Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Namespace: microsoft.graph
Representa informações sobre um risco detetado num inquilino Microsoft Entra.
Microsoft Entra ID avalia continuamente os riscos do utilizador e os riscos de início de sessão de aplicações ou utilizadores com base em vários sinais e machine learning. Esta API fornece acesso programático a todas as deteções de risco no seu ambiente de Microsoft Entra.
Para obter mais informações sobre a deteção de riscos, veja Proteção Microsoft Entra ID e O que são deteções de risco?
Observação
A disponibilidade dos dados de deteção de riscos é regida pelas políticas de retenção de dados Microsoft Entra.
Métodos
| Método | Tipo de retorno | Descrição |
|---|---|---|
| List | riskDetection collection | Obtenha uma lista dos objetos riskDetection e respetivas propriedades. |
| Get | riskDetection | Leia as propriedades e relações de um objeto riskDetection . |
Propriedades
| Propriedade | Tipo | Descrição |
|---|---|---|
| atividade | activityType | Indica o tipo de atividade ao qual o risco detetado está ligado. |
| activityDateTime | DateTimeOffset | Data e hora em que a atividade de risco ocorreu. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z |
| additionalInfo | Cadeia de caracteres | Informações adicionais associadas à deteção de riscos no formato JSON. Por exemplo, "[{\"Key\":\"userAgent\",\"Value\":\"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/68.0.3440.106 Safari/537.36\"}]". As chaves possíveis na cadeia JSON additionalInfo são: userAgent, alertUrl, relatedEventTimeInUtc, relatedUserAgent, deviceInformation, relatedLocation, requestId, correlationId, , lastActivityTimeInUtc, malwareName, , clientLocation, clientIp. riskReasons Para obter mais informações sobre riskReasons e valores possíveis, veja riskReasons values (valores riskReasons). |
| correlationId | Cadeia de caracteres | ID de Correlação do início de sessão associado à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a um início de sessão. |
| detectedDateTime | DateTimeOffset | Data e hora em que o risco foi detetado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z |
| detectionTimingType | riskDetectionTimingType | Temporização do risco detetado (em tempo real/offline). Os valores possíveis são: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Cadeia de caracteres | ID exclusivo da deteção de risco. Herdado da entidade |
| ipAddress | Cadeia de caracteres | Fornece o endereço IP do cliente de onde ocorreu o risco. |
| lastUpdatedDateTime | DateTimeOffset | Data e hora em que a deteção de risco foi atualizada pela última vez. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, a meia-noite UTC a 1 de janeiro de 2014 tem o seguinte aspeto: 2014-01-01T00:00:00Z |
| location | signInLocation | Localização do início de sessão. |
| requestId | Cadeia de caracteres | ID do pedido do início de sessão associado à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a um início de sessão. |
| riskDetail | riskDetail | Detalhes do risco detetado. |
| riskEventType | Cadeia de caracteres | O tipo de evento de risco detetado. Os valores possíveis são adminConfirmedUserCompromised, anomalousToken, anomalousUserActivity, anonymizedIPAddress, generic, impossibleTravel, suspiciousSendingPatternsinvestigationsThreatIntelligence, , leakedCredentials,malwareInfectedIPAddressmcasSuspiciousInboxManipulationRulesmaliciousIPAddress , , newCountry, passwordSpray, , suspiciousAPITrafficriskyIPAddress,suspiciousBrowsersuspiciousInboxForwarding, suspiciousIPAddress, , tokenIssuerAnomaly, unfamiliarFeatures. unlikelyTravel Se a deteção de risco for uma deteção premium, irá mostrar generic. Para obter mais informações sobre cada valor, veja Tipos de risco e deteção. |
| riskLevel | riskLevel | Nível do risco detetado. Os valores possíveis são: low, medium, high, hidden, none, unknownFutureValue. |
| riskState | riskState | O estado de um utilizador de risco detetado ou início de sessão. Os valores possíveis são none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| source | Cadeia de caracteres | Origem da deteção de risco. Por exemplo, activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indica o tipo de emissor de tokens para o risco de início de sessão detetado. Os valores possíveis são: AzureAD, ADFederationServices, UnknownFutureValue. |
| userDisplayName | String | O nome UPN do usuário. |
| userId | Cadeia de caracteres | ID exclusivo do usuário. |
| userPrincipalName | String | O nome UPN do usuário. |
riskReasons valores
| riskEventType | Valor | Cadeia de apresentação da IU |
|---|---|---|
investigationsThreatIntelligence |
suspiciousIP |
Este início de sessão era de um endereço IP suspeito |
investigationsThreatIntelligence |
passwordSpray |
Esta conta de utilizador foi atacada por um spray de palavra-passe. |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.riskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"userId": "String",
"userDisplayName": "String",
"userPrincipalName": "String",
"additionalInfo": "String"
}