Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Registros generados por la protección de identidad para usuarios en riesgo de Azure AD.
Atributos de tabla
| Atributo | Importancia |
|---|---|
| Tipos de recursos | - |
| Categorías | Auditoría, seguridad |
| Soluciones | Gestión de Registros |
| Registro básico | Sí |
| Compatibilidad con DCR en tiempo de ingesta | Sí |
| Ingesta solo de lago | Sí |
| Consultas de ejemplo | Sí |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| _BilledSize | verdadero | Tamaño del registro en bytes |
| CorrelationId | Cadena | Identificador de los eventos de Log Analytics correlacionados. Se puede utilizar para identificar eventos correlacionados en varias tablas. |
| Identificador | Cadena | Identificador único del usuario en riesgo. |
| _IsBillable | Cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable es false, la ingesta no se facturará a su cuenta de Azure. |
| EstáEliminado | booleano | Indica si se elimina el usuario. |
| IsProcessing | booleano | Indica si el back-end procesa el estado de riesgo de un usuario. |
| NombreDeOperación | Cadena | Nombre de la operación. |
| Detalle de Riesgos | Cadena | Detalles del riesgo detectado. Los valores posibles son: none, adminGeneratedTemporaryPassword, userPerformedSecuredPasswordChange, userPerformedSecuredPasswordReset, adminConfirmedSigninSafe, aiConfirmedSigninSafe, userPassedMFADrivenByRiskBasedPolicy, adminDismissedAllRiskForUser, adminConfirmedSigninCompromised, hidden, adminConfirmedUserCompromised, unknownFutureValue. |
| RiskLastUpdatedDateTime | fecha y hora | Fecha y hora en que el usuario de riesgo se actualizó por última vez en UTC. |
| Nivel de Riesgo | Cadena | Nivel del usuario de riesgo detectado. Los valores posibles son: low, medium, high, hidden, none, unknownFutureValue. |
| RiskState | Cadena | Estado del riesgo del usuario. Los valores posibles son: none, confirmedSafe, remediated, dismissed, atRisk, confirmedCompromised, unknownFutureValue. |
| SourceSystem | Cadena | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Id del inquilino | Cadena | ID del área de trabajo de Log Analytics |
| TimeGenerated | fecha y hora | Fecha y hora del evento en UTC. |
| Tipo | Cadena | Nombre de la tabla. |
| UserDisplayName | Cadena | Nombre para mostrar de usuario de riesgo. |
| NombrePrincipalDelUsuario | Cadena | Nombre principal de usuario de riesgo. |