BehaviorAnalytics
Questa tabella archivia gli eventi arricchiti per UEBA di Sentinel, fornendo analisi del comportamento sui dati non elaborati.
Attributi di tabella
Attributo | Valore |
---|---|
Tipi di risorsa | - |
Categorie | Sicurezza |
Soluzioni | BehaviorAnalyticsInsights |
Log di base | No |
Trasformazione in fase di inserimento | Sì |
Query di esempio | - |
Colonne
Colonna | Tipo | Descrizione |
---|---|---|
ActionType | string | Tipo specifico di azione che ha attivato l'evento. |
ActivityInsights | dinamico | Informazioni dettagliate sull'attività e sul comportamento. |
ActivityType | string | Tipo di attività che ha attivato l'evento. |
ActorName | string | Nome dell'utente che avvia l'azione che ha generato l'evento. |
ActorPrincipalName | string | Nome dell'entità dell'utente che avvia l'azione che ha generato l'evento. |
_BilledSize | real | Dimensioni del record in byte |
DestinationDevice | string | Nome host del dispositivo di destinazione. |
DestinationIPAddress | string | Indirizzo IP di destinazione. |
DestinationIPLocation | string | Posizione geografica di destinazione in base all'indirizzo IP. |
Dispositivo | string | Nome del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
DispositiviInsights | dinamico | Metadati e informazioni dettagliate sui dispositivi. |
EventProductVersion | string | Versione del prodotto che genera l'evento. |
EventSource | string | Origine dati per questo evento. |
EventVendor | string | Fornitore del prodotto che genera l'evento. |
InvestigationPriority | INT | Punteggio di priorità dell'indagine. |
_IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
NativeTableName | string | Tabella originale da cui è stato recuperato il record. |
_ResourceId | string | Identificatore univoco per la risorsa a cui è associato il record |
SourceDevice | string | Nome host del dispositivo di origine. |
SourceIPAddress | string | Indirizzo IP di origine. |
SourceIPLocation | string | Posizione geografica di origine in base all'indirizzo IP. |
SourceRecordId | string | ID univoco dell'evento non elaborato di origine. |
SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
_Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
TargetName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
TargetPrincipalName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
TenantId | string | ID area di lavoro Log Analytics |
TimeGenerated | Datetime | Ora in cui è stato generato l'evento non elaborato (UTC). |
TimeProcessed | Datetime | Ora in cui si è verificata l'elaborazione dell'arricchimento (UTC). |
Type | string | Nome della tabella |
UserName | string | Nome utente dell'account. |
UserPrincipalName | string | Nome dell'entità utente dell'account. |
UsersInsights | dinamico | Metadati e informazioni dettagliate degli utenti. |
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per