BehaviorAnalytics
En esta tabla se almacenan los eventos enriquecidos para UEBA de Sentinel, lo que proporciona análisis de comportamiento sobre datos sin procesar.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | BehaviorAnalyticsInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| ActionType | string | Tipo específico de acción que desencadenó el evento. |
| ActivityInsights | dinámico | Información sobre la actividad y el comportamiento. |
| ActivityType | string | Tipo de actividad que desencadenó el evento. |
| ActorName | string | Nombre del usuario que inicia la acción que generó el evento. |
| ActorPrincipalName | string | Nombre principal del usuario que inicia la acción que generó el evento. |
| _BilledSize | real | Tamaño del registro en bytes |
| DestinationDevice | string | Nombre de host del dispositivo de destino. |
| DestinationIPAddress | string | La dirección IP de destino. |
| DestinationIPLocation | string | Ubicación geográfica de destino basada en la dirección IP. |
| Dispositivo | string | Nombre del dispositivo en el que se produjo el evento o que informó del evento, según el esquema. |
| DevicesInsights | dinámico | Metadatos e información de dispositivos. |
| EventProductVersion | string | Versión del producto que genera el evento. |
| EventSource | string | Origen de datos para este evento. |
| EventVendor | string | Proveedor del producto que genera el evento. |
| InvestigationPriority | int | Puntuación de prioridad de investigación. |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| NativeTableName | string | Tabla original de la que se ha obtenido el registro. |
| _ResourceId | string | Identificador único del recurso al que está asociado el registro. |
| SourceDevice | string | Nombre de host del dispositivo de origen. |
| SourceIPAddress | string | La dirección IP de origen. |
| SourceIPLocation | string | Ubicación geográfica de origen basada en la dirección IP. |
| SourceRecordId | string | Identificador único del evento sin procesar de origen. |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| TargetName | string | Nombre del usuario de destino en la acción que generó el evento. |
| TargetPrincipalName | string | Nombre del usuario de destino en la acción que generó el evento. |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Hora en la que se generó el evento sin procesar (UTC). |
| TimeProcessed | datetime | Hora en que se produjo el procesamiento de enriquecimiento (UTC). |
| Tipo | string | Nombre de la tabla. |
| UserName | string | Nombre de usuario de la cuenta. |
| UserPrincipalName | string | Nombre principal de usuario de la cuenta. |
| UsersInsights | dinámico | Metadatos y conclusiones de los usuarios. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de