BehaviorAnalytics
Diese Tabelle speichert die angereicherten Ereignisse für Sentinel UEBA und bietet Verhaltensanalysen für Rohdaten.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | Sicherheit |
| Lösungen | BehaviorAnalyticsInsights |
| Standardprotokoll | No |
| Transformation der Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| ActionType | Zeichenfolge | Der spezifische Aktionstyp, der das Ereignis ausgelöst hat. |
| ActivityInsights | dynamisch | Aktivitäts- und Verhaltenseinblicke. |
| ActivityType | Zeichenfolge | Der Aktivitätstyp, der das Ereignis ausgelöst hat. |
| ActorName | Zeichenfolge | Der Name des Benutzers, der die Aktion initiiert, die das Ereignis generiert hat. |
| ActorPrincipalName | Zeichenfolge | Der Prinzipalname des Benutzers, der die Aktion initiiert, die das Ereignis generiert hat. |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| DestinationDevice | Zeichenfolge | Der Hostname des Zielgeräts. |
| DestinationIPAddress | Zeichenfolge | Die Ziel-IP-Adresse |
| DestinationIPLocation | Zeichenfolge | Der geografische Zielstandort basierend auf der IP-Adresse. |
| Sicherungsmedium | Zeichenfolge | Der Name des Geräts, auf dem das Ereignis aufgetreten ist oder das das Ereignis gemeldet hat, abhängig vom Schema. |
| DevicesInsights | dynamisch | Gerätemetadaten und Erkenntnisse. |
| EventProductVersion | Zeichenfolge | Die Version des Produkts, das das Ereignis erzeugt. |
| EventSource | Zeichenfolge | Datenquelle für dieses Ereignis. |
| EventVendor | Zeichenfolge | Der Hersteller des Produkts, das das Ereignis erzeugt. |
| InvestigationPriority | INT | Bewertung der Untersuchungspriorität. |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| NativeTableName | Zeichenfolge | Die ursprüngliche Tabelle, aus der der Datensatz abgerufen wurde. |
| _ResourceId | Zeichenfolge | Ein eindeutiger Bezeichner für die Ressource, der der Datensatz zugeordnet ist. |
| SourceDevice | Zeichenfolge | Der Hostname des Quellgeräts. |
| SourceIPAddress | Zeichenfolge | Die Quell-IP-Adresse |
| SourceIPLocation | Zeichenfolge | Der Geo-Quellstandort basierend auf der IP-Adresse. |
| SourceRecordId | Zeichenfolge | Die eindeutige ID des Quell-Rohdatenereignisses. |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| _SubscriptionId | Zeichenfolge | Ein eindeutiger Bezeichner für das Abonnement, dem der Datensatz zugeordnet ist. |
| TargetName | Zeichenfolge | Der Name des Zielbenutzers in der Aktion, die das Ereignis generiert hat. |
| TargetPrincipalName | Zeichenfolge | Der Name des Zielbenutzers in der Aktion, die das Ereignis generiert hat. |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Zeitpunkt, zu dem das unformatierte Ereignis generiert wurde (UTC). |
| TimeProcessed | datetime | Zeitpunkt der Anreicherungsverarbeitung (UTC). |
| type | Zeichenfolge | Der Name der Tabelle. |
| UserName | Zeichenfolge | Benutzername des Kontos. |
| UserPrincipalName | Zeichenfolge | Benutzerprinzipalname des Kontos. |
| UsersInsights | dynamisch | Benutzermetadaten und Erkenntnisse. |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für