IdentityInfo
Diese Tabelle wird von der Azure Sentinel-UEBA mit allen Informationen zur Benutzeridentität aufgefüllt. Es kann verwendet werden, um Benutzerinformationen und Erkenntnisse mit Analysen oder Hunting-Abfragen zu korrelieren.
Tabellenattribute
| attribute | Wert |
|---|---|
| Ressourcentypen | - |
| Kategorien | - |
| Lösungen | BehaviorAnalyticsInsights |
| Standardprotokoll | No |
| Transformation zur Erfassungszeit | Yes |
| Beispielabfragen | - |
Spalten
| Spalte | Typ | BESCHREIBUNG |
|---|---|---|
| AccountCloudSID | Zeichenfolge | Die Azure AD-Sicherheits-ID des Kontos |
| AccountCreationTime | datetime | Das Datum, an dem das Benutzerkonto erstellt wurde (UTC) |
| AccountDisplayName | Zeichenfolge | Anzeigename des Benutzerkontos |
| AccountDomain | Zeichenfolge | Domänenname des Benutzerkontos |
| AccountName | Zeichenfolge | Benutzername des Kontos |
| AccountObjectId | Zeichenfolge | Die Azure Active Directory-Objekt-ID für das Konto |
| AccountSID | Zeichenfolge | Die lokale Sicherheits-ID des Kontos |
| AccountTenantId | Zeichenfolge | Die Azure Active Directory-Mandanten-ID des Kontos |
| AccountUPN | Zeichenfolge | Benutzerprinzipalname des Kontos |
| AdditionalMailAddresses | dynamisch | Zusätzliche E-Mail-Adressen des Benutzers |
| Anwendungen | Zeichenfolge | Alle bekannten Anwendungen, auf die dieses Benutzerkonto zugegriffen hat |
| AssignedRoles | dynamisch | AAD-Rollen, denen das Benutzerkonto zugewiesen ist |
| _BilledSize | real | Die Datensatzgröße in Bytes |
| BlastRadius | Zeichenfolge | Die potenziellen Auswirkungen des Benutzerkontos in der Organisation (niedrig/mittel/hoch) |
| ChangeSource | Zeichenfolge | Die Quelle der letzten Änderung der Entität |
| City | Zeichenfolge | Die Stadt des Benutzerkontos, wie in AAD definiert |
| CompanyName | Zeichenfolge | Der Name für das Unternehmen, in dem der Benutzer arbeitet. |
| Land | Zeichenfolge | Das Land des Benutzerkontos, wie in AAD definiert |
| DeletedDateTime | datetime | Datum und Uhrzeit des Löschens des Benutzers |
| Department | Zeichenfolge | Die Benutzerkontoabteilung, wie in AAD definiert |
| EmployeeId | Zeichenfolge | Die Mitarbeiter-ID, die dem Benutzer vom organization zugewiesen wird |
| EntityRiskScore | dynamisch | Die Risikobewertung der Entität im Rahmen des UEBA-Bewertungsprozesses |
| ExtensionProperty | dynamisch | ExtensionProperty-Felder aus Azure AD |
| GivenName | Zeichenfolge | Der angegebene Name des Benutzerkontos |
| GroupMembership | dynamisch | Azure AD-Gruppen: Das Benutzerkonto ist Mitglied |
| InvestigationPriority | INT | Die Bewertung der Untersuchungspriorität des Kontos |
| InvestigationPriorityPercentile | INT | Die Kontobewertung im Vergleich zum organization |
| IsAccountEnabled | bool | Angabe, ob das Konto in AAD aktiviert ist oder nicht |
| _IsBillable | Zeichenfolge | Gibt an, ob die Erfassung der Daten abrechenbar ist. Wenn _IsBillable erfasst wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsMFARegistered | bool | Angabe, ob MFA für dieses Benutzerkonto registriert ist oder nicht |
| IsServiceAccount | bool | Das Konto ist ein Dienstkonto. |
| JobTitle | Zeichenfolge | Die In AAD definierte Position des Benutzerkontos |
| LastSeenDate | datetime | Datum der letzten Aktivität, die in diesem Konto beobachtet wurde |
| MailAddress | Zeichenfolge | Das Benutzerkonto primäre E-Mail-Adresse |
| Manager | Zeichenfolge | Der Benutzerkonten-Manager-Alias |
| OnPremisesDistinguishedName | Zeichenfolge | Active Directory Distinguished Name (DN). Ein DN ist eine Sequenz von relativen Distinguished Names (RDN), die durch Kommas verbunden sind. |
| OnPremisesExtensionAttributes | Zeichenfolge | OnPremisesExtensionAttributes-Feld aus Azure AD |
| Phone | Zeichenfolge | Die Telefonnummer des Benutzerkontos, wie in AAD definiert |
| RelatedAccounts | dynamisch | Verschiedene Konten, die mit einem bestimmten Benutzer korrelieren |
| RiskLevel | Zeichenfolge | Die AAD-Risikostufe (Niedrig/Mittel/Hoch) des Benutzerkontos |
| RiskLevelDetails | Zeichenfolge | Details zur AAD-Risikostufe |
| RiskState | Zeichenfolge | Angabe, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde |
| SAMAccountName | Zeichenfolge | Der SAM-Kontoname des Kontos. |
| ServicePrincipals | dynamisch | Azure AD-Dienstprinzipale, die sich im Besitz des Benutzers befinden |
| SourceSystem | Zeichenfolge | Der Typ des Agents, von dem das Ereignis erfasst wurde. Beispielsweise OpsManager für den Windows-Agent, entweder direkte Verbindung oder Operations Manager, Linux für alle Linux-Agents oder Azure für Azure-Diagnose |
| State | Zeichenfolge | Der geografische Zustand des Benutzerkontos, wie in AAD definiert |
| StreetAddress | Zeichenfolge | Die Bürostraßenadresse des Benutzerkontos, wie in AAD definiert |
| Surname | Zeichenfolge | Nachname des Benutzerkontos |
| Tags | Zeichenfolge | Relevante Informationen zum Benutzerkonto, die für die Untersuchung wichtig sind: Vertraulich\ VIP\ Administrator |
| TenantId | Zeichenfolge | Die Log Analytics-Arbeitsbereichs-ID |
| TimeGenerated | datetime | Zeitpunkt, zu dem das Ereignis generiert wurde (UTC) |
| type | Zeichenfolge | Der Name der Tabelle. |
| UACFlags | Zeichenfolge | Benutzerzugriffssteuerungsflags von AD & AAD |
| UserAccountControl | dynamisch | Sicherheitsattribute des Benutzerkontos in der AD-Domäne |
| UserState | Zeichenfolge | Der aktuelle Status in AAD des Kontos (Aktiv/Deaktiviert/Ruhend/Sperren) |
| UserStateChangedOn | datetime | Datum der letzten Änderung des Kontozustands (UTC) |
| UserType | Zeichenfolge | Der Benutzertyp, wie in Azure AD angezeigt |
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für