IdentityInfo
Diese Tabelle wird von der Azure Sentinel-UEBA mit allen Informationen zur Benutzeridentität aufgefüllt. Es kann verwendet werden, um Benutzerinformationen und Erkenntnisse mit Analysen oder Hunting-Abfragen zu korrelieren.
Tabellenattribute
attribute | Wert |
---|---|
Ressourcentypen | - |
Kategorien | - |
Lösungen | BehaviorAnalyticsInsights |
Standardprotokoll | No |
Transformation zur Erfassungszeit | Yes |
Beispielabfragen | - |
Spalten
Spalte | Typ | BESCHREIBUNG |
---|---|---|
AccountCloudSID | Zeichenfolge | Die Azure AD-Sicherheits-ID des Kontos |
AccountCreationTime | datetime | Das Datum, an dem das Benutzerkonto erstellt wurde (UTC) |
AccountDisplayName | Zeichenfolge | Anzeigename des Benutzerkontos |
AccountDomain | Zeichenfolge | Domänenname des Benutzerkontos |
AccountName | Zeichenfolge | Benutzername des Kontos |
AccountObjectId | Zeichenfolge | Die Azure Active Directory-Objekt-ID für das Konto |
AccountSID | Zeichenfolge | Die lokale Sicherheits-ID des Kontos |
AccountTenantId | Zeichenfolge | Die Azure Active Directory-Mandanten-ID des Kontos |
AccountUPN | Zeichenfolge | Benutzerprinzipalname des Kontos |
AdditionalMailAddresses | dynamisch | Zusätzliche E-Mail-Adressen des Benutzers |
Anwendungen | Zeichenfolge | Alle bekannten Anwendungen, auf die dieses Benutzerkonto zugegriffen hat |
AssignedRoles | dynamisch | AAD-Rollen, denen das Benutzerkonto zugewiesen ist |
_BilledSize | real | Die Datensatzgröße in Bytes |
BlastRadius | Zeichenfolge | Die potenziellen Auswirkungen des Benutzerkontos in der Organisation (niedrig/mittel/hoch) |
ChangeSource | Zeichenfolge | Die Quelle der letzten Änderung der Entität |
City | Zeichenfolge | Die Stadt des Benutzerkontos, wie in AAD definiert |
CompanyName | Zeichenfolge | Der Name für das Unternehmen, in dem der Benutzer arbeitet. |
Land | Zeichenfolge | Das Land des Benutzerkontos, wie in AAD definiert |
DeletedDateTime | datetime | Datum und Uhrzeit des Löschens des Benutzers |
Department | Zeichenfolge | Die Benutzerkontoabteilung, wie in AAD definiert |
EmployeeId | Zeichenfolge | Die Mitarbeiter-ID, die dem Benutzer vom organization zugewiesen wird |
EntityRiskScore | dynamisch | Die Risikobewertung der Entität im Rahmen des UEBA-Bewertungsprozesses |
ExtensionProperty | dynamisch | ExtensionProperty-Felder aus Azure AD |
GivenName | Zeichenfolge | Der angegebene Name des Benutzerkontos |
GroupMembership | dynamisch | Azure AD-Gruppen: Das Benutzerkonto ist Mitglied |
InvestigationPriority | INT | Die Bewertung der Untersuchungspriorität des Kontos |
InvestigationPriorityPercentile | INT | Die Kontobewertung im Vergleich zum organization |
IsAccountEnabled | bool | Angabe, ob das Konto in AAD aktiviert ist oder nicht |
_IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
IsMFARegistered | bool | Angabe, ob MFA für dieses Benutzerkonto registriert ist oder nicht |
IsServiceAccount | bool | Das Konto ist ein Dienstkonto. |
JobTitle | Zeichenfolge | Die In AAD definierte Position des Benutzerkontos |
LastSeenDate | datetime | Datum der letzten Aktivität, die in diesem Konto beobachtet wurde |
MailAddress | Zeichenfolge | Das Benutzerkonto primäre E-Mail-Adresse |
Manager | Zeichenfolge | Der Benutzerkonten-Manager-Alias |
OnPremisesDistinguishedName | Zeichenfolge | Active Directory Distinguished Name (DN). Ein DN ist eine Sequenz von relativen Distinguished Names (RDN), die durch Kommas verbunden sind. |
OnPremisesExtensionAttributes | Zeichenfolge | OnPremisesExtensionAttributes-Feld aus Azure AD |
Phone | Zeichenfolge | Die Telefonnummer des Benutzerkontos, wie in AAD definiert |
RelatedAccounts | dynamisch | Verschiedene Konten, die mit einem bestimmten Benutzer korrelieren |
RiskLevel | Zeichenfolge | Die AAD-Risikostufe (Niedrig/Mittel/Hoch) des Benutzerkontos |
RiskLevelDetails | Zeichenfolge | Details zur AAD-Risikostufe |
RiskState | Zeichenfolge | Angabe, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde |
SAMAccountName | Zeichenfolge | Der SAM-Kontoname des Kontos. |
ServicePrincipals | dynamisch | Azure AD-Dienstprinzipale, die sich im Besitz des Benutzers befinden |
SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
State | Zeichenfolge | Der geografische Zustand des Benutzerkontos, wie in AAD definiert |
StreetAddress | Zeichenfolge | Die Bürostraßenadresse des Benutzerkontos, wie in AAD definiert |
Surname | Zeichenfolge | Nachname des Benutzerkontos |
Tags | Zeichenfolge | Relevante Informationen zum Benutzerkonto, die für die Untersuchung wichtig sind: Vertraulich\ VIP\ Administrator |
TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
TimeGenerated | datetime | Zeitpunkt, zu dem das Ereignis generiert wurde (UTC) |
type | Zeichenfolge | Der Name der Tabelle. |
UACFlags | Zeichenfolge | Benutzerzugriffssteuerungsflags von AD & AAD |
UserAccountControl | dynamisch | Sicherheitsattribute des Benutzerkontos in der AD-Domäne |
UserState | Zeichenfolge | Der aktuelle Status in AAD des Kontos (Aktiv/Deaktiviert/Ruhend/Sperren) |
UserStateChangedOn | datetime | Datum der letzten Änderung des Kontozustands (UTC) |
UserType | Zeichenfolge | Der Benutzertyp, wie in Azure AD angezeigt |
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unterFeedback senden und anzeigen für