IdentityInfo
Эта таблица заполняется UEBA Azure Sentinel со всеми сведениями об удостоверениях пользователей. Его можно использовать для сопоставления сведений о пользователях и аналитических сведений с аналитическими или охотничьими запросами.
Атрибуты таблицы
| attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Категории | - |
| Решения | BehaviorAnalyticsInsights |
| Базовый журнал | Нет |
| Преобразование во время приема | Да |
| Примеры запросов | - |
Столбцы
| Столбец | Type | Описание |
|---|---|---|
| AccountCloudSID | строка | Идентификатор безопасности Azure AD учетной записи |
| AccountCreationTime | DATETIME | Дата создания учетной записи пользователя (UTC) |
| AccountDisplayName | строка | Отображаемое имя учетной записи пользователя |
| AccountDomain | строка | Доменное имя учетной записи пользователя |
| AccountName | строка | Имя пользователя учетной записи |
| AccountObjectId | строка | Идентификатор объекта Azure Active Directory для учетной записи |
| AccountSID | строка | Локальный идентификатор безопасности учетной записи |
| AccountTenantId | строка | Идентификатор клиента Azure Active Directory учетной записи |
| AccountUPN | строка | Имя субъекта-пользователя учетной записи |
| AdditionalMailAddresses | Динамический | Дополнительные адреса электронной почты пользователя |
| Приложения | строка | Все известные приложения, к которые обращается эта учетная запись пользователя |
| AssignedRoles | Динамический | Роли AAD, которым назначена учетная запись пользователя |
| _BilledSize | real | Размер записи в байтах |
| BlastRadius | строка | Потенциальное влияние учетной записи пользователя в организации (низкое,среднее/высокое) |
| ChangeSource | строка | Источник последнего изменения сущности |
| City | строка | Город учетной записи пользователя, определенный в AAD |
| CompanyName | строка | Название компании, в которой работает пользователь. |
| Страна или регион | строка | Страна учетной записи пользователя, определенная в AAD |
| DeletedDateTime | DATETIME | Дата и время удаления пользователя |
| отдел; | строка | Отдел учетных записей пользователей, как определено в AAD |
| Employeeid | строка | Идентификатор сотрудника, назначенный пользователю организацией |
| EntityRiskScore | Динамический | Оценка риска сущности в рамках процесса оценки UEBA |
| ExtensionProperty | Динамический | Поля ExtensionProperty из Azure AD |
| GivenName | строка | Имя учетной записи пользователя |
| GroupMembership | Динамический | Azure AD Группы, участником является учетная запись пользователя |
| InvestigationPriority | INT | Оценка приоритета исследования учетной записи |
| InvestigationPriorityPercentile | INT | Оценка учетной записи по сравнению с организацией |
| IsAccountEnabled | bool | Указание того, включена ли учетная запись в AAD |
| _IsBillable | строка | Указывает, взимается ли плата за прием данных. Если _IsBillable прием false не выставляется в вашей учетной записи Azure |
| IsMFARegistered | bool | Указание того, зарегистрирована ли многофакторная проверка подлинности для этой учетной записи пользователя |
| IsServiceAccount | bool | Учетная запись является учетной записью службы. |
| Название должности | строка | Должность учетной записи пользователя, определенная в AAD. |
| LastSeenDate | DATETIME | Дата последнего действия, наблюдаемого в этой учетной записи |
| MailAddress | строка | Основной адрес электронной почты учетной записи пользователя |
| Manager | строка | Псевдоним диспетчера учетных записей пользователей |
| OnPremisesDistinguishedName | строка | Различающееся имя (DN) Active Directory. DN — это последовательность относительных различающихся имен (RDN), соединенных запятыми. |
| OnPremisesExtensionAttributes | строка | Поле OnPremisesExtensionAttributes из Azure AD |
| Номер телефона | строка | Номер телефона учетной записи пользователя, определенный в AAD. |
| Связанные Учетные записи | Динамический | Различные учетные записи, связанные с определенным пользователем |
| RiskLevel | строка | Уровень риска AAD (низкий,средний/высокий) учетной записи пользователя |
| RiskLevelDetails | строка | Сведения об уровне риска AAD |
| RiskState | строка | Указание того, находится ли учетная запись под угрозой сейчас или был ли устранен риск |
| SAMAccountName | строка | Имя учетной записи SAM учетной записи. |
| ServicePrincipals | Динамический | Azure AD субъектов-служб, принадлежащих пользователю |
| SourceSystem | строка | Тип агента, с помощью который было собрано событие. Например, OpsManager для агента Windows— прямое подключение или Operations Manager, Linux для всех агентов Linux или Azure для Диагностика Azure |
| Состояние | строка | Географическое состояние учетной записи пользователя, определенное в AAD. |
| StreetAddress | строка | Почтовый адрес офиса учетной записи пользователя, как определено в AAD. |
| Surname | строка | Фамилия учетной записи пользователя |
| Теги | строка | Важная информация об учетной записи пользователя, которая важна для исследования: Sensitive\VIP\Administrator |
| TenantId | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | DATETIME | Время создания события (UTC) |
| Тип | строка | Имя таблицы. |
| UACFlags | строка | Флаги управления доступом пользователей из AD & AAD |
| UserAccountControl | Динамический | Атрибуты безопасности учетной записи пользователя в домене AD |
| UserState | строка | Текущее состояние учетной записи в AAD (Active/Disabled/Dormant/Lockout) |
| UserStateChangedOn | DATETIME | Дата последнего изменения состояния учетной записи (UTC) |
| UserType | строка | Тип пользователя, как показано в Azure AD |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по