IdentityInfo
Den här tabellen fylls i av Azure Sentinel UEBA med all information om användarnas identiteter. Den kan användas för att korrelera användarinformation och insikter med analys- eller jaktfrågor.
Tabellattribut
Attribut | Värde |
---|---|
Resurstyper | - |
Kategorier | - |
Lösningar | BehaviorAnalyticsInsights |
Grundläggande logg | No |
Inmatningstidstransformering | Yes |
Exempelfrågor | - |
Kolumner
Kolumn | Typ | Description |
---|---|---|
AccountCloudSID | sträng | Kontots Azure AD säkerhetsidentifierare |
AccountCreationTime | datetime | Det datum då användarkontot skapades (UTC) |
AccountDisplayName | sträng | Visningsnamnet för användarkontot |
AccountDomain | sträng | Användarkontots domännamn |
AccountName | sträng | Användarkontots användarnamn |
AccountObjectId | sträng | Azure Active Directory-objekt-ID för kontot |
AccountSID | sträng | Kontots lokala säkerhetsidentifierare |
AccountTenantId | sträng | Azure Active Directory-klientorganisations-ID för kontot |
AccountUPN | sträng | Användarens huvudnamn för kontot |
AdditionalMailAddresses | dynamisk | Ytterligare e-postadresser till användaren |
Program | sträng | Alla kända program som det här användarkontot har åtkomst till |
AssignedRoles | dynamisk | AAD-roller som användarkontot tilldelas till |
_BilledSize | real | Poststorleken i byte |
BlastRadius | sträng | Den potentiella effekten av användarkontot i organisationen (låg/medel/hög) |
ChangeSource | sträng | Källan för den senaste ändringen av entiteten |
City | sträng | Orten för användarkontot enligt definitionen i AAD |
CompanyName | sträng | Namnet på det företag där användaren arbetar. |
Land | sträng | Användarkontots land enligt definitionen i AAD |
DeletedDateTime | datetime | Datum och tid då användaren togs bort |
Avdelning | sträng | Användarkontoavdelningen enligt definitionen i AAD |
Employeeid | sträng | Medarbetaridentifieraren som tilldelats användaren av organisationen |
EntityRiskScore | dynamisk | Riskpoängen för entiteten som en del av UEBA-bedömningsprocessen |
ExtensionProperty | dynamisk | ExtensionProperty-fält från Azure AD |
GivenName | sträng | Användarkontots förnamn |
GroupMembership | dynamisk | Azure AD Grupper som användarkontot är medlem i |
InvestigationPriority | int | Kontots prioritetspoäng för undersökning |
InvestigationPriorityPercentile | int | Kontopoängen jämfört med organisationen |
IsAccountEnabled | boolesk | Ange om kontot är aktiverat i AAD eller inte |
_IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
IsMFARegistered | boolesk | Ange om MFA är registrerat för det här användarkontot eller inte |
IsServiceAccount | boolesk | Kontot är ett tjänstkonto. |
JobTitle | sträng | Namnet på användarkontots jobb enligt definitionen i AAD |
LastSeenDate | datetime | Datum för den senaste aktiviteten som observerades i det här kontot |
MailAddress | sträng | Användarkontots primära e-postadress |
Ansvarig | sträng | Aliaset för användarkontohanteraren |
OnPremisesDistinguishedName | sträng | Active Directory distinguished name (DN). Ett DN är en sekvens med relativa unika namn (RDN) som är anslutna med kommatecken. |
OnPremisesExtensionAttributes | sträng | Fältet OnPremisesExtensionAttributes från Azure AD |
Telefon | sträng | Användarkontots telefonnummer enligt definitionen i AAD |
RelatedAccounts | dynamisk | Olika konton som korrelerar med en viss användare |
RiskLevel | sträng | AAD-risknivån (låg/medel/hög) för användarkontot |
RiskLevelDetails | sträng | Information om AAD-risknivån |
RiskState | sträng | Uppgift om kontot är i riskzonen nu eller om risken har åtgärdats |
SAMAccountName | sträng | KONTOTs SAM-kontonamn. |
ServicePrincipals | dynamisk | Azure AD tjänstens huvudnamn som ägs av användaren |
SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
Tillstånd | sträng | Användarkontots geografiska tillstånd enligt definitionen i AAD |
StreetAddress | sträng | Office-gatuadressen för användarkontot enligt definitionen i AAD |
Efternamn | sträng | Användarkontots efternamn |
Taggar | sträng | Relevant information om användarkontot som är viktigt för undersökning: Sensitive\ VIP\ Administrator |
TenantId | sträng | Log Analytics-arbetsytans ID |
TimeGenerated | datetime | Tid då händelsen genererades (UTC) |
Typ | sträng | Namnet på tabellen |
UACFlags | sträng | Flaggor för användaråtkomstkontroll från AD & AAD |
UserAccountControl | dynamisk | Säkerhetsattribut för användarkontot i AD-domänen |
UserState | sträng | Aktuellt tillstånd i AAD för kontot (aktiv/inaktiverad/vilande/utelåsning) |
UserStateChangedOn | datetime | Datum för senaste gången kontotillståndet ändrades (UTC) |
UserType | sträng | Användartypen som visas i Azure AD |
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för