servicePrincipalRiskDetection-Ressourcentyp
Namespace: microsoft.graph
Wichtig
Die APIs unter der /beta Version in Microsoft Graph können sich ändern. Die Verwendung dieser APIs in Produktionsanwendungen wird nicht unterstützt. Um festzustellen, ob eine API in v1.0 verfügbar ist, verwenden Sie die Version Selektor.
Stellt Informationen zu erkannten gefährdeten Dienstprinzipalen in einem Microsoft Entra Mandanten dar. Microsoft Entra ID wertet Risiken kontinuierlich basierend auf verschiedenen Signalen und maschinellem Lernen aus. Diese API bietet programmgesteuerten Zugriff auf alle Dienstprinzipalrisikoerkennungen in Ihrer Microsoft Entra-Umgebung.
Erbt von entity.
Weitere Informationen zu Risikoereignissen finden Sie unter Microsoft Entra ID Protection.
Anmerkung: Sie benötigen eine Microsoft Entra Workload ID Premium-Lizenz, um die servicePrincipalRiskDetection-API verwenden zu können.
Methoden
| Methode | Rückgabetyp | Beschreibung |
|---|---|---|
| List | servicePrincipalRiskDetection-Sammlung | Auflisten von Dienstprinzipalrisikoerkennungen und deren Eigenschaften. |
| Get | servicePrincipalRiskDetection | Rufen Sie die Risikoerkennung eines bestimmten Dienstprinzipals und deren Eigenschaften ab. |
Eigenschaften
| Eigenschaft | Typ | Beschreibung |
|---|---|---|
| Aktivität | activityType | Gibt den Aktivitätstyp an, mit dem das erkannte Risiko verknüpft ist. Die möglichen Werte sind: signin, servicePrincipal. Sie müssen den Anforderungsheader Prefer: include-unknown-enum-members verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: servicePrincipal. |
| activityDateTime | DateTimeOffset | Datum und Uhrzeit des Auftretens der riskanten Aktivität. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z |
| additionalInfo | Zeichenfolge | Zusätzliche Informationen im Zusammenhang mit der Risikoerkennung. Dieser Zeichenfolgenwert wird als JSON-Objekt mit Escapezeichen für die Anführungszeichen dargestellt. |
| appId | Zeichenfolge | Der eindeutige Bezeichner für die zugeordnete Anwendung. |
| correlationId | String | Korrelations-ID der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist. |
| detectedDateTime | DateTimeOffset | Datum und Uhrzeit, zu dem das Risiko erkannt wurde. Der DateTimeOffset-Typ stellt die Datums- und Uhrzeitinformationen mithilfe des ISO 8601-Formats dar und wird immer in UTC-Zeit angegeben. Zum Beispiel, Mitternacht UTC am 1. Januar 2014 ist 2014-01-01T00:00:00Z. |
| detectionTimingType | riskDetectionTimingType | Zeitpunkt des erkannten Risikos, ob in Echtzeit oder offline). Mögliche Werte sind: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | Zeichenfolge | Eindeutiger Bezeichner der Risikoerkennung. Geerbt von entity. |
| ipAddress | String | Gibt die IP-Adresse des Clients an, von dem aus das Risiko aufgetreten ist. |
| keyIds | String collection | Der eindeutige Bezeichner (GUID) für die Schlüsselanmeldeinformationen, die der Risikoerkennung zugeordnet sind. |
| lastUpdatedDateTime | DateTimeOffset | Datum und Uhrzeit der letzten Aktualisierung der Risikoerkennung. |
| location | signInLocation | Speicherort, von dem aus die Anmeldung initiiert wurde. |
| requestId | Zeichenfolge | Anforderungsbezeichner der Anmeldeaktivität, die der Risikoerkennung zugeordnet ist. Diese Eigenschaft ist null , wenn die Risikoerkennung keiner Anmeldeaktivität zugeordnet ist. Unterstützt $filter (eq). |
| riskDetail | riskDetail | Details zum erkannten Risiko. Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden. Mögliche Werte sind: none, hidden, adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal. Sie müssen den Anforderungsheader Prefer: include-unknown-enum-members verwenden, um die folgenden Werte in dieser verteilbaren Enumeration abzurufen: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal. |
| riskEventType | Zeichenfolge | Der Typ des erkannten Risikoereignisses. Die möglichen Werte sind: investigationsThreatIntelligence, generic, adminConfirmedServicePrincipalCompromised, suspiciousSignins, leakedCredentials, anomalousServicePrincipalActivity, maliciousApplication, suspiciousApplication, . suspiciousAPITraffic |
| riskLevel | riskLevel | Ebene des erkannten Risikos. Anmerkung: Details für diese Eigenschaft sind nur für Workloadidentitäten Premium-Kunden verfügbar. Ereignisse in Mandanten ohne diese Lizenz werden zurückgegeben hidden. Mögliche Werte sind: low, medium, high, hidden, none. |
| riskState | riskState | Der Status eines erkannten riskanten Dienstprinzipals oder einer Anmeldeaktivität. Mögliche Werte sind: none, dismissed, atRisk, confirmedCompromised. |
| servicePrincipalDisplayName | Zeichenfolge | Der Anzeigename für den Dienstprinzipal. |
| servicePrincipalId | Zeichenfolge | Der eindeutige Bezeichner für den Dienstprinzipal. Unterstützt $filter (eq). |
| source | Zeichenfolge | Quelle der Risikoerkennung. Beispiel: identityProtection. |
| tokenIssuerType | tokenIssuerType | Gibt den Typ des Tokenausstellers für das erkannte Anmelderisiko an. Die möglichen Werte sind: AzureAD. |
Beziehungen
Keine.
JSON-Darstellung
Die folgende JSON-Darstellung veranschaulicht den Ressourcentyp.
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}