Journaux générés par la protection des identités pour les principaux de service à risque Azure AD.
Attributs de table
Attribut
Valeur
Types de ressources
-
Catégories
Audit, sécurité
Solutions
LogManagement
Journal de base
Non
Transformation au moment de l’ingestion
Non
Exemples de requêtes
-
Colonnes
Colonne
Type
Description
AccountEnabled
bool
true si le compte du principal de service est activé ; sinon, false.
AppId
string
Identificateur global unique de l’application associée (sa propriété appId), le cas échéant.
_BilledSize
real
Taille de l’enregistrement en octets
CorrelationId
string
ID des événements Log Analytics corrélés. Peut être utilisé pour identifier les événements corrélés entre plusieurs tables.
DisplayName
string
Nom complet du principal de service.
Id
string
Identificateur unique affecté au principal de service à risque. Hérité de l’entité.
_IsBillable
string
Spécifie si l’ingestion des données est facturable. Quand _IsBillable est false, l’ingestion n’est pas facturée sur votre compte Azure.
IsProcessing
bool
Indique si Azure AD traite actuellement l’état risqué du principal de service.
NomOpération
string
Nom de l’opération.
RiskDetail
string
Détails du risque détecté.
RiskLastUpdatedDateTime
DATETIME
Date et heure de la dernière mise à jour de l’état de risque au format UTC.
RiskLevel
string
Niveau de l’identité de charge de travail à risque détectée. Les valeurs possibles sont les suivantes : faible, moyen, élevé, masqué, none, unknownFutureValue.
RiskState
string
État du risque du principal de service. Les valeurs possibles sont : none, confirmSafe, remediated, dismissed, atRisk, confirmedCompromated, unknownFutureValue.
ServicePrincipalType
string
Identifie si le principal de service représente une application, une identité managée ou une application héritée (IDP social).
SourceSystem
string
Type d’agent ayant collecté l’événement. Par exemple, OpsManager pour l’agent Windows (connexion directe ou Operations Manager), Linux pour tous les agents Linux, ou Azure pour Diagnostics Azure.