IdentityInfo
Esta tabela é preenchida pelo UEBA do Azure Sentinel com todas as informações de identidades dos seus utilizadores. Pode ser utilizado para correlacionar informações e informações do utilizador com análises ou consultas de investigação.
Atributos de tabela
| Atributo | Valor |
|---|---|
| Tipos de recurso | - |
| Categorias | - |
| Soluções | BehaviorAnalyticsInsights |
| Registo básico | No |
| Transformação do tempo de ingestão | Yes |
| Consultas de Exemplo | - |
Colunas
| Coluna | Tipo | Description |
|---|---|---|
| AccountCloudSID | string | O identificador de segurança Azure AD da conta |
| AccountCreationTime | datetime | A data em que a conta de utilizador foi criada (UTC) |
| AccountDisplayName | string | O nome a apresentar da conta de utilizador |
| AccountDomain | string | Nome de domínio da conta de utilizador |
| AccountName | string | Nome de utilizador da conta |
| AccountObjectId | string | O ID de objeto do Azure Active Directory para a conta |
| AccountSID | string | O identificador de segurança no local da conta |
| AccountTenantId | string | O ID de Inquilino do Azure Active Directory da conta |
| AccountUPN | string | Nome principal de utilizador da conta |
| AdicionalMailAddresses | dynamic | Endereços de e-mail adicionais do utilizador |
| Aplicações | string | Todas as aplicações conhecidas a que esta conta de utilizador acedeu |
| AssignedRoles | dynamic | Funções do AAD às qual a conta de utilizador está atribuída |
| _BilledSize | real | O tamanho do registo em bytes |
| BlastRadius | string | O impacto potencial da conta de utilizador na organização (baixa/média/alta) |
| ChangeSource | string | A origem da alteração mais recente da entidade |
| City | string | A cidade da conta de utilizador, conforme definido no AAD |
| CompanyName | string | O nome da empresa na qual o utilizador trabalha. |
| País | string | O país da conta de utilizador conforme definido no AAD |
| DeletedDateTime | datetime | A data e hora em que o utilizador foi eliminado |
| Departamento | string | O departamento de conta de utilizador, conforme definido no AAD |
| EmployeeId | string | O identificador do funcionário atribuído ao utilizador pela organização |
| EntityRiskScore | dynamic | A classificação de risco da entidade como parte do processo de classificação UEBA |
| ExtensionProperty | dynamic | Campos ExtensionProperty do Azure AD |
| GivenName | string | O nome indicado da conta de utilizador |
| GroupMembership | dynamic | Azure AD Grupos, a conta de utilizador é membro |
| InvestigationPriority | int | A classificação Prioridade de Investigação da conta |
| InvestigationPriorityPercentile | int | A pontuação da conta em comparação com a organização |
| IsAccountEnabled | bool | Indicação se a conta está ativada no AAD ou não |
| _IsBillable | string | Especifica se a ingestão dos dados é faturável. Quando _IsBillable é ingestão não é false faturada na sua conta do Azure |
| IsMFARegistered | bool | Indicação se a MFA está registada para esta conta de utilizador ou não |
| IsServiceAccount | bool | A conta é uma conta de serviço. |
| JobTitle | string | O cargo de conta de utilizador conforme definido no AAD |
| LastSeenDate | datetime | Data da última atividade observada nesta conta |
| MailAddress | string | O endereço de e-mail principal da conta de utilizador |
| Gestor | string | O alias do gestor de contas de utilizador |
| OnPremisesDistinguishedName | string | Nome único (DN) do Active Directory. Um DN é uma sequência de nomes distintos relativos (RDN) ligados por vírgulas. |
| OnPremisesExtensionAttributes | string | Campo OnPremisesExtensionAttributes do Azure AD |
| Telefone | string | O número de telefone da conta de utilizador conforme definido no AAD |
| RelatedAccounts | dynamic | Várias contas que estão correlacionadas com um determinado utilizador |
| RiskLevel | string | O nível de risco do AAD (Baixo/Médio/Alto) da conta de utilizador |
| RiskLevelDetails | string | Detalhes sobre o nível de risco do AAD |
| RiskState | string | Indicação se a conta está em risco agora ou se o risco foi remediado |
| SAMAccountName | string | O nome da conta SAM da conta. |
| ServicePrincipals | dynamic | Azure AD principais de serviço pertencentes ao utilizador |
| SourceSystem | string | O tipo de agente pelo que o evento foi recolhido. Por exemplo, para o OpsManager agente do Windows, ligação direta ou Operations Manager, Linux para todos os agentes linux ou Azure para Diagnóstico do Azure |
| Estado | string | O estado geográfico da conta de utilizador conforme definido no AAD |
| StreetAddress | string | O endereço de rua do office da conta de utilizador conforme definido no AAD |
| Apelido | string | O sobrenome da conta de utilizador |
| Etiquetas | string | Informações relevantes sobre a conta de utilizador que é importante para investigação: Sensível\ Administrador VIP\ |
| TenantId | string | O ID da área de trabalho do Log Analytics |
| TimeGenerated | datetime | Hora em que o evento foi gerado (UTC) |
| Tipo | string | O nome da tabela |
| UACFlags | string | Sinalizadores de controlo do Acesso de Utilizadores do AD & AAD |
| UserAccountControl | dynamic | Atributos de segurança da conta de utilizador no domínio do AD |
| UserState | string | O estado atual no AAD da conta (Ativo/Desativado/Dormente/Bloqueio) |
| UserStateChangedOn | datetime | Data da última vez que o estado da conta foi alterado (UTC) |
| UserType | string | O tipo de utilizador, tal como aparece no Azure AD |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários