IdentityInfo
Ta tabela jest wypełniana przez usługę Azure Sentinel UEBA ze wszystkimi informacjami o tożsamościach użytkowników. Może służyć do korelowania informacji o użytkowniku i szczegółowych informacji za pomocą zapytań analitycznych lub wyszukiwania zagrożeń.
Atrybuty tabeli
| Atrybut | Wartość |
|---|---|
| Typy zasobów | - |
| Kategorie | - |
| Rozwiązania | BehaviorAnalyticsInsights |
| Dziennik podstawowy | Nie |
| Przekształcanie czasu pozyskiwania | Tak |
| Przykładowe zapytania | - |
Kolumny
| Kolumna | Typ | Opis |
|---|---|---|
| AccountCloudSID | ciąg | Identyfikator zabezpieczeń Azure AD konta |
| AccountCreationTime | datetime | Data utworzenia konta użytkownika (UTC) |
| AccountDisplayName | ciąg | Nazwa wyświetlana konta użytkownika |
| AccountDomain | ciąg | Nazwa domeny konta użytkownika |
| AccountName | ciąg | Nazwa użytkownika konta |
| AccountObjectId | ciąg | Identyfikator obiektu usługi Azure Active Directory dla konta |
| AccountSID | ciąg | Lokalny identyfikator zabezpieczeń konta |
| AccountTenantId | ciąg | Identyfikator dzierżawy usługi Azure Active Directory konta |
| AccountUPN | ciąg | Główna nazwa użytkownika konta |
| AdditionalMailAddresses | dynamiczna | Dodatkowe adresy e-mail użytkownika |
| Aplikacje | ciąg | Wszystkie znane aplikacje, do których uzyskiwano dostęp do tego konta użytkownika |
| Przypisanerole | dynamiczna | Role usługi AAD przypisane do konta użytkownika |
| _BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
| BlastRadius | ciąg | Potencjalny wpływ konta użytkownika w organizacji (niski/średni/wysoki) |
| ChangeSource | ciąg | Źródło najnowszej zmiany jednostki |
| City (Miasto) | ciąg | Miasto konta użytkownika zdefiniowane w usłudze AAD |
| CompanyName | ciąg | Nazwa firmy, w której pracuje użytkownik. |
| Kraj | ciąg | Kraj konta użytkownika zgodnie z definicją w usłudze AAD |
| DeletedDateTime | datetime | Data i godzina usunięcia użytkownika |
| Dział | ciąg | Dział konta użytkownika zdefiniowany w usłudze AAD |
| Idpracownika | ciąg | Identyfikator pracownika przypisany do użytkownika przez organizację |
| EntityRiskScore | dynamiczna | Wskaźnik ryzyka jednostki w ramach procesu oceniania UEBA |
| ExtensionProperty | dynamiczna | Pola extensionProperty z Azure AD |
| GivenName | ciąg | Nazwa konta użytkownika |
| GroupMembership | dynamiczna | Azure AD Grupuje konto użytkownika jest członkiem |
| Element InvestigationPriority | int | Wskaźnik priorytetu badania konta |
| InvestigationPriorityPercentile | int | Wynik konta w porównaniu z organizacją |
| IsAccountEnabled | bool | Wskazanie, czy konto jest włączone w usłudze AAD, czy nie |
| _IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
| IsMFARegistered | bool | Wskazanie, czy uwierzytelnianie wieloskładnikowe jest zarejestrowane dla tego konta użytkownika, czy nie |
| IsServiceAccount | bool | Konto jest kontem usługi. |
| JobTitle | ciąg | Stanowisko konta użytkownika zdefiniowane w usłudze AAD |
| LastSeenDate | datetime | Data ostatniego działania zaobserwowanego na tym koncie |
| Mailaddress | ciąg | Podstawowy adres e-mail konta użytkownika |
| Menedżer | ciąg | Alias menedżera kont użytkowników |
| OnPremisesDistinguishedName | ciąg | Nazwa wyróżniająca usługi Active Directory. Nazwa wyróżniająca to sekwencja względnych nazw wyróżniających (RDN) połączonych przecinkami. |
| OnPremisesExtensionAttributes | ciąg | Pole OnPremisesExtensionAttributes z Azure AD |
| Telefon | ciąg | Numer telefonu konta użytkownika zgodnie z definicją w usłudze AAD |
| Powiązane konta | dynamiczna | Różne konta skorelowane z określonym użytkownikiem |
| RiskLevel | ciąg | Poziom ryzyka usługi AAD (niski/średni/wysoki) konta użytkownika |
| RiskLevelDetails | ciąg | Szczegóły dotyczące poziomu ryzyka usługi AAD |
| RiskState | ciąg | Wskazanie, czy konto jest teraz zagrożone lub czy ryzyko zostało skorygowane |
| Samaccountname | ciąg | Nazwa konta SAM konta. |
| ServicePrincipals | dynamiczna | Azure AD jednostek usługi, które są własnością użytkownika |
| SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
| Stan | ciąg | Stan geograficzny konta użytkownika zgodnie z definicją w usłudze AAD |
| Streetaddress | ciąg | Adres ulicy biura konta użytkownika zgodnie z definicją w usłudze AAD |
| Nazwisko | ciąg | Nazwisko konta użytkownika |
| Tagi | ciąg | Istotne informacje dotyczące konta użytkownika, które jest ważne do zbadania: Poufne\ VIP\ Administrator |
| TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
| TimeGenerated | datetime | Godzina wygenerowania zdarzenia (UTC) |
| Typ | ciąg | Nazwa tabeli |
| Opóźnienie funkcji kontrola konta użytkownika | ciąg | Flagi kontroli dostępu użytkowników z usługi AD & AAD |
| Useraccountcontrol | dynamiczna | Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD |
| Userstate | ciąg | Bieżący stan w usłudze AAD konta (Aktywne/Wyłączone/Uśpiony/Blokada) |
| UserStateChangedOn | datetime | Data ostatniej zmiany stanu konta (UTC) |
| UserType | ciąg | Typ użytkownika wyświetlany w Azure AD |
Opinia
Już wkrótce: w ciągu 2024 r. będziemy stopniowo usuwać problemy z usługą GitHub jako mechanizm opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla