tipo de recurso servicePrincipalRiskDetection
Espacio de nombres: microsoft.graph
Importante
Las API de la versión /beta
de Microsoft Graph están sujetas a cambios. No se admite el uso de estas API en aplicaciones de producción. Para determinar si una API está disponible en la versión 1.0, use el selector de Versión.
Representa información sobre las entidades de servicio en riesgo detectadas en un inquilino de Microsoft Entra. Microsoft Entra ID evalúa continuamente los riesgos en función de varias señales y aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos de entidad de servicio en el entorno de Microsoft Entra.
Hereda de la entidad.
Para obtener más información sobre los eventos de riesgo, consulte Protección de Microsoft Entra ID.
Nota: Debe tener una licencia Id. de carga de trabajo de Microsoft Entra Premium para usar servicePrincipalRiskDetection API.
Métodos
Método | Tipo devuelto | Descripción |
---|---|---|
List | colección servicePrincipalRiskDetection | Enumera las detecciones de riesgos de la entidad de servicio y sus propiedades. |
Get | servicePrincipalRiskDetection | Obtenga una detección de riesgos de entidad de servicio específica y sus propiedades. |
Propiedades
Propiedad | Tipo | Descripción |
---|---|---|
actividad | activityType | Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son: signin , servicePrincipal . Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: servicePrincipal . |
activityDateTime | DateTimeOffset | Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z . |
additionalInfo | Cadena | Información adicional asociada a la detección de riesgos. Este valor de cadena se representa como un objeto JSON con las comillas con escape. |
appId | Cadena | Identificador único de la aplicación asociada. |
correlationId | Cadena | Identificador de correlación de la actividad de inicio de sesión asociada a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a una actividad de inicio de sesión. |
detectedDateTime | DateTimeOffset | Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z . |
detectionTimingType | riskDetectionTimingType | Tiempo del riesgo detectado, ya sea en tiempo real o sin conexión). Los valores posibles son: notDefined , realtime , nearRealtime , offline , unknownFutureValue . |
id | Cadena | Identificador único de la detección de riesgos. Heredado de la entidad. |
ipAddress | Cadena | Proporciona la dirección IP del cliente desde donde se produjo el riesgo. |
keyIds | Colección de cadenas | Identificador único (GUID) de la credencial de clave asociada a la detección de riesgos. |
lastUpdatedDateTime | DateTimeOffset | Fecha y hora en que se actualizó por última vez la detección de riesgos. |
location | signInLocation | Ubicación desde donde se inició el inicio de sesión. |
requestId | Cadena | Identificador de solicitud de la actividad de inicio de sesión asociada a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a una actividad de inicio de sesión. Admite $filter (eq ). |
riskDetail | riskDetail | Detalles del riesgo detectado. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Workload Identities Premium. Los eventos de los inquilinos sin esta licencia se devuelven hidden . Los valores posibles son: none , hidden , adminConfirmedServicePrincipalCompromised y adminDismissedAllRiskForServicePrincipal Debe usar el encabezado de Prefer: include-unknown-enum-members solicitud para obtener los siguientes valores en esta enumeración evolvable: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal . |
riskEventType | Cadena | Tipo de evento de riesgo detectado. Los valores posibles son: investigationsThreatIntelligence , generic , , adminConfirmedServicePrincipalCompromised , leakedCredentials suspiciousSignins , anomalousServicePrincipalActivity , maliciousApplication , , suspiciousApplication . suspiciousAPITraffic |
riskLevel | riskLevel | Nivel del riesgo detectado. Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Workload Identities Premium. Los eventos de los inquilinos sin esta licencia se devuelven hidden . Los valores posibles son: low , medium , high , hidden , none . |
riskState | riskState | Estado de una entidad de servicio o actividad de inicio de sesión de riesgo detectada. Los valores posibles son: none , dismissed , atRisk y confirmedCompromised |
servicePrincipalDisplayName | Cadena | El nombre para mostrar de la entidad de servicio. |
servicePrincipalId | Cadena | Identificador único para la entidad de servicio. Admite $filter (eq ). |
source | Cadena | Origen de la detección de riesgos. Por ejemplo, identityProtection . |
tokenIssuerType | tokenIssuerType | Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son: AzureAD . |
Relaciones
Ninguna.
Representación JSON
La siguiente representación JSON muestra el tipo de recurso.
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}