Freigeben über


servicePrincipalRiskDetection-Ressourcentyp

Namespace: microsoft.graph

Stellt Informationen zu erkannten gefährdeten Dienstprinzipalen in einem Microsoft Entra Mandanten dar. Microsoft Entra ID wertet Risiken kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen aus. Diese API bietet programmgesteuerten Zugriff auf alle Dienstprinzipalrisikoerkennungen in Ihrer Microsoft Entra-Umgebung.

Erbt von entity.

Weitere Informationen zu Risikoereignissen finden Sie unter Microsoft Entra ID Protection.

Anmerkung: Sie benötigen eine Microsoft Entra Workload ID Premium-Lizenz, um die servicePrincipalRiskDetection-API verwenden zu können.

Methoden

Methode Rückgabetyp Beschreibung
List servicePrincipalRiskDetection-Sammlung Auflisten von Dienstprinzipalrisikoerkennungen und deren Eigenschaften.
Get servicePrincipalRiskDetection Rufen Sie die Risikoerkennung eines bestimmten Dienstprinzipals und deren Eigenschaften ab.

Eigenschaften

Eigenschaft Typ Beschreibung
Aktivität activityType Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Die möglichen Werte sind: signin, servicePrincipal. Verwenden Sie den Prefer: include-unknown-enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: servicePrincipal.
activityDateTime DateTimeOffset Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z
additionalInfo Zeichenfolge Zusätzliche Informationen im Zusammenhang mit der Risikoerkennung. Dieser Zeichenfolgenwert wird als JSON-Objekt mit Escapezeichen für die Anführungszeichen dargestellt.
appId Zeichenfolge Der eindeutige Bezeichner für die zugeordnete Anwendung.
correlationId String Korrelations-ID der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist.
detectedDateTime DateTimeOffset Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z.
detectionTimingType riskDetectionTimingType Zeitpunkt des erkannten Risikos , ob in Echtzeit oder offline. Mögliche Werte sind: notDefined, realtime, nearRealtime, offline, unknownFutureValue.
id Zeichenfolge Eindeutiger Bezeichner der Risikoerkennung. Geerbt von entity.
ipAddress String Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist.
keyIds String collection Der eindeutige Bezeichner für die Schlüsselanmeldeinformationen, die der Risikoerkennung zugeordnet sind.
lastUpdatedDateTime DateTimeOffset Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung.
location signInLocation Speicherort, von dem aus die Anmeldung initiiert wurde.
requestId Zeichenfolge Anforderungsbezeichner der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist. Unterstützt $filter (eq).
riskDetail riskDetail Details zum erkannten Risiko.
Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden.
Mögliche Werte sind: none, hidden, adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal. Verwenden Sie den Prefer: include-unknown-enum-members Anforderungsheader, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal.
riskEventType Zeichenfolge Der Typ des erkannten Risikoereignisses. Mögliche Werte: investigationsThreatIntelligence, generic, , adminConfirmedServicePrincipalCompromisedsuspiciousSignins, leakedCredentials, anomalousServicePrincipalActivity, maliciousApplication, , . suspiciousApplication
riskLevel riskLevel Ebene des erkannten Risikos.
Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden. Mögliche Werte sind: low, medium, high, hidden, none.
riskState riskState Der Status eines erkannten riskanten Dienstprinzipals oder einer Anmeldeaktivität. Mögliche Werte sind: none, dismissed, atRisk, confirmedCompromised.
servicePrincipalDisplayName Zeichenfolge Der Anzeigename für den Dienstprinzipal.
servicePrincipalId Zeichenfolge Der eindeutige Bezeichner für den Dienstprinzipal. Unterstützt $filter (eq).
source Zeichenfolge Quelle der Risikoerkennung. Beispiel: identityProtection.
tokenIssuerType tokenIssuerType Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Die möglichen Werte sind: AzureAD.

Beziehungen

Keine.

JSON-Darstellung

Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.

{
  "@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
  "id": "String (identifier)",
  "requestId": "String",
  "correlationId": "String",
  "riskEventType": "String",
  "riskState": "String",
  "riskLevel": "String",
  "riskDetail": "String",
  "source": "String",
  "detectionTimingType": "String",
  "activity": "String",
  "tokenIssuerType": "String",
  "ipAddress": "String",
  "location": {
    "@odata.type": "microsoft.graph.signInLocation"
  },
  "activityDateTime": "String (timestamp)",
  "detectedDateTime": "String (timestamp)",
  "lastUpdatedDateTime": "String (timestamp)",
  "servicePrincipalId": "String",
  "servicePrincipalDisplayName": "String",
  "appId": "String",
  "keyIds": [
    "String"
  ],
  "additionalInfo": "String"
}