Freigeben über

AADRiskyServicePrincipals

  • Artikel

Protokolle, die von Identitätsschutz für riskante Azure AD-Dienstprinzipale generiert werden.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien Überwachung, Sicherheit
Lösungen LogManagement
Standardprotokoll No
Erfassungszeittransformation No
Beispielabfragen -

Spalten

Spalte Type Beschreibung
AccountEnabled bool true, wenn das Dienstprinzipalkonto aktiviert ist; andernfalls "false".
AppId Zeichenfolge Der global eindeutige Bezeichner für die zugeordnete Anwendung (die appId-Eigenschaft), falls vorhanden.
_BilledSize real Die Datensatzgröße in Bytes.
CorrelationId Zeichenfolge Die ID für korrelierte Protokollanalyseereignisse. Kann verwendet werden, um korrelierte Ereignisse zwischen verschiedenen Tabellen zu identifizieren.
DisplayName Zeichenfolge Der Anzeigename für den Dienstprinzipal.
Kennung Zeichenfolge Der eindeutige Bezeichner, der dem Dienstprinzipal bei Risiko zugewiesen ist. Geerbt von entität.
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt.
IsProcessing bool Gibt an, ob Azure AD derzeit den risikobehafteten Status des Dienstprinzipals verarbeitet.
Vorgangsname Zeichenfolge Name des Vorgangs.
RiskDetail Zeichenfolge Details zum erkannten Risiko.
RiskLastUpdatedDateTime datetime Datum und Uhrzeit der letzten Aktualisierung des Risikostatus in UTC.
RiskLevel Zeichenfolge Ebene der erkannten riskanten Workloadidentität. Die möglichen Werte sind: niedrig, mittel, hoch, ausgeblendet, none, unknownFutureValue.
RiskState Zeichenfolge Status des Risikos des Dienstprinzipals. Die möglichen Werte sind: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue.
ServicePrincipalType Zeichenfolge Gibt an, ob der Dienstprinzipal eine Anwendung, eine verwaltete Identität oder eine Legacyanwendung (Social IdP) darstellt.
SourceSystem Zeichenfolge Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Das Datum und die Uhrzeit des Ereignisses in UTC.
type Zeichenfolge Der Name der Tabelle.