IdentityInfo

Diese Tabelle wird von Azure Sentinel UEBA mit allen Identitätsinformationen Ihrer Benutzer aufgefüllt. Es kann verwendet werden, um Benutzerinformationen und Erkenntnisse mit Analyse- oder Suchabfragen zu korrelieren.

Tabellenattribute

attribute Wert
Ressourcentypen -
Kategorien -
Lösungen BehaviorAnalyticsInsights
Standardprotokoll No
Erfassungszeittransformation Ja
Beispielabfragen -

Spalten

Spalte Type BESCHREIBUNG
AccountCloudSID Zeichenfolge Der Azure AD-Sicherheitsbezeichner des Kontos
AccountCreationTime datetime Das Datum, an dem das Benutzerkonto erstellt wurde (UTC)
AccountDisplayName Zeichenfolge Der Anzeigename des Benutzerkontos
AccountDomain Zeichenfolge Domänenname des Benutzerkontos
AccountName Zeichenfolge Benutzername des Kontos
AccountObjectId Zeichenfolge Die Azure Active Directory-Objekt-ID für das Konto
AccountSID Zeichenfolge Der lokale Sicherheitsbezeichner des Kontos
AccountTenantId Zeichenfolge Die Azure Active Directory-Mandanten-ID des Kontos
AccountUPN Zeichenfolge Benutzerprinzipalname des Kontos
AdditionalMailAddresses dynamisch Weitere E-Mail-Adressen des Benutzers
Anwendungen Zeichenfolge Alle bekannten Anwendungen, auf die dieses Benutzerkonto zugegriffen hat
AssignedRoles dynamisch AAD-Rollen, denen das Benutzerkonto zugewiesen ist
_BilledSize real Die Datensatzgröße in Bytes.
BlastRadius Zeichenfolge Mögliche Auswirkungen des Benutzerkontos in der Organisation (niedrig/mittel/hoch)
ChangeSource Zeichenfolge Die Quelle der letzten Änderung der Entität
Ort Zeichenfolge Die Stadt des Benutzerkontos gemäß der Definition in AAD
CompanyName Zeichenfolge Der Name für das Unternehmen, in dem der Benutzer arbeitet.
Land Zeichenfolge Das Land des Benutzerkontos gemäß der Definition in AAD
DeletedDateTime datetime Datum und Uhrzeit, zu dem der Benutzer gelöscht wurde
Abteilung Zeichenfolge Die Benutzerkontoabteilung gemäß der Definition in AAD
EmployeeId Zeichenfolge Die dem Benutzer von der Organisation zugewiesene Mitarbeiter-ID
EntityRiskScore dynamisch Die Risikobewertung der Entität als Teil des UEBA-Bewertungsprozesses
ExtensionProperty dynamisch ExtensionProperty-Felder aus Azure AD
GivenName Zeichenfolge Der Angegebene Name des Benutzerkontos
GroupMembership dynamisch Azure AD groups the user account is a member
InvestigationPriority int Die Bewertung der Untersuchungspriorität des Kontos
InvestigationPriorityPercentile int Die Kontobewertung im Vergleich zur Organisation
IsAccountEnabled bool Angabe, ob das Konto in AAD aktiviert ist oder nicht
_IsBillable Zeichenfolge Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable aufgenommen wird false , wird Ihrem Azure-Konto nicht in Rechnung gestellt.
IsMFARegistered bool Angabe, ob MFA für dieses Benutzerkonto registriert ist oder nicht
IsServiceAccount bool Das Konto ist ein Dienstkonto.
JobTitle Zeichenfolge Die Position des Benutzerkontos gemäß der Definition in AAD
LastSeenDate datetime Datum der letzten In diesem Konto beobachteten Aktivität
MailAddress Zeichenfolge Das Benutzerkonto primäre E-Mail-Adresse
Manager Zeichenfolge Der Alias des Benutzerkonten-Managers
OnPremisesDistinguishedName Zeichenfolge Active Directory Distinguished Name (DN). Ein DN ist eine Sequenz relativer Distinguished Names (RDN), die durch Kommas verbunden sind.
OnPremisesExtensionAttributes Zeichenfolge OnPremisesExtensionAttributes-Feld aus Azure AD
Telefonnummer Zeichenfolge Die Telefonnummer des Benutzerkontos gemäß der Definition in AAD
RelatedAccounts dynamisch Verschiedene Konten, die mit einem bestimmten Benutzer korrelieren
RiskLevel Zeichenfolge Das AAD-Risikoniveau (Niedrig/Mittel/Hoch) des Benutzerkontos
RiskLevelDetails Zeichenfolge Details zum AAD-Risikoniveau
RiskState Zeichenfolge Gibt an, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde
SAMAccountName Zeichenfolge Der SAM-Kontoname des Kontos.
ServicePrincipals dynamisch Azure AD-Dienstprinzipale, die dem Benutzer gehören
SourceSystem Zeichenfolge Der Typ des Agents, von dem das Ereignis erfasst wurde. For example, for Windows agent, OpsManager either direct connect or Operations Manager, for all Linux agents, Linux or Azure for Azure-Diagnose
Status Zeichenfolge Der geografische Zustand des Benutzerkontos gemäß der Definition in AAD
StreetAddress Zeichenfolge Die Bürostraße des Benutzerkontos gemäß der Definition in AAD
Vorname Zeichenfolge Der Nachname des Benutzerkontos
Tags Zeichenfolge Relevante Informationen zum Benutzerkonto, das für die Untersuchung wichtig ist: Vertraulich\ VIP\ Administrator
TenantId Zeichenfolge Die ID des Log Analytics-Arbeitsbereichs.
TimeGenerated datetime Zeitpunkt, zu dem das Ereignis generiert wurde (UTC)
type Zeichenfolge Der Name der Tabelle.
UACFlags Zeichenfolge Benutzerzugriffssteuerungskennzeichnungen aus AD & AAD
UserAccountControl dynamisch Sicherheitsattribute des Benutzerkontos in der AD-Domäne
UserState Zeichenfolge Der aktuelle Status in AAD des Kontos (Aktiv/Deaktiviert/Ruhezustand/Sperrung)
UserStateChangedOn datetime Datum der letzten Änderung des Kontostatus (UTC)
UserType Zeichenfolge Der Benutzertyp wird in Azure AD angezeigt.