IdentityInfo
Esta tabela é preenchida pelo UEBA do Azure Sentinel com todas as informações de identidades de seus usuários. Ele pode ser usado para correlacionar informações e insights do usuário com consultas de análise ou busca.
Atributos de tabela
Atributo | Valor |
---|---|
Tipos de recurso | - |
Categorias | - |
Soluções | BehaviorAnalyticsInsights |
Log básico | No |
Transformação de tempo de ingestão | Yes |
Consultas de amostras | - |
Colunas
Coluna | Tipo | Descrição |
---|---|---|
AccountCloudSID | string | O identificador de segurança Azure AD da conta |
AccountCreationTime | DATETIME | A data em que a conta de usuário foi criada (UTC) |
AccountDisplayName | string | O nome de exibição da conta de usuário |
AccountDomain | string | Nome de domínio da conta de usuário |
AccountName | string | Nome de usuário da conta |
AccountObjectId | string | A ID do objeto do Azure Active Directory para a conta |
AccountSID | string | O identificador de segurança local da conta |
AccountTenantId | string | A ID do locatário do Azure Active Directory da conta |
AccountUPN | string | Nome principal do usuário da conta |
AdditionalMailAddresses | dinâmico | Endereços de email adicionais do usuário |
Aplicativos | string | Todos os aplicativos conhecidos que essa conta de usuário acessou |
AssignedRoles | dinâmico | Funções do AAD às quais a conta de usuário é atribuída |
_BilledSize | real | O tamanho do registro em bytes |
BlastRadius | string | O impacto potencial da conta de usuário na organização (baixa/média/alta) |
ChangeSource | string | A origem da última alteração da entidade |
City | string | A cidade da conta de usuário conforme definido no AAD |
CompanyName | string | O nome da empresa na qual o usuário trabalha. |
País | string | O país da conta de usuário conforme definido no AAD |
DeletedDateTime | DATETIME | A data e a hora em que o usuário foi excluído |
department | string | O departamento de conta de usuário, conforme definido no AAD |
EmployeeId | string | O identificador de funcionário atribuído ao usuário pela organização |
EntityRiskScore | dinâmico | A pontuação de risco da entidade como parte do processo de pontuação do UEBA |
ExtensionProperty | dinâmico | Campos ExtensionProperty de Azure AD |
GivenName | string | O nome fornecido pela conta de usuário |
GroupMembership | dinâmico | Azure AD Grupos, a conta de usuário é membro |
InvestigationPriority | INT | A pontuação prioridade de investigação da conta |
InvestigationPriorityPercentile | INT | A pontuação da conta em comparação com a organização |
IsAccountEnabled | bool | Indicação se a conta está habilitada no AAD ou não |
_IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é false ingestão não é cobrado para sua conta do Azure |
IsMFARegistered | bool | Indicação se a MFA está registrada para esta conta de usuário ou não |
IsServiceAccount | bool | A conta é uma conta de serviço. |
JobTitle | string | O cargo da conta de usuário conforme definido no AAD |
LastSeenDate | DATETIME | Data da última atividade observada nesta conta |
MailAddress | string | A conta de usuário endereço de email principal |
Gerente | string | O alias do gerenciador de contas de usuário |
OnPremisesDistinguishedName | string | DN (nome diferenciado) do Active Directory. Um DN é uma sequência de RDN (nomes distintos relativos) conectados por vírgulas. |
OnPremisesExtensionAttributes | string | Campo OnPremisesExtensionAttributes de Azure AD |
Telefone | string | O número de telefone da conta de usuário, conforme definido no AAD |
RelatedAccounts | dinâmico | Várias contas que se correlacionam a um determinado usuário |
RiskLevel | string | O nível de risco do AAD (Baixo/Médio/Alto) da conta de usuário |
RiskLevelDetails | string | Detalhes sobre o nível de risco do AAD |
RiskState | string | Indicação se a conta está em risco agora ou se o risco foi corrigido |
SAMAccountName | string | O nome da conta SAM da conta. |
ServicePrincipals | dinâmico | Azure AD entidades de serviço pertencentes ao usuário |
SourceSystem | string | O tipo de agente pelo qual o evento foi coletado. Por exemplo, OpsManager para o agente do Windows, conexão direta ou Operations Manager, Linux para todos os agentes do Linux ou Azure para Diagnóstico do Azure |
Estado | string | O estado geográfico da conta de usuário, conforme definido no AAD |
StreetAddress | string | O endereço do office street da conta de usuário, conforme definido no AAD |
Sobrenome | string | O sobrenome da conta de usuário |
Marcações | string | Informações relevantes sobre a conta de usuário que é importante para investigação: Confidencial\ VIP\ Administrador |
TenantId | string | A ID do workspace do Log Analytics |
TimeGenerated | DATETIME | Hora em que o evento foi gerado (UTC) |
Type | string | O nome da tabela |
UACFlags | string | Sinalizadores de controle de acesso do usuário do AD & AAD |
UserAccountControl | dinâmico | Atributos de segurança da conta de usuário no domínio do AD |
UserState | string | O estado atual no AAD da conta (Ativo/Desabilitado/Inativo/Bloqueio) |
UserStateChangedOn | DATETIME | Data da última vez em que o estado da conta foi alterado (UTC) |
UserType | string | O tipo de usuário como aparece no Azure AD |
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de