IdentityInfo
이 테이블은 Azure Sentinel UEBA에 의해 모든 사용자 ID 정보로 채워집니다. 사용자 정보 및 인사이트를 분석 또는 헌팅 쿼리와 상호 연결하는 데 사용할 수 있습니다.
테이블 특성
| attribute |
값 |
| 리소스 종류 |
- |
| 범주 |
- |
| 솔루션 |
BehaviorAnalyticsInsights |
| 기본 로그 |
아니요 |
| 수집 시간 변환 |
예 |
| 샘플 쿼리 |
- |
열
| Column |
Type |
설명 |
| AccountCloudSID |
string |
계정의 Azure AD 보안 식별자 |
| AccountCreationTime |
날짜/시간 |
사용자 계정을 만든 날짜(UTC) |
| AccountDisplayName |
string |
사용자 계정 표시 이름 |
| AccountDomain |
string |
사용자 계정의 도메인 이름 |
| AccountName |
string |
계정의 사용자 이름 |
| AccountObjectId |
string |
계정에 대한 Azure Active Directory 개체 ID |
| AccountSID |
string |
계정의 온-프레미스 보안 식별자 |
| AccountTenantId |
string |
계정의 Azure Active Directory 테넌트 ID |
| AccountUPN |
string |
계정의 사용자 계정 이름 |
| AdditionalMailAddresses |
dynamic |
사용자의 추가 전자 메일 주소 |
| 애플리케이션 |
string |
이 사용자 계정에 액세스한 알려진 모든 애플리케이션 |
| AssignedRoles |
dynamic |
사용자 계정이 할당된 AAD 역할 |
| _BilledSize |
real |
레코드 크기(바이트) |
| BlastRadius |
string |
조직에서 사용자 계정의 잠재적 영향(낮음/중간/높음) |
| ChangeSource |
string |
엔터티의 최신 변경 원본 |
| 시 |
string |
AAD에 정의된 사용자 계정의 도시 |
| CompanyName |
string |
사용자가 작동하는 회사의 이름입니다. |
| 국가 |
string |
AAD에 정의된 사용자 계정의 국가 |
| DeletedDateTime |
날짜/시간 |
사용자가 삭제된 날짜 및 시간 |
| 부서 |
string |
AAD에 정의된 사용자 계정 부서 |
| EmployeeId |
string |
조직에서 사용자에게 할당한 직원 식별자 |
| EntityRiskScore |
dynamic |
UEBA 점수 매기기 프로세스의 일부로 엔터티의 위험 점수 |
| ExtensionProperty |
dynamic |
Azure AD의 ExtensionProperty 필드 |
| GivenName |
string |
지정된 이름에 대한 사용자 계정 |
| GroupMembership |
dynamic |
사용자 계정이 멤버인 Azure AD 그룹 |
| InvestigationPriority |
int |
계정의 조사 우선 순위 점수 |
| InvestigationPriorityPercentile |
int |
조직과 비교한 계정 점수 |
| IsAccountEnabled |
bool |
AAD에서 계정을 사용할 수 있는지 여부를 표시합니다. |
| _IsBillable |
string |
데이터 수집이 청구 가능한지 여부를 지정합니다. _IsBillable 수집 시 false Azure 계정에 대한 요금이 청구되지 않습니다. |
| IsMFARegistered |
bool |
이 사용자 계정에 대해 MFA가 등록되었는지 여부를 표시합니다. |
| IsServiceAccount |
bool |
계정이 서비스 계정입니다. |
| JobTitle |
string |
AAD에 정의된 사용자 계정 작업 제목 |
| LastSeenDate |
날짜/시간 |
이 계정에서 관찰된 마지막 작업의 날짜 |
| MailAddress |
string |
사용자 계정 기본 메일 주소 |
| Manager |
string |
사용자 계정 관리자 별칭 |
| OnPremisesDistinguishedName |
string |
Active Directory DN(고유 이름)입니다. DN은 쉼표로 연결된 RDN(상대 고유 이름) 시퀀스입니다. |
| OnPremisesExtensionAttributes |
string |
Azure AD의 OnPremisesExtensionAttributes 필드 |
| 전화 |
string |
AAD에 정의된 사용자 계정의 전화 번호 |
| RelatedAccounts |
dynamic |
특정 사용자와 상호 관련된 다양한 계정 |
| RiskLevel |
string |
사용자 계정의 AAD 위험 수준(낮음/중간/높음) |
| RiskLevelDetails |
string |
AAD 위험 수준에 대한 세부 정보 |
| RiskState |
string |
계정이 현재 위험에 처해 있는지 또는 위험이 수정되었는지 여부를 표시합니다. |
| SAMAccountName |
string |
계정의 SAM 계정 이름입니다. |
| ServicePrincipals |
dynamic |
사용자가 소유한 Azure AD 서비스 주체 |
| SourceSystem |
string |
이벤트가 수집된 에이전트의 유형입니다. 예를 들어 OpsManager Windows 에이전트의 경우 직접 연결 또는 Operations Manager, Linux 모든 Linux 에이전트 또는 Azure Azure Diagnostics용 |
| State(상태) |
string |
AAD에 정의된 사용자 계정의 지리적 상태 |
| StreetAddress |
string |
AAD에 정의된 사용자 계정의 사무실 주소 |
| Surname |
string |
사용자 계정 성 |
| 태그 |
string |
조사에 중요한 사용자 계정에 대한 관련 정보: Sensitive\ VIP\ Administrator |
| TenantId |
string |
Log Analytics 작업 영역 ID |
| TimeGenerated |
날짜/시간 |
이벤트가 생성된 시간(UTC) |
| Type |
string |
테이블의 이름입니다. |
| UACFlags |
string |
AD 및 AAD의 사용자 액세스 제어 플래그 |
| UserAccountControl |
dynamic |
AD 도메인에 있는 사용자 계정의 보안 특성 |
| UserState |
string |
계정의 AAD에 있는 현재 상태(활성/사용 안 함/휴면/잠금) |
| UserStateChangedOn |
날짜/시간 |
계정 상태가 마지막으로 변경된 날짜(UTC) |
| UserType |
string |
Azure AD에 표시되는 사용자 유형 |