Type de ressource riskDetection
Espace de noms: microsoft.graph
Importante
Les API sous la version /beta dans Microsoft Graph sont susceptibles d’être modifiées. L’utilisation de ces API dans des applications de production n’est pas prise en charge. Pour déterminer si une API est disponible dans v1.0, utilisez le sélecteur Version .
Représente des informations sur un risque détecté dans un locataire Microsoft Entra.
Microsoft Entra ID Protection évalue en permanence les risques des utilisateurs et les risques liés aux applications ou aux connexions utilisateur en fonction de différents signaux et du Machine Learning. Cette API fournit un accès programmatique à toutes les détections de risques dans votre environnement Microsoft Entra.
Pour plus d’informations sur la détection des risques, consultez Protection des ID Microsoft Entra et Que sont les détections de risques ?
Remarque
La disponibilité des données de détection des risques est régie par les stratégies de conservation des données Microsoft Entra.
Méthodes
| Méthode | Type renvoyé | Description |
|---|---|---|
| List | collection riskDetection | Répertorier les détections de risques et leurs propriétés. |
| Obtenir | riskDetection | Obtenez une détection à risque spécifique et ses propriétés. |
Propriétés
| Propriété | Type | Description |
|---|---|---|
| activité | activityType | Indique le type d’activité auquel le risque détecté est lié. Les valeurs possibles sont signin, user, unknownFutureValue. |
| activityDateTime | DateTimeOffset | Date et heure auxquelles l’activité à risque s’est produite. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| additionalInfo | string | Informations supplémentaires associées à la détection des risques au format JSON. |
| correlationId | string | ID de corrélation de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| detectedDateTime | DateTimeOffset | Date et heure auxquelles le risque a été détecté. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| detectionTimingType | riskDetectionTimingType | Minutage du risque détecté (temps réel/hors connexion). Les valeurs possibles sont notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | string | ID unique de la détection des risques. |
| ipAddress | string | Fournit l’adresse IP du client à partir duquel le risque s’est produit. |
| lastUpdatedDateTime | DateTimeOffset | Date et heure de la dernière mise à jour de la détection des risques. |
| location | signInLocation | Emplacement de la connexion. |
| requestId | chaîne | ID de demande de la connexion associée à la détection des risques. Cette propriété est null si la détection des risques n’est pas associée à une connexion. |
| riskEventType | Chaîne | Type d’événement à risque détecté. Les valeurs possibles sont adminConfirmedUserCompromised, anomalousUserActivity, anonymizedIPAddress,attackerinTheMiddleinvestigationsThreatIntelligenceleakedCredentialsmaliciousIPAddressinvestigationsThreatIntelligenceSigninLinkedattemptedPRTAccessgeneric , mcasSuspiciousInboxManipulationRulesmalwareInfectedIPAddressmaliciousIPAddressValidCredentialsBlockedIPmcasFinSuspiciousFileAccessmcasImpossibleTravel, suspiciousAPITrafficnationStateIP, . suspiciousIPAddresssuspiciousSendingPatternsunfamiliarFeaturesunlikelyTraveluserReportedSuspiciousActivity Pour plus d’informations sur chaque valeur, consultez Types de risques et détection. |
| riskDetail | riskDetail | Détails du risque détecté. Les valeurs possibles sont : none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafeuserPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue, adminConfirmedServicePrincipalCompromised, , adminDismissedAllRiskForServicePrincipal, , . m365DAdminDismissedDetection Notez que vous devez utiliser l’en-tête Prefer: include - unknown -enum-members de requête pour obtenir la ou les valeurs suivantes dans cette énumération évolutive : adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal , m365DAdminDismissedDetection. Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Les clients P1 seront retournés hidden. |
| riskLevel | riskLevel | Niveau du risque détecté. Les valeurs possibles sont low, medium, high, hidden, none, unknownFutureValue. Note: Les détails de cette propriété sont disponibles uniquement pour les clients Microsoft Entra ID P2. Les clients P1 seront retournés hidden. |
| riskState | riskState | État d’un utilisateur ou d’une connexion à risque détecté. Les valeurs possibles sont none, confirmedSafe, remediated, dismissedatRisk, , confirmedCompromisedet unknownFutureValue. |
| source | chaîne | Source de la détection des risques. Par exemple : activeDirectory. |
| tokenIssuerType | tokenIssuerType | Indique le type d’émetteur de jeton pour le risque de connexion détecté. Les valeurs possibles sont AzureAD, ADFederationServices et unknownFutureValue. |
| userId | chaîne | ID unique de l’utilisateur. Le type DateTimeOffset représente les informations de date et d’heure au moyen du format ISO 8601. Il est toujours au format d’heure UTC. Par exemple, le 1er janvier 2014 à minuit UTC se présente comme suit : 2014-01-01T00:00:00Z. |
| userDisplayName | string | Nom de l'utilisateur. |
| userPrincipalName | chaîne | Nom d’utilisateur principal (UPN) de l’utilisateur. |
| riskType (déconseillé) | riskEventType | Liste des types d’événements à risque. Note: Cette propriété est déconseillée. Utilisez riskEventType à la place. |
Représentation JSON
La représentation JSON suivante montre le type de ressource.
{
"id": "string",
"requestId": "string",
"correlationId": "string",
"riskType": {"@odata.type": "microsoft.graph.riskEventType"},
"riskState": {"@odata.type": "microsoft.graph.riskState"},
"riskLevel": {"@odata.type": "microsoft.graph.riskLevel"},
"riskDetail": {"@odata.type": "microsoft.graph.riskDetail"},
"source": "string",
"detectionTimingType": {"@odata.type": "microsoft.graph.riskDetectionTimingType"},
"activity": {"@odata.type": "microsoft.graph.riskUserActivity"},
"tokenIssuerType": {"@odata.type": "microsoft.graph.tokenIssuerType"},
"ipAddress": "string",
"location": {"@odata.type": "microsoft.graph.signInLocation"},
"activityDateTime": "string (timestamp)",
"detectedDateTime": "string (timestamp)",
"lastUpdatedDateTime": "string (timestamp)",
"userId": "string",
"userDisplayName": "string",
"userPrincipalName": "string",
"additionalInfo": "string"
}