IdentityInfo
Esta tabla se rellena mediante UEBA de Azure Sentinel con toda la información de identidades de los usuarios. Se puede usar para correlacionar la información del usuario y la información con consultas de análisis o búsqueda.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | - |
| Soluciones | BehaviorAnalyticsInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| AccountCloudSID | string | Identificador de seguridad de Azure AD de la cuenta |
| AccountCreationTime | datetime | Fecha en que se creó la cuenta de usuario (UTC) |
| AccountDisplayName | string | Nombre para mostrar de la cuenta de usuario |
| AccountDomain | string | Nombre de dominio de la cuenta de usuario |
| AccountName | string | Nombre de usuario de la cuenta |
| AccountObjectId | string | Identificador de objeto de Azure Active Directory para la cuenta |
| AccountSID | string | Identificador de seguridad local de la cuenta |
| AccountTenantId | string | Identificador de inquilino de Azure Active Directory de la cuenta |
| AccountUPN | string | Nombre principal de usuario de la cuenta |
| AdditionalMailAddresses | dinámico | Direcciones de correo electrónico adicionales del usuario |
| APLICACIONES | string | Todas las aplicaciones conocidas a las que se ha accedido esta cuenta de usuario |
| AssignedRoles | dinámico | Roles de AAD a los que se asigna la cuenta de usuario |
| _BilledSize | real | Tamaño del registro en bytes |
| BlastRadius | string | Impacto potencial de la cuenta de usuario en la organización (bajo/medio/alto) |
| ChangeSource | string | Origen del cambio más reciente de la entidad |
| City (Ciudad) | string | La ciudad de la cuenta de usuario tal y como se define en AAD |
| CompanyName | string | Nombre de la empresa en la que trabaja el usuario. |
| Country (País) | string | País de la cuenta de usuario tal y como se define en AAD |
| DeletedDateTime | datetime | Fecha y hora en que se eliminó el usuario |
| department | string | Departamento de cuenta de usuario tal y como se define en AAD |
| EmployeeId | string | Identificador de empleado asignado al usuario por la organización |
| EntityRiskScore | dinámico | Puntuación de riesgo de la entidad como parte del proceso de puntuación de UEBA |
| ExtensionProperty | dinámico | ExtensionProperty campos de Azure AD |
| GivenName | string | Nombre dado de la cuenta de usuario |
| GroupMembership | dinámico | Grupos de Azure AD a los que pertenece la cuenta de usuario |
| InvestigationPriority | int | Puntuación de prioridad de investigación de la cuenta |
| InvestigationPriorityPercentile | int | Puntuación de cuenta en comparación con la organización |
| IsAccountEnabled | bool | Indicación de si la cuenta está habilitada en AAD o no |
| _IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
| IsMFARegistered | bool | Indicación de si MFA está registrado para esta cuenta de usuario o no |
| IsServiceAccount | bool | La cuenta es una cuenta de servicio. |
| JobTitle | string | El puesto de trabajo de la cuenta de usuario tal y como se define en AAD |
| LastSeenDate | datetime | Fecha de la última actividad observada en esta cuenta |
| MailAddress | string | Dirección de correo electrónico principal de la cuenta de usuario |
| Manager | string | Alias del administrador de cuentas de usuario |
| OnPremisesDistinguishedName | string | Nombre distintivo (DN) de Active Directory. Un DN es una secuencia de nombres distintivos relativos (RDN) conectados por comas. |
| OnPremisesExtensionAttributes | string | Campo OnPremisesExtensionAttributes de Azure AD |
| Teléfono | string | Número de teléfono de la cuenta de usuario tal y como se define en AAD |
| RelatedAccounts | dinámico | Varias cuentas que se correlacionan con un usuario determinado |
| RiskLevel | string | Nivel de riesgo de AAD (bajo/medio/alto) de la cuenta de usuario |
| RiskLevelDetails | string | Detalles sobre el nivel de riesgo de AAD |
| RiskState | string | Indicación de si la cuenta está en riesgo ahora o si el riesgo se ha corregido |
| SAMAccountName | string | Nombre de la cuenta SAM de la cuenta. |
| ServicePrincipals | dinámico | Entidades de servicio de Azure AD que pertenecen al usuario |
| SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| Estado | string | Estado geográfico de la cuenta de usuario tal y como se define en AAD |
| StreetAddress | string | La dirección postal de la cuenta de usuario tal y como se define en AAD |
| Surname | string | Apellido de la cuenta de usuario |
| Etiquetas | string | Información relevante sobre la cuenta de usuario que es importante para la investigación: Confidencial\ VIP\ Administrador |
| TenantId | string | Identificador del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Hora a la que se generó el evento (UTC) |
| Tipo | string | Nombre de la tabla. |
| UACFlags | string | Marcas de control de acceso de usuario de AD & AAD |
| UserAccountControl | dinámico | Atributos de seguridad de la cuenta de usuario en el dominio de AD |
| UserState | string | Estado actual en AAD de la cuenta (Activo/Deshabilitado/Inactivo/Bloqueo) |
| UserStateChangedOn | datetime | Fecha de la última vez que se cambió el estado de la cuenta (UTC) |
| UserType | string | El tipo de usuario como aparece en Azure AD |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de