IdentityInfo
此表由 Azure Sentinel UEBA 填充所有用户标识信息。 它可用于将用户信息和见解与分析或搜寻查询相关联。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | - |
| 解决方案 | BehaviorAnalyticsInsights |
| 基本日志 | 否 |
| 引入时间转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AccountCloudSID | 字符串 | 帐户的 Azure AD 安全标识符 |
| AccountCreationTime | datetime | 用户帐户的创建日期 (UTC) |
| AccountDisplayName | 字符串 | 用户帐户显示名称 |
| AccountDomain | 字符串 | 用户帐户的域名 |
| AccountName | 字符串 | 帐户的用户名 |
| AccountObjectId | 字符串 | 帐户的 Azure Active Directory 对象 ID |
| AccountSID | 字符串 | 帐户的本地安全标识符 |
| AccountTenantId | 字符串 | 帐户的 Azure Active Directory 租户 ID |
| AccountUPN | 字符串 | 帐户的用户主体名称 |
| AdditionalMailAddresses | dynamic | 用户的其他电子邮件地址 |
| 应用程序 | 字符串 | 此用户帐户访问的所有已知应用程序 |
| AssignedRoles | dynamic | 用户帐户分配到的 AAD 角色 |
| _BilledSize | real | 记录大小(以字节为单位) |
| BlastRadius | 字符串 | 用户帐户在组织中的潜在影响 (低/中/高) |
| ChangeSource | 字符串 | 实体最新更改的源 |
| City | 字符串 | AAD 中定义的用户帐户的城市 |
| CompanyName | 字符串 | 用户所在的公司的名称。 |
| 国家/地区 | 字符串 | AAD 中定义的用户帐户的国家/地区 |
| DeletedDateTime | datetime | 删除用户的日期和时间 |
| 部门 | 字符串 | AAD 中定义的用户帐户部门 |
| EmployeeId | 字符串 | 组织分配给用户的员工标识符 |
| EntityRiskScore | dynamic | 作为 UEBA 评分过程的一部分的实体的风险评分 |
| ExtensionProperty | dynamic | Azure AD 中的 ExtensionProperty 字段 |
| GivenName | 字符串 | 用户帐户给定的名称 |
| GroupMembership | dynamic | 用户帐户是成员的 Azure AD 组 |
| InvestigationPriority | int | 帐户的调查优先级分数 |
| InvestigationPriorityPercentile | int | 与组织相比的帐户分数 |
| IsAccountEnabled | bool | 指示帐户是否在 AAD 中启用 |
| _IsBillable | 字符串 | 指定引入数据是否可计费。 当_IsBillable false 引入时,不会向 Azure 帐户计费 |
| IsMFARegistered | bool | 指示是否已为此用户帐户注册 MFA |
| IsServiceAccount | bool | 该帐户是一个服务帐户。 |
| JobTitle | 字符串 | AAD 中定义的用户帐户职务 |
| LastSeenDate | datetime | 在此帐户中观察到的最后一个活动的日期 |
| MailAddress | 字符串 | 用户帐户主电子邮件地址 |
| Manager | 字符串 | 用户帐户管理器别名 |
| OnPremisesDistinguishedName | 字符串 | Active Directory 可分辨名称 (DN) 。 DN 是一系列相对可分辨名称, (RDN) 用逗号连接。 |
| OnPremisesExtensionAttributes | 字符串 | Azure AD 中的 OnPremisesExtensionAttributes 字段 |
| 电话 | 字符串 | AAD 中定义的用户帐户的电话号码 |
| RelatedAccounts | dynamic | 与特定用户相关的各种帐户 |
| RiskLevel | 字符串 | AAD 风险级别 (用户帐户的低/中/高) |
| RiskLevelDetails | 字符串 | 有关 AAD 风险级别的详细信息 |
| RiskState | 字符串 | 指示帐户现在是否面临风险或风险是否已修正 |
| SAMAccountName | 字符串 | 帐户的 SAM 帐户名称。 |
| ServicePrincipals | dynamic | 用户拥有的 Azure AD 服务主体 |
| SourceSystem | 字符串 | 事件收集依据的代理类型。 例如,OpsManager对于 Windows 代理,对于直接连接或 Operations Manager,Linux对于所有 Linux 代理,或者Azure对于 Azure 诊断 |
| State | 字符串 | AAD 中定义的用户帐户的地理状态 |
| StreetAddress | 字符串 | AAD 中定义的用户帐户的办公街道地址 |
| Surname | 字符串 | 用户帐户姓氏 |
| 标记 | 字符串 | 有关对调查非常重要的用户帐户的相关信息:敏感\VIP\管理员 |
| TenantId | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 在 UTC) (生成事件的时间 |
| 类型 | 字符串 | 表的名称 |
| UACFlags | 字符串 | AD & AAD 中的用户访问控制标志 |
| UserAccountControl | dynamic | AD 域中用户帐户的安全属性 |
| UserState | 字符串 | 帐户 AAD 中的当前状态 (Active/Disabled/Dormant/Lockout) |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC) |
| UserType | 字符串 | Azure AD 中显示的用户类型 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈