BehaviorAnalytics
Questa tabella archivia gli eventi arricchiti per UEBA di Sentinel, fornendo analisi del comportamento sui dati non elaborati.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorsa | - |
| Categorie | Sicurezza |
| Soluzioni | BehaviorAnalyticsInsights |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Query di esempio | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| ActionType | string | Tipo specifico di azione che ha attivato l'evento. |
| ActivityInsights | dinamico | Informazioni dettagliate sull'attività e sul comportamento. |
| ActivityType | string | Tipo di attività che ha attivato l'evento. |
| ActorName | string | Nome dell'utente che avvia l'azione che ha generato l'evento. |
| ActorPrincipalName | string | Nome dell'entità dell'utente che avvia l'azione che ha generato l'evento. |
| _BilledSize | real | Dimensioni del record in byte |
| DestinationDevice | string | Nome host del dispositivo di destinazione. |
| DestinationIPAddress | string | Indirizzo IP di destinazione. |
| DestinationIPLocation | string | Posizione geografica di destinazione in base all'indirizzo IP. |
| Dispositivo | string | Nome del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DispositiviInsights | dinamico | Metadati e informazioni dettagliate sui dispositivi. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventSource | string | Origine dati per questo evento. |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| InvestigationPriority | INT | Punteggio di priorità dell'indagine. |
| _IsBillable | string | Specifica se l'inserimento dei dati è fatturabile. Quando _IsBillable l'inserimento false non viene fatturato all'account Azure |
| NativeTableName | string | Tabella originale da cui è stato recuperato il record. |
| _ResourceId | string | Identificatore univoco per la risorsa a cui è associato il record |
| SourceDevice | string | Nome host del dispositivo di origine. |
| SourceIPAddress | string | Indirizzo IP di origine. |
| SourceIPLocation | string | Posizione geografica di origine in base all'indirizzo IP. |
| SourceRecordId | string | ID univoco dell'evento non elaborato di origine. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, connessione diretta o Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure |
| _Subscriptionid | string | Identificatore univoco per la sottoscrizione a cui è associato il record |
| TargetName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
| TargetPrincipalName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
| TenantId | string | ID area di lavoro Log Analytics |
| TimeGenerated | Datetime | Ora in cui è stato generato l'evento non elaborato (UTC). |
| TimeProcessed | Datetime | Ora in cui si è verificata l'elaborazione dell'arricchimento (UTC). |
| Type | string | Nome della tabella |
| UserName | string | Nome utente dell'account. |
| UserPrincipalName | string | Nome dell'entità utente dell'account. |
| UsersInsights | dinamico | Metadati e informazioni dettagliate degli utenti. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per