IdentityInfo
此數據表會由 Azure Sentinel UEBA 填入所有使用者身分識別資訊。 它可用來將使用者資訊和見解與分析或搜捕查詢相互關聯。
數據表屬性
| 屬性 |
值 |
| 資源類型 |
- |
| 類別 |
- |
| 方案 |
BehaviorAnalyticsInsights |
| 基本記錄 |
No |
| 擷取時間轉換 |
Yes |
| 範例查詢 |
- |
資料行
| 資料行 |
類型 |
描述 |
| AccountCloudSID |
字串 |
帳戶的 Azure AD 安全性識別碼 |
| AccountCreationTime |
Datetime |
使用者帳戶建立的日期(UTC) |
| AccountDisplayName |
字串 |
用戶帳戶顯示名稱 |
| AccountDomain |
字串 |
用戶帳戶的功能變數名稱 |
| AccountName |
字串 |
帳戶的用戶名稱 |
| AccountObjectId |
字串 |
帳戶的 Azure Active Directory 物件標識碼 |
| AccountSID |
字串 |
帳戶的內部部署安全性標識碼 |
| AccountTenantId |
字串 |
帳戶的 Azure Active Directory 租使用者標識碼 |
| AccountUPN |
字串 |
帳戶的用戶主體名稱 |
| AdditionalMailAddresses |
dynamic |
使用者的其他電子郵件位址 |
| 應用程式 |
字串 |
此用戶帳戶存取的所有已知應用程式 |
| AssignedRoles |
dynamic |
用戶帳戶指派給的 AAD 角色 |
| _BilledSize |
real |
以位元組為單位的記錄大小 |
| BlastRadius |
字串 |
組織中用戶帳戶的潛在影響(低/中/高) |
| ChangeSource |
字串 |
實體最新變更的來源 |
| 城市 |
字串 |
AAD 中所定義的用戶帳戶城市 |
| CompanyName |
字串 |
使用者所在的公司名稱。 |
| 國家/地區 |
字串 |
AAD 中所定義的用戶帳戶國家/地區 |
| DeletedDateTime |
Datetime |
刪除使用者的日期和時間 |
| 部門 |
字串 |
AAD 中所定義的用戶帳戶部門 |
| EmployeeId |
字串 |
組織指派給使用者的員工標識碼 |
| EntityRiskScore |
dynamic |
實體的風險分數,作為 UEBA 評分程式的一部分 |
| ExtensionProperty |
dynamic |
Azure AD 的 ExtensionProperty 字段 |
| GivenName |
字串 |
指定名稱的用戶帳戶 |
| GroupMembership |
dynamic |
用戶帳戶是成員的 Azure AD 群組 |
| InvestigationPriority |
int |
帳戶的調查優先順序分數 |
| InvestigationPriorityPercentile |
int |
與組織相比的帳戶分數 |
| IsAccountEnabled |
bool |
指示是否在 AAD 中啟用帳戶 |
| _IsBillable |
字串 |
指定內嵌資料是否可計費。 false_IsBillable擷取時,不會向 Azure 帳戶收費 |
| IsMFARegistered |
bool |
指出是否已註冊此用戶帳戶的 MFA |
| IsServiceAccount |
bool |
帳戶是服務帳戶。 |
| JobTitle |
字串 |
AAD 中所定義的用戶帳戶職稱 |
| LastSeenDate |
Datetime |
此帳戶中觀察到的最後一個活動日期 |
| MailAddress |
字串 |
用戶帳戶主要電子郵件位址 |
| 經理 |
字串 |
用戶帳戶管理員別名 |
| OnPremisesDistinguishedName |
字串 |
Active Directory 辨別名稱 (DN)。 DN 是一連串以逗號連接的相對辨別名稱 (RDN)。 |
| OnPremisesExtensionAttributes |
字串 |
來自 Azure AD 的 OnPremisesExtensionAttributes 字段 |
| 手機 |
字串 |
AAD 中所定義的用戶帳戶電話號碼 |
| RelatedAccounts |
dynamic |
與特定使用者相互關聯的各種帳戶 |
| RiskLevel |
字串 |
用戶帳戶的 AAD 風險等級 (低/中/高) |
| RiskLevelDetails |
字串 |
AAD 風險等級的詳細數據 |
| RiskState |
字串 |
指出帳戶目前是否處於風險狀態,或是否已補救風險 |
| SAMAccountName |
字串 |
帳戶的 SAM 帳戶名稱。 |
| ServicePrincipals |
dynamic |
用戶所擁有的 Azure AD 服務主體 |
| SourceSystem |
字串 |
收集事件的代理程序類型。 例如,OpsManager針對 Windows 代理程式,無論是直接連線或 Operations Manager,Linux適用於所有 Linux 代理程式,或Azure針對 Azure 診斷 |
| 州 (縣/市) |
字串 |
AAD 中所定義的用戶帳戶地理狀態 |
| StreetAddress |
字串 |
AAD 中所定義用戶帳戶的辦公室街道位址 |
| 姓氏 |
字串 |
用戶帳戶姓氏 |
| 標籤 |
字串 |
用戶帳戶的相關信息對於調查很重要:敏感性\ VIP\ 系統管理員 |
| TenantId |
字串 |
Log Analytics 工作區標識符 |
| TimeGenerated |
Datetime |
產生事件的時間(UTC) |
| 型別 |
string |
資料表的名稱 |
| UACFlags |
字串 |
AD 和 AAD 的使用者存取控制旗標 |
| UserAccountControl |
dynamic |
AD 網域中用戶帳戶的安全性屬性 |
| UserState |
字串 |
帳戶 AAD 中的目前狀態 (Active/Disabled/Dormant/Lockout) |
| UserStateChangedOn |
Datetime |
上次帳戶狀態變更的日期(UTC) |
| UserType |
字串 |
Azure AD 中顯示的用戶類型 |