IdentityInfo
このテーブルには、すべてのユーザー ID 情報が Azure Sentinel UEBA によって設定されます。 これを使用して、ユーザー情報と分析情報を分析クエリまたはハンティング クエリと関連付けることができます。
テーブル属性
属性 | 値 |
---|---|
リソースの種類 | - |
Categories (カテゴリ) | - |
ソリューション | BehaviorAnalyticsInsights |
基本的なログ | いいえ |
インジェスト時間変換 | Yes |
サンプル クエリ | - |
列
Column | Type | 説明 |
---|---|---|
AccountCloudSID | string | アカウントの Azure AD セキュリティ識別子 |
AccountCreationTime | DATETIME | ユーザー アカウントが作成された日付 (UTC) |
AccountDisplayName | string | ユーザー アカウントの表示名 |
AccountDomain | string | ユーザー アカウントのドメイン名 |
AccountName | string | アカウントのユーザー名 |
AccountObjectId | string | アカウントの Azure Active Directory オブジェクト ID |
AccountSID | string | アカウントのオンプレミスのセキュリティ識別子 |
AccountTenantId | string | アカウントの Azure Active Directory テナント ID |
AccountUPN | string | アカウントのユーザー プリンシパル名 |
AdditionalMailAddresses | 動的 | ユーザーの追加の電子メール アドレス |
アプリケーション | string | このユーザー アカウントがアクセスしたすべての既知のアプリケーション |
AssignedRoles | 動的 | ユーザー アカウントが割り当てられている AAD ロール |
_BilledSize | real | レコード サイズ (バイト単位) |
BlastRadius | string | 組織内のユーザー アカウントの潜在的な影響 (低/中/高) |
ChangeSource | string | エンティティの最新の変更のソース |
City | string | AAD で定義されているユーザー アカウントの市区町村 |
CompanyName | string | ユーザーが作業している会社の名前。 |
国 | string | AAD で定義されているユーザー アカウントの国 |
DeletedDateTime | DATETIME | ユーザーが削除された日時 |
Department | string | AAD で定義されているユーザー アカウント部門 |
EmployeeId | string | organizationによってユーザーに割り当てられた従業員識別子 |
EntityRiskScore | 動的 | UEBA スコアリング プロセスの一部としてのエンティティのリスク スコア |
ExtensionProperty | 動的 | Azure AD の ExtensionProperty フィールド |
GivenName | string | 指定された名前のユーザー アカウント |
GroupMembership | 動的 | ユーザー アカウントがメンバーである Azure AD グループ |
InvestigationPriority | INT | アカウントの調査優先度スコア |
InvestigationPriorityPercentile | INT | organizationと比較したアカウント スコア |
IsAccountEnabled | [bool] | アカウントが AAD で有効になっているかどうかを示す |
_IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
IsMFARegistered | [bool] | このユーザー アカウントに MFA が登録されているかどうかを示す |
IsServiceAccount | [bool] | アカウントはサービス アカウントです。 |
JobTitle | string | AAD で定義されているユーザー アカウントの役職 |
LastSeenDate | DATETIME | このアカウントで観察された最後のアクティビティの日付 |
MailAddress | string | ユーザー アカウントのプライマリ メール アドレス |
Manager | string | ユーザー アカウント マネージャーのエイリアス |
OnPremisesDistinguishedName | string | Active Directory 識別名 (DN)。 DN は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
OnPremisesExtensionAttributes | string | Azure AD の OnPremisesExtensionAttributes フィールド |
電話番号 | string | AAD で定義されているユーザー アカウントの電話番号 |
RelatedAccounts | 動的 | 特定のユーザーに関連付けられるさまざまなアカウント |
RiskLevel | string | ユーザー アカウントの AAD リスク レベル (低/中/高) |
RiskLevelDetails | string | AAD リスク レベルに関する詳細 |
RiskState | string | アカウントが現在危険にさらされているかどうか、またはリスクが修復されたかどうかを示す |
SAMAccountName | string | アカウントの SAM アカウント名。 |
ServicePrincipals | 動的 | ユーザーが所有する Azure AD サービス プリンシパル |
SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
State | string | AAD で定義されているユーザー アカウントの地理的な状態 |
StreetAddress | string | AAD で定義されているユーザー アカウントのオフィス番地 |
Surname | string | ユーザー アカウントの姓 |
タグ | string | 調査に重要なユーザー アカウントに関する関連情報: Sensitive\ VIP\ Administrator |
TenantId | string | Log Analytics ワークスペース ID |
TimeGenerated | DATETIME | イベントが生成された時刻 (UTC) |
Type | string | テーブルの名前 |
UACFlags | string | AD & AAD からのユーザー アクセス制御フラグ |
UserAccountControl | 動的 | AD ドメイン内のユーザー アカウントのセキュリティ属性 |
UserState | string | アカウントの AAD の現在の状態 (アクティブ/無効/休止/ロックアウト) |
UserStateChangedOn | DATETIME | アカウントの状態が最後に変更された日付 (UTC) |
UserType | string | Azure AD に表示されるユーザーの種類 |
フィードバック
https://aka.ms/ContentUserFeedback」を参照してください。
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「フィードバックの送信と表示