BehaviorAnalytics
此數據表會儲存 Sentinel UEBA 的擴充事件,以提供原始數據的行為分析。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
安全性 |
| 方案 |
BehaviorAnalyticsInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| ActionType |
字串 |
觸發事件的特定動作類型。 |
| ActivityInsights |
dynamic |
活動和行為深入解析。 |
| 活動類型 |
字串 |
觸發事件的活動類型。 |
| ActorName |
字串 |
起始產生事件之動作的用戶名稱。 |
| ActorPrincipalName |
字串 |
起始產生事件之動作的用戶主體名稱。 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| DestinationDevice |
字串 |
目的地裝置的主機名。 |
| DestinationIPAddress |
字串 |
目的地IP位址。 |
| DestinationIPLocation |
字串 |
以IP位址為基礎的目的地地理位置。 |
| 裝置 |
字串 |
發生事件或報告事件的裝置名稱,視架構而定。 |
| DevicesInsights |
dynamic |
裝置元數據和深入解析。 |
| EventProductVersion |
字串 |
產生事件的產品版本。 |
| EventSource |
字串 |
這個事件的數據源。 |
| EventVendor |
字串 |
產生事件的產品的廠商。 |
| InvestigationPriority |
int |
調查優先順序分數。 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| NativeTableName |
字串 |
從中擷取記錄的原始數據表。 |
| _ResourceId |
string |
記錄相關資源的唯一識別碼 |
| SourceDevice |
字串 |
來源裝置的主機名。 |
| SourceIPAddress |
字串 |
來源IP位址。 |
| SourceIPLocation |
字串 |
根據IP位址的來源地理位置。 |
| SourceRecordId |
字串 |
來源原始事件的唯一標識碼。 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式、直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| _SubscriptionId |
string |
與記錄相關的訂用帳戶唯一識別碼 |
| TargetName |
字串 |
產生事件的動作中目標用戶的名稱。 |
| TargetPrincipalName |
字串 |
產生事件的動作中目標用戶的名稱。 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
產生原始事件的時間(UTC)。 |
| TimeProcessed |
Datetime |
擴充處理發生的時間(UTC)。 |
| 型別 |
string |
資料表的名稱 |
| UserName |
字串 |
帳戶的用戶名稱。 |
| UserPrincipalName |
字串 |
帳戶的用戶主體名稱。 |
| UsersInsights |
dynamic |
用戶元數據和深入解析。 |