IdentityInfo
此數據表會由 Azure Sentinel UEBA 填入所有使用者身分識別資訊。 它可用來將使用者資訊和見解與分析或搜捕查詢相互關聯。
數據表屬性
| 屬性 |
值 |
|
資源類型 |
- |
|
類別 |
- |
|
方案 |
BehaviorAnalyticsInsights |
|
基本記錄檔 |
No |
|
擷取時間轉換 |
Yes |
|
範例查詢 |
- |
資料行
| 資料行 |
類型 |
Description |
| AccountCloudSID |
字串 |
帳戶的 Azure AD 安全性識別碼 |
| AccountCreationTime |
datetime |
用戶帳戶建立日期 (UTC) |
| AccountDisplayName |
字串 |
用戶帳戶顯示名稱 |
| AccountDomain |
字串 |
用戶帳戶的功能變數名稱 |
| AccountName |
字串 |
帳戶的用戶名稱 |
| AccountObjectId |
字串 |
帳戶的 Azure Active Directory 物件標識碼 |
| AccountSID |
字串 |
帳戶的內部部署安全性標識碼 |
| AccountTenantId |
字串 |
帳戶的 Azure Active Directory 租使用者標識碼 |
| AccountUPN |
字串 |
帳戶的用戶主體名稱 |
| AdditionalMailAddresses |
動態 |
使用者的其他電子郵件位址 |
| 應用程式 |
字串 |
此用戶帳戶存取的所有已知應用程式 |
| AssignedRoles |
動態 |
指派用戶帳戶的 AAD 角色 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| BlastRadius |
字串 |
組織中用戶帳戶的潛在影響 (低/中/高) |
| ChangeSource |
字串 |
實體最新變更的來源 |
| City |
字串 |
AAD 中所定義的用戶帳戶城市 |
| CompanyName |
字串 |
使用者工作所在公司的名稱。 |
| 國家/地區 |
字串 |
AAD 中所定義的用戶帳戶國家/地區 |
| DeletedDateTime |
datetime |
刪除使用者的日期和時間 |
| 部門 |
字串 |
AAD 中所定義的用戶帳戶部門 |
| EmployeeId |
字串 |
組織指派給使用者的員工標識碼 |
| EntityRiskScore |
動態 |
實體的風險分數,作為 UEBA 評分程式的一部分 |
| ExtensionProperty |
動態 |
來自 Azure AD 的 ExtensionProperty 字段 |
| GivenName |
字串 |
指定名稱的用戶帳戶 |
| GroupMembership |
動態 |
Azure AD 群組用戶帳戶是成員 |
| InvestigationPriority |
int |
帳戶的調查優先順序分數 |
| InvestigationPriorityPercentile |
int |
與組織相比的帳戶分數 |
| IsAccountEnabled |
bool |
指示是否在 AAD 中啟用帳戶 |
| _IsBillable |
字串 |
指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
| IsMFARegistered |
bool |
指出是否已為此用戶帳戶註冊 MFA |
| IsServiceAccount |
bool |
帳戶是服務帳戶。 |
| JobTitle |
字串 |
AAD 中定義的用戶帳戶職稱 |
| LastSeenDate |
datetime |
此帳戶中觀察到的最後一個活動日期 |
| MailAddress |
字串 |
用戶帳戶主要電子郵件位址 |
|
管理員
|
字串 |
用戶帳戶管理員別名 |
| OnPremisesDistinguishedName |
字串 |
Active Directory 辨別名稱 (DN) 。 DN 是一連串的相對辨別名稱, (RDN) 以逗號連接。 |
| OnPremisesExtensionAttributes |
字串 |
來自 Azure AD 的 OnPremisesExtensionAttributes 字段 |
| 手機 |
字串 |
AAD 中定義的用戶帳戶電話號碼 |
| RelatedAccounts |
動態 |
與特定使用者相互關聯的各種帳戶 |
| RiskLevel |
字串 |
用戶帳戶的 AAD 風險等級 (低/中/高) |
| RiskLevelDetails |
字串 |
AAD 風險等級的詳細數據 |
| RiskState |
字串 |
指出帳戶目前是否處於風險狀態,或風險是否已修復 |
| SAMAccountName |
字串 |
帳戶的 SAM 帳戶名稱。 |
| ServicePrincipals |
動態 |
用戶所擁有的 Azure AD 服務主體 |
| SourceSystem |
字串 |
事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager直接連線或 Operations Manager、Linux所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| State |
string |
AAD 中定義的用戶帳戶地理狀態 |
| StreetAddress |
字串 |
AAD 中所定義用戶帳戶的辦公室街道位址 |
| Surname |
字串 |
用戶帳戶姓氏 |
| 標籤 |
字串 |
用戶帳戶的相關信息,對於調查很重要:敏感性\ VIP\ 系統管理員 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
產生事件的時間 (UTC) |
| 類型 |
字串 |
資料表的名稱 |
| UACFlags |
字串 |
AD & AAD 的使用者訪問控制旗標 |
| UserAccountControl |
動態 |
AD 網域中用戶帳戶的安全性屬性 |
| UserState |
字串 |
帳戶 AAD 中的目前狀態 (Active/Disabled/Dormant/Lockout) |
| UserStateChangedOn |
datetime |
上次帳戶狀態變更的日期 (UTC) |
| 使用者類型 |
字串 |
如 Azure AD 中所示的用戶類型 |