你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
AADRiskyServicePrincipals
标识保护为 Azure AD 有风险服务主体生成的日志。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 审核,安全性 |
| 解决方案 | LogManagement |
| 基本日志 | 否 |
| 引入时转换 | 否 |
| 示例查询 | - |
列
| 列 | 类型 | 描述 |
|---|---|---|
| AccountEnabled | 布尔 | 如果已启用服务主体帐户,则为 true;否则为 false。 |
| AppId | string | 关联的应用程序(其 appId 属性)的全局唯一标识符(如果有)。 |
| _BilledSize | real | 记录大小(字节) |
| CorrelationId | string | 相关日志分析事件的 ID。 可用于标识多个表之间的关联事件。 |
| DisplayName | string | 服务主体的显示名称。 |
| Id | string | 分配给有风险服务主体的唯一标识符。 从实体继承。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsProcessing | 布尔 | 指示 Azure AD 当前是否正在处理服务主体的风险状态。 |
| OperationName | string | 操作的名称。 |
| RiskDetail | string | 检测到的风险的详细信息。 |
| RiskLastUpdatedDateTime | datetime | 上次更新风险状态的日期和时间(采用 UTC 格式)。 |
| 风险等级 | string | 检测到的风险工作负载标识的级别。 可能的值包括:low、medium、high、hidden、none、unknownFutureValue。 |
| RiskState | string | 服务主体的风险状态。 可能的值包括:none、confirmedSafe、remediated、dismissed、atRisk、confirmedCompromised、unknownFutureValue。 |
| ServicePrincipalType | string | 标识服务主体是表示应用程序、托管标识还是旧应用程序(社交 IdP)。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 事件的日期和时间(采用 UTC 格式)。 |
| 类型 | 字符串 | 表的名称 |