servicePrincipalRiskDetection-Ressourcentyp
Namespace: microsoft.graph
Stellt Informationen zu erkannten gefährdeten Dienstprinzipalen in einem Microsoft Entra-Mandanten dar. Microsoft Entra ID wertet Risiken kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen aus. Diese API bietet programmgesteuerten Zugriff auf alle Risikoerkennungen des Dienstprinzipals in Ihrer Microsoft Entra-Umgebung.
Erbt von entity.
Weitere Informationen zu Risikoereignissen finden Sie unter Microsoft Entra ID Protection.
Anmerkung: Sie benötigen eine Microsoft Entra Workload ID Premium-Lizenz, um die servicePrincipalRiskDetection-API verwenden zu können.
Methoden
Methode | Rückgabetyp | Beschreibung |
---|---|---|
List | servicePrincipalRiskDetection-Sammlung | Auflisten von Dienstprinzipalrisikoerkennungen und deren Eigenschaften. |
Get | servicePrincipalRiskDetection | Rufen Sie die Risikoerkennung eines bestimmten Dienstprinzipals und deren Eigenschaften ab. |
Eigenschaften
Eigenschaft | Typ | Beschreibung |
---|---|---|
Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Die möglichen Werte sind: signin , servicePrincipal . Beachten Sie, dass Sie den Prefer: include-unknown-enum-members Anforderungsheader verwenden müssen, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: servicePrincipal . |
activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
additionalInfo | Zeichenfolge | Zusätzliche Informationen im Zusammenhang mit der Risikoerkennung. Dieser Zeichenfolgenwert wird als JSON-Objekt mit Escapezeichen für die Anführungszeichen dargestellt. |
appId | Zeichenfolge | Der eindeutige Bezeichner für die zugeordnete Anwendung. |
correlationId | String | Korrelations-ID der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist. |
detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z . |
detectionTimingType | riskDetectionTimingType | Zeitpunkt des erkannten Risikos , ob in Echtzeit oder offline. Mögliche Werte sind: notDefined , realtime , nearRealtime , offline , unknownFutureValue . |
id | Zeichenfolge | Eindeutiger Bezeichner der Risikoerkennung. Geerbt von entity. |
ipAddress | String | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
keyIds | String-Sammlung | Der eindeutige Bezeichner für die Schlüsselanmeldeinformationen, die der Risikoerkennung zugeordnet sind. |
lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
location | signInLocation | Speicherort, von dem aus die Anmeldung initiiert wurde. |
requestId | Zeichenfolge | Anforderungsbezeichner der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist. Unterstützt $filter (eq ). |
riskDetail | riskDetail | Details zum erkannten Risiko. Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden . Mögliche Werte sind: none , hidden , adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal . Beachten Sie, dass Sie den Prefer: include-unknown-enum-members Anforderungsheader verwenden müssen, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal . |
riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Mögliche Werte: investigationsThreatIntelligence , generic , , adminConfirmedServicePrincipalCompromised suspiciousSignins , leakedCredentials , anomalousServicePrincipalActivity , maliciousApplication , , . suspiciousApplication |
riskLevel | riskLevel | Ebene des erkannten Risikos. Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden . Mögliche Werte sind: low , medium , high , hidden , none . |
riskState | riskState | Der Status eines erkannten riskanten Dienstprinzipals oder einer Anmeldeaktivität. Mögliche Werte sind: none , dismissed , atRisk , confirmedCompromised . |
servicePrincipalDisplayName | Zeichenfolge | Der Anzeigename für den Dienstprinzipal. |
servicePrincipalId | Zeichenfolge | Der eindeutige Bezeichner für den Dienstprinzipal. Unterstützt $filter (eq ). |
source | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: identityProtection . |
tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Die möglichen Werte sind: AzureAD . |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung zeigt den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}