servicePrincipalRiskDetection tipo de recurso
Namespace: microsoft.graph
Representa informações sobre principais de serviço detetados em risco num inquilino do Microsoft Entra. O Microsoft Entra ID avalia continuamente os riscos com base em vários sinais e machine learning. Esta API fornece acesso programático a todas as deteções de risco do principal de serviço no seu ambiente do Microsoft Entra.
Herda de entidade.
Para obter mais informações sobre eventos de risco, consulte Microsoft Entra ID Protection.
Nota: Tem de ter uma licença microsoft Entra Workload ID Premium para utilizar a API servicePrincipalRiskDetection.
Métodos
Método | Tipo de retorno | Descrição |
---|---|---|
List | servicePrincipalRiskDetection collection | Listar as deteções de risco do principal de serviço e as respetivas propriedades. |
Get | servicePrincipalRiskDetection | Obtenha uma deteção de risco específica do principal de serviço e as respetivas propriedades. |
Propriedades
Propriedade | Tipo | Descrição |
---|---|---|
atividade | activityType | Indica o tipo de atividade ao qual o risco detetado está ligado. Os valores possíveis são: signin , servicePrincipal . Tenha em atenção que tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores neste enum evoluível: servicePrincipal . |
activityDateTime | DateTimeOffset | Data e hora em que ocorreu a atividade de risco. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z |
additionalInfo | Cadeia de caracteres | Informações adicionais associadas à deteção de riscos. Este valor de cadeia é representado como um objeto JSON com as aspas escapadas. |
appId | Cadeia de caracteres | O identificador exclusivo da aplicação associada. |
correlationId | Cadeia de caracteres | ID de Correlação da atividade de início de sessão associada à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a uma atividade de início de sessão. |
detectedDateTime | DateTimeOffset | Data e hora em que o risco foi detetado. O tipo DateTimeOffset representa informações de data e hora usando o formato ISO 8601 e está sempre no horário UTC. Por exemplo, meia-noite UTC em 1 de janeiro de 2014 é 2014-01-01T00:00:00Z . |
detectionTimingType | riskDetectionTimingType | Temporização do risco detetado , seja em tempo real ou offline. Os valores possíveis são: notDefined , realtime , nearRealtime , offline , unknownFutureValue . |
id | Cadeia de caracteres | Identificador exclusivo da deteção de risco. Herdado da entidade. |
ipAddress | Cadeia de caracteres | Fornece o endereço IP do cliente de onde ocorreu o risco. |
keyIds | Coleção de cadeias de caracteres | O identificador exclusivo da credencial de chave associada à deteção de risco. |
lastUpdatedDateTime | DateTimeOffset | Data e hora em que a deteção de risco foi atualizada pela última vez. |
location | signInLocation | Localização a partir da qual o início de sessão foi iniciado. |
requestId | Cadeia de caracteres | Identificador do pedido da atividade de início de sessão associada à deteção de risco. Esta propriedade é null se a deteção de risco não estiver associada a uma atividade de início de sessão. Suporta $filter (eq ). |
riskDetail | riskDetail | Detalhes do risco detetado. Nota: Os detalhes desta propriedade só estão disponíveis para os clientes do Workload Identities Premium. Serão devolvidos hidden eventos em inquilinos sem esta licença. Os valores possíveis são: none , hidden , adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal . Tenha em atenção que tem de utilizar o cabeçalho do Prefer: include-unknown-enum-members pedido para obter os seguintes valores neste enum evoluível: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal . |
riskEventType | Cadeia de caracteres | O tipo de evento de risco detetado. Os valores possíveis são: investigationsThreatIntelligence , , adminConfirmedServicePrincipalCompromised generic , , leakedCredentials suspiciousSignins , anomalousServicePrincipalActivity , , . suspiciousApplication maliciousApplication |
riskLevel | riskLevel | Nível do risco detetado. Nota: Os detalhes desta propriedade só estão disponíveis para os clientes do Workload Identities Premium. Serão devolvidos hidden eventos em inquilinos sem esta licença. Os valores possíveis são: low , medium , high , hidden , none . |
riskState | riskState | O estado de um principal de serviço de risco detetado ou atividade de início de sessão. Os valores possíveis são: none , dismissed , atRisk , confirmedCompromised . |
servicePrincipalDisplayName | String | O nome de exibição da entidade de serviço. |
servicePrincipalId | Cadeia de caracteres | O identificador exclusivo da entidade de serviço. Suporta $filter (eq ). |
source | Cadeia de caracteres | Origem da deteção de risco. Por exemplo, identityProtection . |
tokenIssuerType | tokenIssuerType | Indica o tipo de emissor de tokens para o risco de início de sessão detetado. Os valores possíveis são: AzureAD . |
Relações
Nenhum
Representação JSON
A representação JSON seguinte mostra o tipo de recurso.
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}