IdentityInfo
このテーブルには、すべてのユーザー ID 情報が Azure Sentinel UEBA によって設定されます。 これを使用して、ユーザー情報と分析情報を分析クエリまたはハンティング クエリと関連付けることができます。
テーブル属性
| 属性 | 値 |
|---|---|
| リソースの種類 | - |
| Categories (カテゴリ) | - |
| ソリューション | BehaviorAnalyticsInsights |
| 基本的なログ | いいえ |
| インジェスト時間変換 | Yes |
| サンプル クエリ | - |
列
| Column | Type | 説明 |
|---|---|---|
| AccountCloudSID | string | アカウントの Azure AD セキュリティ識別子 |
| AccountCreationTime | DATETIME | ユーザー アカウントが作成された日付 (UTC) |
| AccountDisplayName | string | ユーザー アカウントの表示名 |
| AccountDomain | string | ユーザー アカウントのドメイン名 |
| AccountName | string | アカウントのユーザー名 |
| AccountObjectId | string | アカウントの Azure Active Directory オブジェクト ID |
| AccountSID | string | アカウントのオンプレミスのセキュリティ識別子 |
| AccountTenantId | string | アカウントの Azure Active Directory テナント ID |
| AccountUPN | string | アカウントのユーザー プリンシパル名 |
| AdditionalMailAddresses | 動的 | ユーザーの追加の電子メール アドレス |
| アプリケーション | string | このユーザー アカウントがアクセスしたすべての既知のアプリケーション |
| AssignedRoles | 動的 | ユーザー アカウントが割り当てられている AAD ロール |
| _BilledSize | real | レコード サイズ (バイト単位) |
| BlastRadius | string | 組織内のユーザー アカウントの潜在的な影響 (低/中/高) |
| ChangeSource | string | エンティティの最新の変更のソース |
| City | string | AAD で定義されているユーザー アカウントの市区町村 |
| CompanyName | string | ユーザーが作業している会社の名前。 |
| 国 | string | AAD で定義されているユーザー アカウントの国 |
| DeletedDateTime | DATETIME | ユーザーが削除された日時 |
| Department | string | AAD で定義されているユーザー アカウント部門 |
| EmployeeId | string | organizationによってユーザーに割り当てられた従業員識別子 |
| EntityRiskScore | 動的 | UEBA スコアリング プロセスの一部としてのエンティティのリスク スコア |
| ExtensionProperty | 動的 | Azure AD の ExtensionProperty フィールド |
| GivenName | string | 指定された名前のユーザー アカウント |
| GroupMembership | 動的 | ユーザー アカウントがメンバーである Azure AD グループ |
| InvestigationPriority | INT | アカウントの調査優先度スコア |
| InvestigationPriorityPercentile | INT | organizationと比較したアカウント スコア |
| IsAccountEnabled | [bool] | アカウントが AAD で有効になっているかどうかを示す |
| _IsBillable | string | データの取り込みに課金されるかどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
| IsMFARegistered | [bool] | このユーザー アカウントに MFA が登録されているかどうかを示す |
| IsServiceAccount | [bool] | アカウントはサービス アカウントです。 |
| JobTitle | string | AAD で定義されているユーザー アカウントの役職 |
| LastSeenDate | DATETIME | このアカウントで観察された最後のアクティビティの日付 |
| MailAddress | string | ユーザー アカウントのプライマリ メール アドレス |
| Manager | string | ユーザー アカウント マネージャーのエイリアス |
| OnPremisesDistinguishedName | string | Active Directory 識別名 (DN)。 DN は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
| OnPremisesExtensionAttributes | string | Azure AD の OnPremisesExtensionAttributes フィールド |
| 電話番号 | string | AAD で定義されているユーザー アカウントの電話番号 |
| RelatedAccounts | 動的 | 特定のユーザーに関連付けられるさまざまなアカウント |
| RiskLevel | string | ユーザー アカウントの AAD リスク レベル (低/中/高) |
| RiskLevelDetails | string | AAD リスク レベルに関する詳細 |
| RiskState | string | アカウントが現在危険にさらされているかどうか、またはリスクが修復されたかどうかを示す |
| SAMAccountName | string | アカウントの SAM アカウント名。 |
| ServicePrincipals | 動的 | ユーザーが所有する Azure AD サービス プリンシパル |
| SourceSystem | string | イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux場合、または Azure Azure Diagnostics |
| State | string | AAD で定義されているユーザー アカウントの地理的な状態 |
| StreetAddress | string | AAD で定義されているユーザー アカウントのオフィス番地 |
| Surname | string | ユーザー アカウントの姓 |
| タグ | string | 調査に重要なユーザー アカウントに関する関連情報: Sensitive\ VIP\ Administrator |
| TenantId | string | Log Analytics ワークスペース ID |
| TimeGenerated | DATETIME | イベントが生成された時刻 (UTC) |
| Type | string | テーブルの名前 |
| UACFlags | string | AD & AAD からのユーザー アクセス制御フラグ |
| UserAccountControl | 動的 | AD ドメイン内のユーザー アカウントのセキュリティ属性 |
| UserState | string | アカウントの AAD の現在の状態 (アクティブ/無効/休止/ロックアウト) |
| UserStateChangedOn | DATETIME | アカウントの状態が最後に変更された日付 (UTC) |
| UserType | string | Azure AD に表示されるユーザーの種類 |
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示