AAD服务主体风险事件

标识保护为 Azure AD 服务主体风险事件生成的日志。

表属性

特征
资源类型 -
类别 审核,安全性
解决方案 日志管理
基本日志 是的
引入时转换
示例查询

类型​​ 说明
活动 字符串 指示检测到的风险链接到的活动类型。
活动日期时间 日期时间 发生有风险活动的日期和时间(采用 UTC 格式)。
附加信息 动态 与 JSON 格式的风险检测相关的其他信息。
AppId 字符串 关联应用程序的唯一标识符。
_BilledSize(账单大小) 真正 记录大小(字节)
CorrelationId 字符串 与风险检测关联的登录活动的相关 ID。 Nullable。
检测日期时间 日期时间 检测到风险的日期和时间(采用 UTC 格式)。
检测时机类型 字符串 检测到风险的时机,无论是实时还是脱机。
Id 字符串 风险检测的唯一标识符。 从实体继承。
IP地址 字符串 提供风险发生时客户端的 IP 地址。
_IsBillable 字符串 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
KeyIds 动态 与风险检测关联的密钥凭据的唯一标识符 (GUID)。
最后更新时间戳 日期时间 上次更新风险检测的日期和时间(采用 UTC 格式)。
位置 动态 登录位置。
操作名称 字符串 操作的名称。
请求编号 (RequestId) 字符串 与风险检测关联的登录活动的请求标识符。 Nullable。
风险详情 字符串 检测到的风险的详细信息。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。
风险事件类型 字符串 检测到的风险事件的类型。
风险等级 字符串 检测到的风险级别。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。
RiskState 字符串 检测到的有风险服务主体或登录活动的状态。
服务主体显示名称 字符串 服务主体的显示名称。
ServicePrincipalId 字符串 服务主体的唯一标识符。
来源 字符串 风险检测源。 例如,identityProtection。
SourceSystem 字符串 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
租户ID 字符串 Log Analytics 工作区 ID
TimeGenerated 日期时间 事件的日期和时间(采用 UTC 格式)。
代币发行者类型 字符串 指示检测到的登录风险的令牌颁发者类型。
类型​​ 字符串 表的名称