IdentityInfo
此數據表會由 Azure Sentinel UEBA 填入所有使用者身分識別資訊。 它可用來將使用者資訊和見解與分析或搜捕查詢相互關聯。
數據表屬性
屬性 |
值 |
資源類型 |
- |
類別 |
- |
方案 |
BehaviorAnalyticsInsights |
基本記錄檔 |
No |
擷取時間轉換 |
Yes |
範例查詢 |
- |
資料行
資料行 |
類型 |
Description |
AccountCloudSID |
字串 |
帳戶的 Azure AD 安全性識別碼 |
AccountCreationTime |
datetime |
用戶帳戶建立日期 (UTC) |
AccountDisplayName |
字串 |
用戶帳戶顯示名稱 |
AccountDomain |
字串 |
用戶帳戶的功能變數名稱 |
AccountName |
字串 |
帳戶的用戶名稱 |
AccountObjectId |
字串 |
帳戶的 Azure Active Directory 物件標識碼 |
AccountSID |
字串 |
帳戶的內部部署安全性標識碼 |
AccountTenantId |
字串 |
帳戶的 Azure Active Directory 租使用者標識碼 |
AccountUPN |
字串 |
帳戶的用戶主體名稱 |
AdditionalMailAddresses |
動態 |
使用者的其他電子郵件位址 |
應用程式 |
字串 |
此用戶帳戶存取的所有已知應用程式 |
AssignedRoles |
動態 |
指派用戶帳戶的 AAD 角色 |
_BilledSize |
real |
以位元組為單位的記錄大小 |
BlastRadius |
字串 |
組織中用戶帳戶的潛在影響 (低/中/高) |
ChangeSource |
字串 |
實體最新變更的來源 |
City |
字串 |
AAD 中所定義的用戶帳戶城市 |
CompanyName |
字串 |
使用者工作所在公司的名稱。 |
國家/地區 |
字串 |
AAD 中所定義的用戶帳戶國家/地區 |
DeletedDateTime |
datetime |
刪除使用者的日期和時間 |
部門 |
字串 |
AAD 中所定義的用戶帳戶部門 |
EmployeeId |
字串 |
組織指派給使用者的員工標識碼 |
EntityRiskScore |
動態 |
實體的風險分數,作為 UEBA 評分程式的一部分 |
ExtensionProperty |
動態 |
來自 Azure AD 的 ExtensionProperty 字段 |
GivenName |
字串 |
指定名稱的用戶帳戶 |
GroupMembership |
動態 |
Azure AD 群組用戶帳戶是成員 |
InvestigationPriority |
int |
帳戶的調查優先順序分數 |
InvestigationPriorityPercentile |
int |
與組織相比的帳戶分數 |
IsAccountEnabled |
bool |
指示是否在 AAD 中啟用帳戶 |
_IsBillable |
字串 |
指定擷取數據是否可計費。 當_IsBillable false 擷取未向您 Azure 帳戶計費時 |
IsMFARegistered |
bool |
指出是否已為此用戶帳戶註冊 MFA |
IsServiceAccount |
bool |
帳戶是服務帳戶。 |
JobTitle |
字串 |
AAD 中定義的用戶帳戶職稱 |
LastSeenDate |
datetime |
此帳戶中觀察到的最後一個活動日期 |
MailAddress |
字串 |
用戶帳戶主要電子郵件位址 |
管理員
|
字串 |
用戶帳戶管理員別名 |
OnPremisesDistinguishedName |
字串 |
Active Directory 辨別名稱 (DN) 。 DN 是一連串的相對辨別名稱, (RDN) 以逗號連接。 |
OnPremisesExtensionAttributes |
字串 |
來自 Azure AD 的 OnPremisesExtensionAttributes 字段 |
手機 |
字串 |
AAD 中定義的用戶帳戶電話號碼 |
RelatedAccounts |
動態 |
與特定使用者相互關聯的各種帳戶 |
RiskLevel |
字串 |
用戶帳戶的 AAD 風險等級 (低/中/高) |
RiskLevelDetails |
字串 |
AAD 風險等級的詳細數據 |
RiskState |
字串 |
指出帳戶目前是否處於風險狀態,或風險是否已修復 |
SAMAccountName |
字串 |
帳戶的 SAM 帳戶名稱。 |
ServicePrincipals |
動態 |
用戶所擁有的 Azure AD 服務主體 |
SourceSystem |
字串 |
事件所收集的代理程序類型。 例如,針對 Windows 代理程式、OpsManager 直接連線或 Operations Manager、Linux 所有 Linux 代理程式,或Azure 針對 Azure 診斷 |
State |
string |
AAD 中定義的用戶帳戶地理狀態 |
StreetAddress |
字串 |
AAD 中所定義用戶帳戶的辦公室街道位址 |
Surname |
字串 |
用戶帳戶姓氏 |
標籤 |
字串 |
用戶帳戶的相關信息,對於調查很重要:敏感性\ VIP\ 系統管理員 |
TenantId |
字串 |
Log Analytics 工作區標識符 |
TimeGenerated |
Datetime |
產生事件的時間 (UTC) |
類型 |
字串 |
資料表的名稱 |
UACFlags |
字串 |
AD & AAD 的使用者訪問控制旗標 |
UserAccountControl |
動態 |
AD 網域中用戶帳戶的安全性屬性 |
UserState |
字串 |
帳戶 AAD 中的目前狀態 (Active/Disabled/Dormant/Lockout) |
UserStateChangedOn |
datetime |
上次帳戶狀態變更的日期 (UTC) |
使用者類型 |
字串 |
如 Azure AD 中所示的用戶類型 |