IdentityInfo
Esta tabla se rellena mediante UEBA de Azure Sentinel con toda la información de identidades de los usuarios. Se puede usar para correlacionar la información del usuario y la información con consultas de análisis o búsqueda.
Atributos de tabla
Atributo | Valor |
---|---|
Tipos de recursos | - |
Categorías | - |
Soluciones | BehaviorAnalyticsInsights |
Registro básico | No |
Transformación en tiempo de ingesta | Sí |
Consultas de ejemplo | - |
Columnas
Columna | Tipo | Descripción |
---|---|---|
AccountCloudSID | string | Identificador de seguridad de Azure AD de la cuenta |
AccountCreationTime | datetime | Fecha en que se creó la cuenta de usuario (UTC) |
AccountDisplayName | string | Nombre para mostrar de la cuenta de usuario |
AccountDomain | string | Nombre de dominio de la cuenta de usuario |
AccountName | string | Nombre de usuario de la cuenta |
AccountObjectId | string | Identificador de objeto de Azure Active Directory para la cuenta |
AccountSID | string | Identificador de seguridad local de la cuenta |
AccountTenantId | string | Identificador de inquilino de Azure Active Directory de la cuenta |
AccountUPN | string | Nombre principal de usuario de la cuenta |
AdditionalMailAddresses | dinámico | Direcciones de correo electrónico adicionales del usuario |
APLICACIONES | string | Todas las aplicaciones conocidas a las que se ha accedido esta cuenta de usuario |
AssignedRoles | dinámico | Roles de AAD a los que se asigna la cuenta de usuario |
_BilledSize | real | Tamaño del registro en bytes |
BlastRadius | string | Impacto potencial de la cuenta de usuario en la organización (bajo/medio/alto) |
ChangeSource | string | Origen del cambio más reciente de la entidad |
City (Ciudad) | string | La ciudad de la cuenta de usuario tal y como se define en AAD |
CompanyName | string | Nombre de la empresa en la que trabaja el usuario. |
Country (País) | string | País de la cuenta de usuario tal y como se define en AAD |
DeletedDateTime | datetime | Fecha y hora en que se eliminó el usuario |
department | string | Departamento de cuenta de usuario tal y como se define en AAD |
EmployeeId | string | Identificador de empleado asignado al usuario por la organización |
EntityRiskScore | dinámico | Puntuación de riesgo de la entidad como parte del proceso de puntuación de UEBA |
ExtensionProperty | dinámico | ExtensionProperty campos de Azure AD |
GivenName | string | Nombre dado de la cuenta de usuario |
GroupMembership | dinámico | Grupos de Azure AD a los que pertenece la cuenta de usuario |
InvestigationPriority | int | Puntuación de prioridad de investigación de la cuenta |
InvestigationPriorityPercentile | int | Puntuación de cuenta en comparación con la organización |
IsAccountEnabled | bool | Indicación de si la cuenta está habilitada en AAD o no |
_IsBillable | string | Especifica si la ingesta de los datos es facturable. Cuando se _IsBillable la ingesta no se false factura a su cuenta de Azure |
IsMFARegistered | bool | Indicación de si MFA está registrado para esta cuenta de usuario o no |
IsServiceAccount | bool | La cuenta es una cuenta de servicio. |
JobTitle | string | El puesto de trabajo de la cuenta de usuario tal y como se define en AAD |
LastSeenDate | datetime | Fecha de la última actividad observada en esta cuenta |
MailAddress | string | Dirección de correo electrónico principal de la cuenta de usuario |
Manager | string | Alias del administrador de cuentas de usuario |
OnPremisesDistinguishedName | string | Nombre distintivo (DN) de Active Directory. Un DN es una secuencia de nombres distintivos relativos (RDN) conectados por comas. |
OnPremisesExtensionAttributes | string | Campo OnPremisesExtensionAttributes de Azure AD |
Teléfono | string | Número de teléfono de la cuenta de usuario tal y como se define en AAD |
RelatedAccounts | dinámico | Varias cuentas que se correlacionan con un usuario determinado |
RiskLevel | string | Nivel de riesgo de AAD (bajo/medio/alto) de la cuenta de usuario |
RiskLevelDetails | string | Detalles sobre el nivel de riesgo de AAD |
RiskState | string | Indicación de si la cuenta está en riesgo ahora o si el riesgo se ha corregido |
SAMAccountName | string | Nombre de la cuenta SAM de la cuenta. |
ServicePrincipals | dinámico | Entidades de servicio de Azure AD que pertenecen al usuario |
SourceSystem | string | Tipo de agente por el que se recopiló el evento. Por ejemplo, para el OpsManager agente de Windows, ya sea conexión directa o Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
Estado | string | Estado geográfico de la cuenta de usuario tal y como se define en AAD |
StreetAddress | string | La dirección postal de la cuenta de usuario tal y como se define en AAD |
Surname | string | Apellido de la cuenta de usuario |
Etiquetas | string | Información relevante sobre la cuenta de usuario que es importante para la investigación: Confidencial\ VIP\ Administrador |
TenantId | string | Identificador del área de trabajo de Log Analytics |
TimeGenerated | datetime | Hora a la que se generó el evento (UTC) |
Tipo | string | Nombre de la tabla. |
UACFlags | string | Marcas de control de acceso de usuario de AD & AAD |
UserAccountControl | dinámico | Atributos de seguridad de la cuenta de usuario en el dominio de AD |
UserState | string | Estado actual en AAD de la cuenta (Activo/Deshabilitado/Inactivo/Bloqueo) |
UserStateChangedOn | datetime | Fecha de la última vez que se cambió el estado de la cuenta (UTC) |
UserType | string | El tipo de usuario como aparece en Azure AD |
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de