IdentityInfo
Cette table est remplie par Azure Sentinel UEBA avec toutes les informations d’identité de vos utilisateurs. Il peut être utilisé pour mettre en corrélation des informations et des insights utilisateur avec des requêtes d’analyse ou de repérage.
Attributs de table
Attribut | Valeur |
---|---|
Types de ressource | - |
Catégories | - |
Solutions | BehaviorAnalyticsInsights |
Journal de base | No |
Transformation au moment de l’ingestion | Yes |
Exemples de requêtes | - |
Colonnes
Colonne | Type | Description |
---|---|---|
AccountCloudSID | string | Identificateur de sécurité Azure AD du compte |
AccountCreationTime | DATETIME | Date de création du compte d’utilisateur (UTC) |
AccountDisplayName | string | Nom complet du compte d’utilisateur |
AccountDomain | string | Nom de domaine du compte d’utilisateur |
AccountName | string | Nom d’utilisateur du compte |
AccountObjectId | string | ID d’objet Azure Active Directory pour le compte |
AccountSID | string | Identificateur de sécurité local du compte |
AccountTenantId | string | ID de locataire Azure Active Directory du compte |
AccountUPN | string | Nom d’utilisateur principal du compte |
AdditionalMailAddresses | dynamique | Adresses e-mail supplémentaires de l’utilisateur |
Applications | string | Toutes les applications connues auxquelles ce compte d’utilisateur a accédé |
AssignedRoles | dynamique | Rôles AAD auxquels le compte d’utilisateur est affecté |
_BilledSize | real | Taille de l’enregistrement en octets |
BlastRadius | string | Impact potentiel du compte d’utilisateur dans l’organisation (faible/moyen/élevé) |
ChangeSource | string | Source de la dernière modification de l’entité |
City | string | Ville du compte d’utilisateur telle que définie dans AAD |
CompanyName | string | Nom de l’entreprise dans laquelle l’utilisateur travaille. |
Pays ou région | string | Pays du compte d’utilisateur tel que défini dans AAD |
DeletedDateTime | DATETIME | Date et heure de suppression de l’utilisateur |
department | string | Le service de compte d’utilisateur tel que défini dans AAD |
EmployeeId | string | Identificateur d’employé attribué à l’utilisateur par le organization |
EntityRiskScore | dynamique | Score de risque de l’entité dans le cadre du processus de scoring UEBA |
ExtensionProperty | dynamique | Champs ExtensionProperty d’Azure AD |
GivenName | string | Nom donné du compte d’utilisateur |
GroupMembership | dynamique | Azure AD regroupe le compte d’utilisateur membre |
InvestigationPriority | int | Score de priorité d’investigation du compte |
InvestigationPriorityPercentile | int | Score du compte par rapport au organization |
IsAccountEnabled | bool | Indication si le compte est activé dans AAD ou non |
_IsBillable | string | Spécifie si l’ingestion des données est facturable. Quand _IsBillable est l’ingestion false n’est pas facturée à votre compte Azure |
IsMFARegistered | bool | Indication si l’authentification multifacteur est inscrite pour ce compte d’utilisateur ou non |
IsServiceAccount | bool | Le compte est un compte de service. |
JobTitle | string | Le titre du travail du compte d’utilisateur tel que défini dans AAD |
LastSeenDate | DATETIME | Date de la dernière activité observée dans ce compte |
MailAddress | string | Le compte d’utilisateur adresse e-mail principale |
Manager | string | Alias du gestionnaire de comptes d’utilisateur |
OnPremisesDistinguishedName | string | Nom unique (DN) Active Directory. Un DN est une séquence de noms uniques relatifs (RDN) connectés par des virgules. |
OnPremisesExtensionAttributes | string | Champ OnPremisesExtensionAttributes à partir d’Azure AD |
Téléphone | string | Numéro de téléphone du compte d’utilisateur tel que défini dans AAD |
RelatedAccounts | dynamique | Différents comptes qui correspondent à un certain utilisateur |
RiskLevel | string | Niveau de risque AAD (faible/moyen/élevé) du compte d’utilisateur |
RiskLevelDetails | string | Détails concernant le niveau de risque AAD |
RiskState | string | Indication si le compte est à risque maintenant ou si le risque a été corrigé |
SAMAccountName | string | Nom du compte SAM du compte. |
ServicePrincipals | dynamique | Principaux de service Azure AD appartenant à l’utilisateur |
SourceSystem | string | Type d’agent par lequel l’événement a été collecté. Par exemple, OpsManager pour l’agent Windows, la connexion directe ou Operations Manager, Linux pour tous les agents Linux ou Azure pour Diagnostics Azure |
State | string | État géographique du compte d’utilisateur tel que défini dans AAD |
StreetAddress | string | Adresse postale du compte d’utilisateur, telle que définie dans AAD |
Surname | string | Nom de famille du compte d’utilisateur |
Étiquettes | string | Informations pertinentes sur le compte d’utilisateur qui sont importantes pour l’investigation : Sensitive\ VIP\ Administrator |
TenantId | string | ID de l’espace de travail Log Analytics |
TimeGenerated | DATETIME | Heure de génération de l’événement (UTC) |
Type | string | Le nom de la table |
UACFlags | string | Indicateurs de contrôle d’accès utilisateur à partir d’AD & AAD |
UserAccountControl | dynamique | Attributs de sécurité du compte d’utilisateur dans le domaine AD |
UserState | string | État actuel dans AAD du compte (Actif/Désactivé/Dormant/Lockout) |
UserStateChangedOn | DATETIME | Date de la dernière modification de l’état du compte (UTC) |
UserType | string | Le type d’utilisateur tel qu’il apparaît dans Azure AD |
Commentaires
https://aka.ms/ContentUserFeedback.
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultezEnvoyer et afficher des commentaires pour