IdentityInfo
Эта таблица заполняется UEBA Azure Sentinel со всеми сведениями об удостоверениях пользователей. Его можно использовать для сопоставления сведений о пользователях и аналитических сведений с аналитическими или охотничьими запросами.
Атрибуты таблицы
attribute | Значение |
---|---|
Типы ресурсов | - |
Категории | - |
Решения | BehaviorAnalyticsInsights |
Базовый журнал | Нет |
Преобразование во время приема | Да |
Примеры запросов | - |
Столбцы
Столбец | Type | Описание |
---|---|---|
AccountCloudSID | строка | Идентификатор безопасности Azure AD учетной записи |
AccountCreationTime | DATETIME | Дата создания учетной записи пользователя (UTC) |
AccountDisplayName | строка | Отображаемое имя учетной записи пользователя |
AccountDomain | строка | Доменное имя учетной записи пользователя |
AccountName | строка | Имя пользователя учетной записи |
AccountObjectId | строка | Идентификатор объекта Azure Active Directory для учетной записи |
AccountSID | строка | Локальный идентификатор безопасности учетной записи |
AccountTenantId | строка | Идентификатор клиента Azure Active Directory учетной записи |
AccountUPN | строка | Имя субъекта-пользователя учетной записи |
AdditionalMailAddresses | Динамический | Дополнительные адреса электронной почты пользователя |
Приложения | строка | Все известные приложения, к которые обращается эта учетная запись пользователя |
AssignedRoles | Динамический | Роли AAD, которым назначена учетная запись пользователя |
_BilledSize | real | Размер записи в байтах |
BlastRadius | строка | Потенциальное влияние учетной записи пользователя в организации (низкое,среднее/высокое) |
ChangeSource | строка | Источник последнего изменения сущности |
City | строка | Город учетной записи пользователя, определенный в AAD |
CompanyName | строка | Название компании, в которой работает пользователь. |
Страна или регион | строка | Страна учетной записи пользователя, определенная в AAD |
DeletedDateTime | DATETIME | Дата и время удаления пользователя |
отдел; | строка | Отдел учетных записей пользователей, как определено в AAD |
Employeeid | строка | Идентификатор сотрудника, назначенный пользователю организацией |
EntityRiskScore | Динамический | Оценка риска сущности в рамках процесса оценки UEBA |
ExtensionProperty | Динамический | Поля ExtensionProperty из Azure AD |
GivenName | строка | Имя учетной записи пользователя |
GroupMembership | Динамический | Azure AD Группы, участником является учетная запись пользователя |
InvestigationPriority | INT | Оценка приоритета исследования учетной записи |
InvestigationPriorityPercentile | INT | Оценка учетной записи по сравнению с организацией |
IsAccountEnabled | bool | Указание того, включена ли учетная запись в AAD |
_IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
IsMFARegistered | bool | Указание того, зарегистрирована ли многофакторная проверка подлинности для этой учетной записи пользователя |
IsServiceAccount | bool | Учетная запись является учетной записью службы. |
Название должности | строка | Должность учетной записи пользователя, определенная в AAD. |
LastSeenDate | DATETIME | Дата последнего действия, наблюдаемого в этой учетной записи |
MailAddress | строка | Основной адрес электронной почты учетной записи пользователя |
Manager | строка | Псевдоним диспетчера учетных записей пользователей |
OnPremisesDistinguishedName | строка | Различающееся имя (DN) Active Directory. DN — это последовательность относительных различающихся имен (RDN), соединенных запятыми. |
OnPremisesExtensionAttributes | строка | Поле OnPremisesExtensionAttributes из Azure AD |
Номер телефона | строка | Номер телефона учетной записи пользователя, определенный в AAD. |
Связанные Учетные записи | Динамический | Различные учетные записи, связанные с определенным пользователем |
RiskLevel | строка | Уровень риска AAD (низкий,средний/высокий) учетной записи пользователя |
RiskLevelDetails | строка | Сведения об уровне риска AAD |
RiskState | строка | Указание того, находится ли учетная запись под угрозой сейчас или был ли устранен риск |
SAMAccountName | строка | Имя учетной записи SAM учетной записи. |
ServicePrincipals | Динамический | Azure AD субъектов-служб, принадлежащих пользователю |
SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
Состояние | строка | Географическое состояние учетной записи пользователя, определенное в AAD. |
StreetAddress | строка | Почтовый адрес офиса учетной записи пользователя, как определено в AAD. |
Surname | строка | Фамилия учетной записи пользователя |
Теги | строка | Важная информация об учетной записи пользователя, которая важна для исследования: Sensitive\VIP\Administrator |
TenantId | строка | Идентификатор рабочей области Log Analytics |
TimeGenerated | DATETIME | Время создания события (UTC) |
Тип | строка | Имя таблицы. |
UACFlags | строка | Флаги управления доступом пользователей из AD & AAD |
UserAccountControl | Динамический | Атрибуты безопасности учетной записи пользователя в домене AD |
UserState | строка | Текущее состояние учетной записи в AAD (Active/Disabled/Dormant/Lockout) |
UserStateChangedOn | DATETIME | Дата последнего изменения состояния учетной записи (UTC) |
UserType | строка | Тип пользователя, как показано в Azure AD |
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по