Тип ресурса servicePrincipalRiskDetection
Пространство имен: microsoft.graph
Важно!
API версии /beta в Microsoft Graph могут быть изменены. Использование этих API в производственных приложениях не поддерживается. Чтобы определить, доступен ли API в версии 1.0, используйте селектор версий.
Представляет сведения об обнаруженных субъектах-службах с риском в клиенте Microsoft Entra. Microsoft Entra ID постоянно оценивает риски на основе различных сигналов и машинного обучения. Этот API предоставляет программный доступ ко всем обнаружениям рисков субъекта-службы в среде Microsoft Entra.
Наследует от сущности.
Дополнительные сведения о событиях риска см. в разделе Защита Microsoft Entra ID.
Заметка: Для использования API servicePrincipalRiskDetection требуется лицензия Идентификация рабочей нагрузки Microsoft Entra Premium.
Методы
| Метод | Тип возвращаемых данных | Описание |
|---|---|---|
| Список | Коллекция servicePrincipalRiskDetection | Перечисление обнаружений рисков субъекта-службы и их свойств. |
| Получение | servicePrincipalRiskDetection | Получение определенного обнаружения рисков субъекта-службы и его свойств. |
Свойства
| Свойство | Тип | Описание |
|---|---|---|
| действие | activityType | Указывает тип действия, с который связан обнаруженный риск. Возможные значения: signin, servicePrincipal. Чтобы получить следующие значения в этой развиваемой перечислении, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса: servicePrincipal. |
| activityDateTime | DateTimeOffset | Дата и время выполнения рискованных действий. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| additionalInfo | String | Дополнительные сведения, связанные с обнаружением риска. Это строковое значение представлено в виде объекта JSON с экранируемыми кавычками. |
| appId | String | Уникальный идентификатор связанного приложения. |
| correlationId | String | Идентификатор корреляции действия входа, связанного с обнаружением риска. Это свойство имеет значение, null если обнаружение риска не связано с действием входа. |
| detectedDateTime | DateTimeOffset | Дата и время обнаружения риска. Тип DateTimeOffset представляет сведения о дате и времени с использованием формата ISO 8601 и всегда указывает время в формате UTC. Например, значение полуночи 1 января 2014 г. в формате UTC: 2014-01-01T00:00:00Z. |
| detectionTimingType | riskDetectionTimingType | Время обнаружения риска в режиме реального времени или в автономном режиме). Допустимые значения: notDefined, realtime, nearRealtime, offline, unknownFutureValue. |
| id | String | Уникальный идентификатор обнаружения риска. Наследуется от сущности. |
| ipAddress | String | Предоставляет IP-адрес клиента, с которого возник риск. |
| keyIds | Коллекция строк | Уникальный идентификатор (GUID) для учетных данных ключа, связанного с обнаружением риска. |
| lastUpdatedDateTime | DateTimeOffset | Дата и время последнего обновления обнаружения рисков. |
| location | signInLocation | Расположение, из которого был инициирован вход. |
| requestId | String | Идентификатор запроса действия входа, связанного с обнаружением риска. Это свойство имеет значение, null если обнаружение риска не связано с действием входа. Поддерживает $filter (eq). |
| riskDetail | riskDetail | Сведения об обнаружении риска. Заметка: Сведения об этом свойстве доступны только для пользователей удостоверений рабочих нагрузок уровня "Премиум". События в клиентах без этой лицензии возвращаются hidden. Допустимые значения: none, hidden, adminConfirmedServicePrincipalCompromised, adminDismissedAllRiskForServicePrincipal. Чтобы получить следующие значения в этой развиваемой перечислении, необходимо использовать Prefer: include-unknown-enum-members заголовок запроса: adminConfirmedServicePrincipalCompromised , adminDismissedAllRiskForServicePrincipal. |
| riskEventType | String | Тип обнаруженного события риска. Возможные значения: , , , , , leakedCredentials, anomalousServicePrincipalActivity, maliciousApplication, suspiciousApplication, . suspiciousAPITrafficsuspiciousSigninsadminConfirmedServicePrincipalCompromisedgenericinvestigationsThreatIntelligence |
| riskLevel | riskLevel | Уровень обнаруженного риска. Заметка: Сведения об этом свойстве доступны только для пользователей удостоверений рабочих нагрузок уровня "Премиум". События в клиентах без этой лицензии возвращаются hidden. Допустимые значения: low, medium, high, hidden, none. |
| riskState | riskState | Состояние обнаруженного опасного субъекта-службы или действия входа. Допустимые значения: none, dismissed, atRisk, confirmedCompromised. |
| servicePrincipalDisplayName | String | Отображаемое имя для субъекта-службы. |
| servicePrincipalId | String | Уникальный идентификатор для субъекта-службы. Поддерживает $filter (eq). |
| source | String | Источник обнаружения рисков. Например, identityProtection. |
| tokenIssuerType | tokenIssuerType | Указывает тип издателя маркера для обнаруженного риска входа. Возможные значения: AzureAD. |
Связи
Отсутствуют.
Представление JSON
В следующем представлении JSON показан тип ресурса.
{
"@odata.type": "#microsoft.graph.servicePrincipalRiskDetection",
"id": "String (identifier)",
"requestId": "String",
"correlationId": "String",
"riskEventType": "String",
"riskState": "String",
"riskLevel": "String",
"riskDetail": "String",
"source": "String",
"detectionTimingType": "String",
"activity": "String",
"tokenIssuerType": "String",
"ipAddress": "String",
"location": {
"@odata.type": "microsoft.graph.signInLocation"
},
"activityDateTime": "String (timestamp)",
"detectedDateTime": "String (timestamp)",
"lastUpdatedDateTime": "String (timestamp)",
"servicePrincipalId": "String",
"servicePrincipalDisplayName": "String",
"appId": "String",
"keyIds": [
"String"
],
"additionalInfo": "String"
}