IdentityInfo
Den här tabellen fylls i av Azure Sentinel UEBA med all information om användarnas identiteter. Den kan användas för att korrelera användarinformation och insikter med analys- eller jaktfrågor.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | - |
| Lösningar | BehaviorAnalyticsInsights |
| Grundläggande logg | No |
| Inmatningstidstransformering | Yes |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Description |
|---|---|---|
| AccountCloudSID | sträng | Kontots Azure AD säkerhetsidentifierare |
| AccountCreationTime | datetime | Det datum då användarkontot skapades (UTC) |
| AccountDisplayName | sträng | Visningsnamnet för användarkontot |
| AccountDomain | sträng | Användarkontots domännamn |
| AccountName | sträng | Användarkontots användarnamn |
| AccountObjectId | sträng | Azure Active Directory-objekt-ID för kontot |
| AccountSID | sträng | Kontots lokala säkerhetsidentifierare |
| AccountTenantId | sträng | Azure Active Directory-klientorganisations-ID för kontot |
| AccountUPN | sträng | Användarens huvudnamn för kontot |
| AdditionalMailAddresses | dynamisk | Ytterligare e-postadresser till användaren |
| Program | sträng | Alla kända program som det här användarkontot har åtkomst till |
| AssignedRoles | dynamisk | AAD-roller som användarkontot tilldelas till |
| _BilledSize | real | Poststorleken i byte |
| BlastRadius | sträng | Den potentiella effekten av användarkontot i organisationen (låg/medel/hög) |
| ChangeSource | sträng | Källan för den senaste ändringen av entiteten |
| City | sträng | Orten för användarkontot enligt definitionen i AAD |
| CompanyName | sträng | Namnet på det företag där användaren arbetar. |
| Land | sträng | Användarkontots land enligt definitionen i AAD |
| DeletedDateTime | datetime | Datum och tid då användaren togs bort |
| Avdelning | sträng | Användarkontoavdelningen enligt definitionen i AAD |
| Employeeid | sträng | Medarbetaridentifieraren som tilldelats användaren av organisationen |
| EntityRiskScore | dynamisk | Riskpoängen för entiteten som en del av UEBA-bedömningsprocessen |
| ExtensionProperty | dynamisk | ExtensionProperty-fält från Azure AD |
| GivenName | sträng | Användarkontots förnamn |
| GroupMembership | dynamisk | Azure AD Grupper som användarkontot är medlem i |
| InvestigationPriority | int | Kontots prioritetspoäng för undersökning |
| InvestigationPriorityPercentile | int | Kontopoängen jämfört med organisationen |
| IsAccountEnabled | boolesk | Ange om kontot är aktiverat i AAD eller inte |
| _IsBillable | sträng | Anger om inmatning av data är fakturerbart. När _IsBillable är false debiteras inte inmatningen till ditt Azure-konto |
| IsMFARegistered | boolesk | Ange om MFA är registrerat för det här användarkontot eller inte |
| IsServiceAccount | boolesk | Kontot är ett tjänstkonto. |
| JobTitle | sträng | Namnet på användarkontots jobb enligt definitionen i AAD |
| LastSeenDate | datetime | Datum för den senaste aktiviteten som observerades i det här kontot |
| MailAddress | sträng | Användarkontots primära e-postadress |
| Ansvarig | sträng | Aliaset för användarkontohanteraren |
| OnPremisesDistinguishedName | sträng | Active Directory distinguished name (DN). Ett DN är en sekvens med relativa unika namn (RDN) som är anslutna med kommatecken. |
| OnPremisesExtensionAttributes | sträng | Fältet OnPremisesExtensionAttributes från Azure AD |
| Telefon | sträng | Användarkontots telefonnummer enligt definitionen i AAD |
| RelatedAccounts | dynamisk | Olika konton som korrelerar med en viss användare |
| RiskLevel | sträng | AAD-risknivån (låg/medel/hög) för användarkontot |
| RiskLevelDetails | sträng | Information om AAD-risknivån |
| RiskState | sträng | Uppgift om kontot är i riskzonen nu eller om risken har åtgärdats |
| SAMAccountName | sträng | KONTOTs SAM-kontonamn. |
| ServicePrincipals | dynamisk | Azure AD tjänstens huvudnamn som ägs av användaren |
| SourceSystem | sträng | Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Tillstånd | sträng | Användarkontots geografiska tillstånd enligt definitionen i AAD |
| StreetAddress | sträng | Office-gatuadressen för användarkontot enligt definitionen i AAD |
| Efternamn | sträng | Användarkontots efternamn |
| Taggar | sträng | Relevant information om användarkontot som är viktigt för undersökning: Sensitive\ VIP\ Administrator |
| TenantId | sträng | Log Analytics-arbetsytans ID |
| TimeGenerated | datetime | Tid då händelsen genererades (UTC) |
| Typ | sträng | Namnet på tabellen |
| UACFlags | sträng | Flaggor för användaråtkomstkontroll från AD & AAD |
| UserAccountControl | dynamisk | Säkerhetsattribut för användarkontot i AD-domänen |
| UserState | sträng | Aktuellt tillstånd i AAD för kontot (aktiv/inaktiverad/vilande/utelåsning) |
| UserStateChangedOn | datetime | Datum för senaste gången kontotillståndet ändrades (UTC) |
| UserType | sträng | Användartypen som visas i Azure AD |
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för