IdentityInfo
此表由 Azure Sentinel UEBA 填充所有用户标识信息。 它可用于将用户信息和见解与分析或搜寻查询相关联。
表属性
Attribute | 值 |
---|---|
资源类型 | - |
类别 | - |
解决方案 | BehaviorAnalyticsInsights |
基本日志 | 否 |
引入时间转换 | 是 |
示例查询 | - |
列
列 | 类型 | 说明 |
---|---|---|
AccountCloudSID | 字符串 | 帐户的 Azure AD 安全标识符 |
AccountCreationTime | datetime | 用户帐户的创建日期 (UTC) |
AccountDisplayName | 字符串 | 用户帐户显示名称 |
AccountDomain | 字符串 | 用户帐户的域名 |
AccountName | 字符串 | 帐户的用户名 |
AccountObjectId | 字符串 | 帐户的 Azure Active Directory 对象 ID |
AccountSID | 字符串 | 帐户的本地安全标识符 |
AccountTenantId | 字符串 | 帐户的 Azure Active Directory 租户 ID |
AccountUPN | 字符串 | 帐户的用户主体名称 |
AdditionalMailAddresses | dynamic | 用户的其他电子邮件地址 |
应用程序 | 字符串 | 此用户帐户访问的所有已知应用程序 |
AssignedRoles | dynamic | 用户帐户分配到的 AAD 角色 |
_BilledSize | real | 记录大小(以字节为单位) |
BlastRadius | 字符串 | 用户帐户在组织中的潜在影响 (低/中/高) |
ChangeSource | 字符串 | 实体最新更改的源 |
City | 字符串 | AAD 中定义的用户帐户的城市 |
CompanyName | 字符串 | 用户所在的公司的名称。 |
国家/地区 | 字符串 | AAD 中定义的用户帐户的国家/地区 |
DeletedDateTime | datetime | 删除用户的日期和时间 |
部门 | 字符串 | AAD 中定义的用户帐户部门 |
EmployeeId | 字符串 | 组织分配给用户的员工标识符 |
EntityRiskScore | dynamic | 作为 UEBA 评分过程的一部分的实体的风险评分 |
ExtensionProperty | dynamic | Azure AD 中的 ExtensionProperty 字段 |
GivenName | 字符串 | 用户帐户给定的名称 |
GroupMembership | dynamic | 用户帐户是成员的 Azure AD 组 |
InvestigationPriority | int | 帐户的调查优先级分数 |
InvestigationPriorityPercentile | int | 与组织相比的帐户分数 |
IsAccountEnabled | bool | 指示帐户是否在 AAD 中启用 |
_IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
IsMFARegistered | bool | 指示是否已为此用户帐户注册 MFA |
IsServiceAccount | bool | 该帐户是一个服务帐户。 |
JobTitle | 字符串 | AAD 中定义的用户帐户职务 |
LastSeenDate | datetime | 在此帐户中观察到的最后一个活动的日期 |
MailAddress | 字符串 | 用户帐户主电子邮件地址 |
Manager | 字符串 | 用户帐户管理器别名 |
OnPremisesDistinguishedName | 字符串 | Active Directory 可分辨名称 (DN) 。 DN 是一系列相对可分辨名称, (RDN) 用逗号连接。 |
OnPremisesExtensionAttributes | 字符串 | Azure AD 中的 OnPremisesExtensionAttributes 字段 |
电话 | 字符串 | AAD 中定义的用户帐户的电话号码 |
RelatedAccounts | dynamic | 与特定用户相关的各种帐户 |
RiskLevel | 字符串 | AAD 风险级别 (用户帐户的低/中/高) |
RiskLevelDetails | 字符串 | 有关 AAD 风险级别的详细信息 |
RiskState | 字符串 | 指示帐户现在是否面临风险或风险是否已修正 |
SAMAccountName | 字符串 | 帐户的 SAM 帐户名称。 |
ServicePrincipals | dynamic | 用户拥有的 Azure AD 服务主体 |
SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager 对于 Windows 代理,对于直接连接或 Operations Manager,Linux 对于所有 Linux 代理,或者Azure 对于 Azure 诊断 |
State | 字符串 | AAD 中定义的用户帐户的地理状态 |
StreetAddress | 字符串 | AAD 中定义的用户帐户的办公街道地址 |
Surname | 字符串 | 用户帐户姓氏 |
标记 | 字符串 | 有关对调查非常重要的用户帐户的相关信息:敏感\VIP\管理员 |
TenantId | 字符串 | Log Analytics 工作区 ID |
TimeGenerated | datetime | 在 UTC) (生成事件的时间 |
类型 | 字符串 | 表的名称 |
UACFlags | 字符串 | AD & AAD 中的用户访问控制标志 |
UserAccountControl | dynamic | AD 域中用户帐户的安全属性 |
UserState | 字符串 | 帐户 AAD 中的当前状态 (Active/Disabled/Dormant/Lockout) |
UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC) |
UserType | 字符串 | Azure AD 中显示的用户类型 |
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈