通过

AADServicePrincipalRiskEvents

  • 项目

标识保护为 Azure AD 服务主体风险事件生成的日志。

表属性

Attribute
资源类型 -
类别 审核,安全性
解决方案 LogManagement
基本日志
引入时转换
示例查询

类型​​ 说明
活动 string 指示检测到的风险链接到的活动类型。
ActivityDateTime datetime 发生有风险活动的日期和时间(采用 UTC 格式)。
AdditionalInfo 动态 与 JSON 格式的风险检测相关的其他信息。
AppId string 关联应用程序的唯一标识符。
_BilledSize real 记录大小(字节)
CorrelationId string 与风险检测关联的登录活动的相关 ID。 Nullable。
DetectedDateTime datetime 检测到风险的日期和时间(采用 UTC 格式)。
DetectionTimingType string 检测到风险的时机,无论是实时还是脱机。
Id string 风险检测的唯一标识符。 从实体继承。
IpAddress string 提供风险发生时客户端的 IP 地址。
_IsBillable string 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费
KeyIds 动态 与风险检测关联的密钥凭据的唯一标识符 (GUID)。
LastUpdatedDateTime datetime 上次更新风险检测的日期和时间(采用 UTC 格式)。
位置 动态 登录位置。
OperationName string 操作的名称。
RequestId string 与风险检测关联的登录活动的请求标识符。 Nullable。
RiskDetail string 检测到的风险的详细信息。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。
RiskEventType string 检测到的风险事件的类型。
风险等级 string 检测到的风险级别。 注意: 此属性的详细信息仅适用于 Azure AD Premium P2 客户。
RiskState string 检测到的有风险服务主体或登录活动的状态。
ServicePrincipalDisplayName string 服务主体的显示名称。
ServicePrincipalId string 服务主体的唯一标识符。
Source string 风险检测源。 例如,identityProtection。
SourceSystem string 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure
TenantId string Log Analytics 工作区 ID
TimeGenerated datetime 事件的日期和时间(采用 UTC 格式)。
TokenIssuerType string 指示检测到的登录风险的令牌颁发者类型。
类型 字符串 表的名称