IdentityInfo
Esta tabela é preenchida pelo UEBA do Azure Sentinel com todas as informações de identidades de seus usuários. Ele pode ser usado para correlacionar informações e insights do usuário com consultas de análise ou busca.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | - |
| Soluções | BehaviorAnalyticsInsights |
| Log básico | No |
| Transformação de tempo de ingestão | Yes |
| Consultas de amostras | - |
Colunas
| Coluna | Tipo | Descrição |
|---|---|---|
| AccountCloudSID | string | O identificador de segurança Azure AD da conta |
| AccountCreationTime | DATETIME | A data em que a conta de usuário foi criada (UTC) |
| AccountDisplayName | string | O nome de exibição da conta de usuário |
| AccountDomain | string | Nome de domínio da conta de usuário |
| AccountName | string | Nome de usuário da conta |
| AccountObjectId | string | A ID do objeto do Azure Active Directory para a conta |
| AccountSID | string | O identificador de segurança local da conta |
| AccountTenantId | string | A ID do locatário do Azure Active Directory da conta |
| AccountUPN | string | Nome principal do usuário da conta |
| AdditionalMailAddresses | dinâmico | Endereços de email adicionais do usuário |
| Aplicativos | string | Todos os aplicativos conhecidos que essa conta de usuário acessou |
| AssignedRoles | dinâmico | Funções do AAD às quais a conta de usuário é atribuída |
| _BilledSize | real | O tamanho do registro em bytes |
| BlastRadius | string | O impacto potencial da conta de usuário na organização (baixa/média/alta) |
| ChangeSource | string | A origem da última alteração da entidade |
| City | string | A cidade da conta de usuário conforme definido no AAD |
| CompanyName | string | O nome da empresa na qual o usuário trabalha. |
| País | string | O país da conta de usuário conforme definido no AAD |
| DeletedDateTime | DATETIME | A data e a hora em que o usuário foi excluído |
| department | string | O departamento de conta de usuário, conforme definido no AAD |
| EmployeeId | string | O identificador de funcionário atribuído ao usuário pela organização |
| EntityRiskScore | dinâmico | A pontuação de risco da entidade como parte do processo de pontuação do UEBA |
| ExtensionProperty | dinâmico | Campos ExtensionProperty de Azure AD |
| GivenName | string | O nome fornecido pela conta de usuário |
| GroupMembership | dinâmico | Azure AD Grupos, a conta de usuário é membro |
| InvestigationPriority | INT | A pontuação prioridade de investigação da conta |
| InvestigationPriorityPercentile | INT | A pontuação da conta em comparação com a organização |
| IsAccountEnabled | bool | Indicação se a conta está habilitada no AAD ou não |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
| IsMFARegistered | bool | Indicação se a MFA está registrada para esta conta de usuário ou não |
| IsServiceAccount | bool | A conta é uma conta de serviço. |
| JobTitle | string | O cargo da conta de usuário conforme definido no AAD |
| LastSeenDate | DATETIME | Data da última atividade observada nesta conta |
| MailAddress | string | A conta de usuário endereço de email principal |
| Gerente | string | O alias do gerenciador de contas de usuário |
| OnPremisesDistinguishedName | string | DN (nome diferenciado) do Active Directory. Um DN é uma sequência de RDN (nomes distintos relativos) conectados por vírgulas. |
| OnPremisesExtensionAttributes | string | Campo OnPremisesExtensionAttributes de Azure AD |
| Telefone | string | O número de telefone da conta de usuário, conforme definido no AAD |
| RelatedAccounts | dinâmico | Várias contas que se correlacionam a um determinado usuário |
| RiskLevel | string | O nível de risco do AAD (Baixo/Médio/Alto) da conta de usuário |
| RiskLevelDetails | string | Detalhes sobre o nível de risco do AAD |
| RiskState | string | Indicação se a conta está em risco agora ou se o risco foi corrigido |
| SAMAccountName | string | O nome da conta SAM da conta. |
| ServicePrincipals | dinâmico | Azure AD entidades de serviço pertencentes ao usuário |
| SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
| Estado | string | O estado geográfico da conta de usuário, conforme definido no AAD |
| StreetAddress | string | O endereço do office street da conta de usuário, conforme definido no AAD |
| Sobrenome | string | O sobrenome da conta de usuário |
| Marcações | string | Informações relevantes sobre a conta de usuário que é importante para investigação: Confidencial\ VIP\ Administrador |
| TenantId | string | A ID do workspace do Log Analytics |
| TimeGenerated | DATETIME | Hora em que o evento foi gerado (UTC) |
| Type | string | O nome da tabela |
| UACFlags | string | Sinalizadores de controle de acesso do usuário do AD & AAD |
| UserAccountControl | dinâmico | Atributos de segurança da conta de usuário no domínio do AD |
| UserState | string | O estado atual no AAD da conta (Ativo/Desabilitado/Inativo/Bloqueio) |
| UserStateChangedOn | DATETIME | Data da última vez em que o estado da conta foi alterado (UTC) |
| UserType | string | O tipo de usuário como aparece no Azure AD |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de