Compartir a través de


tipo de recurso servicePrincipalRiskDetection

Espacio de nombres: microsoft.graph

Representa información sobre las entidades de servicio en riesgo detectadas en un inquilino de Microsoft Entra. Microsoft Entra ID evalúa continuamente los riesgos en función de varias señales y el aprendizaje automático. Esta API proporciona acceso mediante programación a todas las detecciones de riesgos de entidad de servicio en el entorno de Microsoft Entra.

Hereda de la entidad.

Para obtener más información sobre los eventos de riesgo, consulte Microsoft Entra ID Protection.

Nota: Debe tener una licencia Premium del identificador de carga de trabajo de Microsoft Entra para usar servicePrincipalRiskDetection API.

Métodos

Método Tipo devuelto Descripción
List colección servicePrincipalRiskDetection Enumera las detecciones de riesgos de la entidad de servicio y sus propiedades.
Get servicePrincipalRiskDetection Obtenga una detección de riesgos de entidad de servicio específica y sus propiedades.

Propiedades

Propiedad Tipo Descripción
actividad activityType Indica el tipo de actividad al que está vinculado el riesgo detectado. Los valores posibles son: signin, servicePrincipal. Tenga en cuenta que debe usar el Prefer: include-unknown-enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: servicePrincipal.
activityDateTime DateTimeOffset Fecha y hora en que se produjo la actividad de riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
additionalInfo Cadena Información adicional asociada a la detección de riesgos. Este valor de cadena se representa como un objeto JSON con las comillas con escape.
appId Cadena Identificador único de la aplicación asociada.
correlationId Cadena Identificador de correlación de la actividad de inicio de sesión asociada a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a una actividad de inicio de sesión.
detectedDateTime DateTimeOffset Fecha y hora en que se detectó el riesgo. El tipo DateTimeOffset representa la información de fecha y hora con el formato ISO 8601 y está siempre en hora UTC. Por ejemplo, la medianoche en la zona horaria UTC del 1 de enero de 2014 sería 2014-01-01T00:00:00Z.
detectionTimingType riskDetectionTimingType Tiempo del riesgo detectado, ya sea en tiempo real o sin conexión. Los valores posibles son: notDefined, realtime, nearRealtime, offline, unknownFutureValue.
id Cadena Identificador único de la detección de riesgos. Heredado de la entidad.
ipAddress Cadena Proporciona la dirección IP del cliente desde donde se produjo el riesgo.
keyIds Colección de cadenas Identificador único de la credencial de clave asociada a la detección de riesgos.
lastUpdatedDateTime DateTimeOffset Fecha y hora en que se actualizó por última vez la detección de riesgos.
location signInLocation Ubicación desde donde se inició el inicio de sesión.
requestId Cadena Identificador de solicitud de la actividad de inicio de sesión asociada a la detección de riesgos. Esta propiedad es null si la detección de riesgos no está asociada a una actividad de inicio de sesión. Admite $filter (eq).
riskDetail riskDetail Detalles del riesgo detectado.
Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Workload Identities Premium. Los eventos de los inquilinos sin esta licencia se devolverán hidden.
Los valores posibles son: none, hidden, adminConfirmedServicePrincipalCompromised y adminDismissedAllRiskForServicePrincipal Tenga en cuenta que debe usar el Prefer: include-unknown-enum-members encabezado de solicitud para obtener los siguientes valores en esta enumeración evolvable: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal.
riskEventType Cadena Tipo de evento de riesgo detectado. Los valores posibles son: investigationsThreatIntelligence, generic, , suspiciousSigninsadminConfirmedServicePrincipalCompromised, leakedCredentials, anomalousServicePrincipalActivity, , maliciousApplication. suspiciousApplication
riskLevel riskLevel Nivel del riesgo detectado.
Nota: Los detalles de esta propiedad solo están disponibles para los clientes de Workload Identities Premium. Los eventos de los inquilinos sin esta licencia se devolverán hidden. Los valores posibles son: low, medium, high, hidden, none.
riskState riskState Estado de una entidad de servicio o actividad de inicio de sesión de riesgo detectada. Los valores posibles son: none, dismissed, atRisk y confirmedCompromised
servicePrincipalDisplayName Cadena El nombre para mostrar de la entidad de servicio.
servicePrincipalId Cadena Identificador único para la entidad de servicio. Admite $filter (eq).
source Cadena Origen de la detección de riesgos. Por ejemplo, identityProtection.
tokenIssuerType tokenIssuerType Indica el tipo de emisor de tokens para el riesgo de inicio de sesión detectado. Los valores posibles son: AzureAD.

Relaciones

Ninguna.

Representación JSON

La siguiente representación JSON muestra el tipo de recurso.

{
  "@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
  "id": "String (identifier)",
  "requestId": "String",
  "correlationId": "String",
  "riskEventType": "String",
  "riskState": "String",
  "riskLevel": "String",
  "riskDetail": "String",
  "source": "String",
  "detectionTimingType": "String",
  "activity": "String",
  "tokenIssuerType": "String",
  "ipAddress": "String",
  "location": {
    "@odata.type": "microsoft.graph.signInLocation"
  },
  "activityDateTime": "String (timestamp)",
  "detectedDateTime": "String (timestamp)",
  "lastUpdatedDateTime": "String (timestamp)",
  "servicePrincipalId": "String",
  "servicePrincipalDisplayName": "String",
  "appId": "String",
  "keyIds": [
    "String"
  ],
  "additionalInfo": "String"
}