IdentityInfo
Ta tabela jest wypełniana przez usługę Azure Sentinel UEBA ze wszystkimi informacjami o tożsamościach użytkowników. Może służyć do korelowania informacji o użytkowniku i szczegółowych informacji za pomocą zapytań analitycznych lub wyszukiwania zagrożeń.
Atrybuty tabeli
Atrybut | Wartość |
---|---|
Typy zasobów | - |
Kategorie | - |
Rozwiązania | BehaviorAnalyticsInsights |
Dziennik podstawowy | Nie |
Przekształcanie czasu pozyskiwania | Tak |
Przykładowe zapytania | - |
Kolumny
Kolumna | Typ | Opis |
---|---|---|
AccountCloudSID | ciąg | Identyfikator zabezpieczeń Azure AD konta |
AccountCreationTime | datetime | Data utworzenia konta użytkownika (UTC) |
AccountDisplayName | ciąg | Nazwa wyświetlana konta użytkownika |
AccountDomain | ciąg | Nazwa domeny konta użytkownika |
AccountName | ciąg | Nazwa użytkownika konta |
AccountObjectId | ciąg | Identyfikator obiektu usługi Azure Active Directory dla konta |
AccountSID | ciąg | Lokalny identyfikator zabezpieczeń konta |
AccountTenantId | ciąg | Identyfikator dzierżawy usługi Azure Active Directory konta |
AccountUPN | ciąg | Główna nazwa użytkownika konta |
AdditionalMailAddresses | dynamiczna | Dodatkowe adresy e-mail użytkownika |
Aplikacje | ciąg | Wszystkie znane aplikacje, do których uzyskiwano dostęp do tego konta użytkownika |
Przypisanerole | dynamiczna | Role usługi AAD przypisane do konta użytkownika |
_BilledSize | liczba rzeczywista | Rozmiar rekordu w bajtach |
BlastRadius | ciąg | Potencjalny wpływ konta użytkownika w organizacji (niski/średni/wysoki) |
ChangeSource | ciąg | Źródło najnowszej zmiany jednostki |
City (Miasto) | ciąg | Miasto konta użytkownika zdefiniowane w usłudze AAD |
CompanyName | ciąg | Nazwa firmy, w której pracuje użytkownik. |
Kraj | ciąg | Kraj konta użytkownika zgodnie z definicją w usłudze AAD |
DeletedDateTime | datetime | Data i godzina usunięcia użytkownika |
Dział | ciąg | Dział konta użytkownika zdefiniowany w usłudze AAD |
Idpracownika | ciąg | Identyfikator pracownika przypisany do użytkownika przez organizację |
EntityRiskScore | dynamiczna | Wskaźnik ryzyka jednostki w ramach procesu oceniania UEBA |
ExtensionProperty | dynamiczna | Pola extensionProperty z Azure AD |
GivenName | ciąg | Nazwa konta użytkownika |
GroupMembership | dynamiczna | Azure AD Grupuje konto użytkownika jest członkiem |
Element InvestigationPriority | int | Wskaźnik priorytetu badania konta |
InvestigationPriorityPercentile | int | Wynik konta w porównaniu z organizacją |
IsAccountEnabled | bool | Wskazanie, czy konto jest włączone w usłudze AAD, czy nie |
_IsBillable | ciąg | Określa, czy pozyskiwanie danych jest rozliczane. Jeśli pozyskiwanie _IsBillable false nie jest rozliczane na koncie platformy Azure |
IsMFARegistered | bool | Wskazanie, czy uwierzytelnianie wieloskładnikowe jest zarejestrowane dla tego konta użytkownika, czy nie |
IsServiceAccount | bool | Konto jest kontem usługi. |
JobTitle | ciąg | Stanowisko konta użytkownika zdefiniowane w usłudze AAD |
LastSeenDate | datetime | Data ostatniego działania zaobserwowanego na tym koncie |
Mailaddress | ciąg | Podstawowy adres e-mail konta użytkownika |
Menedżer | ciąg | Alias menedżera kont użytkowników |
OnPremisesDistinguishedName | ciąg | Nazwa wyróżniająca usługi Active Directory. Nazwa wyróżniająca to sekwencja względnych nazw wyróżniających (RDN) połączonych przecinkami. |
OnPremisesExtensionAttributes | ciąg | Pole OnPremisesExtensionAttributes z Azure AD |
Telefon | ciąg | Numer telefonu konta użytkownika zgodnie z definicją w usłudze AAD |
Powiązane konta | dynamiczna | Różne konta skorelowane z określonym użytkownikiem |
RiskLevel | ciąg | Poziom ryzyka usługi AAD (niski/średni/wysoki) konta użytkownika |
RiskLevelDetails | ciąg | Szczegóły dotyczące poziomu ryzyka usługi AAD |
RiskState | ciąg | Wskazanie, czy konto jest teraz zagrożone lub czy ryzyko zostało skorygowane |
Samaccountname | ciąg | Nazwa konta SAM konta. |
ServicePrincipals | dynamiczna | Azure AD jednostek usługi, które są własnością użytkownika |
SourceSystem | ciąg | Typ agenta, przez którego zostało zebrane zdarzenie. Na przykład OpsManager w przypadku agenta systemu Windows bezpośrednie połączenie lub program Operations Manager Linux dla wszystkich agentów systemu Linux lub Azure dla Diagnostyka Azure |
Stan | ciąg | Stan geograficzny konta użytkownika zgodnie z definicją w usłudze AAD |
Streetaddress | ciąg | Adres ulicy biura konta użytkownika zgodnie z definicją w usłudze AAD |
Nazwisko | ciąg | Nazwisko konta użytkownika |
Tagi | ciąg | Istotne informacje dotyczące konta użytkownika, które jest ważne do zbadania: Poufne\ VIP\ Administrator |
TenantId | ciąg | Identyfikator obszaru roboczego usługi Log Analytics |
TimeGenerated | datetime | Godzina wygenerowania zdarzenia (UTC) |
Typ | ciąg | Nazwa tabeli |
Opóźnienie funkcji kontrola konta użytkownika | ciąg | Flagi kontroli dostępu użytkowników z usługi AD & AAD |
Useraccountcontrol | dynamiczna | Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD |
Userstate | ciąg | Bieżący stan w usłudze AAD konta (Aktywne/Wyłączone/Uśpiony/Blokada) |
UserStateChangedOn | datetime | Data ostatniej zmiany stanu konta (UTC) |
UserType | ciąg | Typ użytkownika wyświetlany w Azure AD |
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla