentaires associées à la détection des risques au format JSON. Par exemple : "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". Les clés possibles dans la chaîne JSON additionalInfo sont : userAgent, alertUrl, relatedEventTimeInUtc, relatedUserAgent, deviceInformation, requestIdrelatedLocation, , correlationId, lastActivityTimeInUtc, clientLocationmalwareName, clientIp. riskReasons Pour plus d’informations sur riskReasons et les valeurs possibles, consultez valeurs riskReasons. |
| correlationId | String | ID de corrélation de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| detectedDateTime | DateTimeOffset | Date et heure auxquelles le risque a été détecté. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Minutage du risque détecté (temps réel/hors connexion). Les valeurs possibles sont : notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | String | ID unique de la détection des risques. Hérité de l’entité |
| ipAddress | String | Fournit l’adresse IP du client à partir duquel le risque s’est produit. |
| lastUpdatedDateTime | DateTimeOffset | Date et heure de la dernière mise à jour de la détection des risques. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, minuit UTC le 1er janvier 2014 ressemble à ceci : 2014-01-01T00:00:00Z |
| location | signInLocation | Emplacement de la connexion. |
| requestId | String | ID de demande de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| riskDetail | riskDetail | Détails du risque détecté. |
| riskEventType | String | Type d’événement à risque détecté. Les valeurs possibles sont adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, genericimpossibleTravel, investigationsThreatIntelligence, suspiciousSendingPatterns, leakedCredentialsmaliciousIPAddress,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRules ,riskyIPAddresssuspiciousAPITrafficnewCountrypasswordSpray ,suspiciousInboxForwardingsuspiciousIPAddresssuspiciousBrowser , . tokenIssuerAnomalyunfamiliarFeaturesunlikelyTravel Si la détection des risques est une détection Premium, affiche generic. Pour plus d’informations sur chaque valeur, consultez Types de risques et détection. |
| riskLevel | riskLevel | Niveau du risque détecté. Les valeurs possibles sont low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | État d’un utilisateur ou d’une connexion à risque détecté. Les valeurs possibles sont none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | String | Source de la détection des risques. Par exemple : activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indique le type d’émetteur de jeton pour le risque de connexion détecté. Les valeurs possibles sont AzureAD, ADFederationServices, UnknownFutureValue. |
| userDisplayName | String | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| userId | String | ID unique de l’utilisateur. |
| userPrincipalName | String | Nom d’utilisateur principal (UPN) de l’utilisateur. |
valeurs riskReasons
| riskEventType | Valeur | Chaîne d’affichage de l’interface utilisateur |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Cette connexion provient d’une adresse IP suspecte |
investigationsThreatIntelligence |
passwordSpray |
Ce compte d’utilisateur a été attaqué par un pulvérisation de mot de passe. |
Relations
Aucun.
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}