此數據表儲存了 Sentinel UEBA 的豐富事件,提供對原始資料的行為分析。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
BehaviorAnalyticsInsights |
| 基本記錄 |
不 |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| 動作類型 |
字串 |
觸發事件的特定動作類型。 |
| ActivityInsights |
動態 |
活動和行為洞察。 |
| 活動類型 |
字串 |
觸發事件的活動類型。 |
| ActorName |
字串 |
起始產生事件之動作的用戶名稱。 |
| ActorPrincipalName |
字串 |
起始產生事件之動作的用戶主體名稱。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| DestinationDevice |
字串 |
目的地裝置的主機名。 |
| 目的地IP地址 |
字串 |
目的地IP位址。 |
| DestinationIPLocation |
字串 |
以IP位址為基礎的目的地地理位置。 |
| 裝置 |
字串 |
發生事件或報告事件的裝置名稱,視架構而定。 |
| DevicesInsights |
動態的 |
裝置中繼資料和深入解析。 |
| EventProductVersion |
字串 |
產生事件的產品版本。 |
| EventSource |
字串 |
這個事件的數據源。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| 調查優先級 |
int |
調查優先順序分數。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 當 _IsBillable 為 false 時,資料處理不會向您的 Azure 帳戶收費 |
| NativeTableName |
字串 |
從中擷取記錄的原始資料表。 |
| _資源識別碼 |
字串 |
與記錄關聯的資源之唯一識別碼 |
| SourceDevice |
字串 |
來源裝置的主機名。 |
| SourceIPAddress (來源IP位址) |
字串 |
來源IP位址。 |
| 來源IP位置 |
字串 |
根據 IP 位址的來源地理位置。 |
| 來源記錄識別碼 |
字串 |
來源原始事件的唯一標識碼。 |
| SourceSystem |
字串 |
收集事件的代理程式類型。 例如,適用於 Windows 代理程式的 OpsManager、直接連線或 Operations Manager、適用於 Linux 的所有 Linux 代理程式,或適用於 Azure 的 Azure 診斷 |
| _SubscriptionId |
字串 |
與記錄相關的訂用帳戶唯一識別碼 |
| TargetName |
字串 |
產生事件的動作中目標用戶的名稱。 |
| TargetPrincipalName |
字串 |
產生事件的動作中目標用戶的名稱。 |
| 租戶識別碼 |
字串 |
Log Analytics 工作區識別碼 |
| TimeGenerated |
datetime |
產生原始事件的時間(UTC)。 |
| TimeProcessed |
datetime |
擴充處理發生的時間(UTC)。 |
| 類型 |
字串 |
資料表的名稱 |
| UserName |
字串 |
帳戶的用戶名稱。 |
| UserPrincipalName |
字串 |
帳戶的使用者主體名稱。 |
| UsersInsights |
dynamic |
使用者中繼資料和深入解析。 |