| AccountCloudSID |
sträng |
Azure AD-säkerhetsidentifieraren för kontot |
| AccountCreationTime |
datetime |
Det datum då användarkontot skapades (UTC) |
| AccountDisplayName |
sträng |
Visningsnamnet för användarkontot |
| AccountDomain |
sträng |
Användarkontots domännamn |
| AccountName |
sträng |
Användarkontots namn |
| AccountObjectId |
sträng |
Azure Active Directory-objekt-ID för kontot |
| AccountSID |
sträng |
Kontots lokala säkerhetsidentifierare |
| AccountTenantId |
sträng |
Azure Active Directory-klientorganisations-ID för kontot |
| AccountUPN |
sträng |
Användarens huvudnamn för kontot |
| AdditionalMailAddresses |
dynamisk |
Ytterligare e-postadresser till användaren |
| Appar |
sträng |
Alla kända program som det här användarkontot har åtkomst till |
| AssignedRoles |
dynamisk |
AAD-roller som användarkontot tilldelas till |
| _BilledSize |
real |
Poststorleken i byte |
| BlastRadius |
sträng |
Den potentiella effekten av användarkontot i organisationen (låg/medel/hög) |
| ChangeSource |
sträng |
Källan till den senaste ändringen av entiteten |
| Ort |
string |
Orten för användarkontot enligt definitionen i AAD |
| CompanyName |
sträng |
Namnet på det företag där användaren arbetar. |
| Land |
string |
Användarkontots land enligt definitionen i AAD |
| DeletedDateTime |
datetime |
Datum och tid då användaren togs bort |
| Avdelning |
sträng |
Användarkontoavdelningen enligt definitionen i AAD |
| EmployeeId |
sträng |
Den medarbetaridentifierare som tilldelats användaren av organisationen |
| EntityRiskScore |
dynamisk |
Riskpoängen för entiteten som en del av UEBA-bedömningsprocessen |
| ExtensionProperty |
dynamisk |
ExtensionProperty-fält från Azure AD |
| GivenName |
sträng |
Användarkontots angivna namn |
| GroupMembership |
dynamisk |
Azure AD-grupper användarkontot är medlem |
| InvestigationPriority |
heltal |
Kontots prioritetspoäng för undersökning |
| InvestigationPriorityPercentile |
heltal |
Kontopoängen jämfört med organisationen |
| IsAccountEnabled |
bool |
Ange om kontot är aktiverat i AAD eller inte |
| _IsBillable |
sträng |
Anger om inmatningen av data är fakturerbar. När _IsBillable är false inmatning debiteras inte ditt Azure-konto |
| IsMFARegistered |
bool |
Ange om MFA är registrerat för det här användarkontot eller inte |
| IsServiceAccount |
bool |
Kontot är ett tjänstkonto. |
| JobTitle |
sträng |
Namnet på användarkontots jobb enligt definitionen i AAD |
| LastSeenDate |
datetime |
Datum för den senaste aktiviteten som observerades i det här kontot |
| E-postadress |
sträng |
Användarkontots primära e-postadress |
| Ansvarig |
sträng |
Alias för användarkontohanteraren |
| OnPremisesDistinguishedName |
sträng |
Active Directory-unikt namn (DN). Ett DN är en sekvens med relativa unika namn (RDN) som är anslutna med kommatecken. |
| OnPremisesExtensionAttributes |
sträng |
Fältet OnPremisesExtensionAttributes från Azure AD |
| Telefon |
sträng |
Användarkontots telefonnummer enligt definitionen i AAD |
| RelatedAccounts |
dynamisk |
Olika konton som korrelerar med en viss användare |
| RiskLevel |
sträng |
AAD-risknivån (låg/medel/hög) för användarkontot |
| RiskLevelDetails |
sträng |
Information om AAD-risknivån |
| RiskState |
sträng |
Ange om kontot är i riskzonen nu eller om risken har åtgärdats |
| SAMAccountName |
sträng |
Kontots SAM-kontonamn. |
| ServicePrincipals |
dynamisk |
Azure AD-tjänstens huvudnamn som ägs av användaren |
| SourceSystem |
sträng |
Typen av agent som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| State |
string |
Användarkontots geografiska tillstånd enligt definitionen i AAD |
| StreetAddress |
sträng |
Gatuadressen för användarkontot enligt definitionen i AAD |
| Surname |
sträng |
Användarkontots efternamn |
| Taggar |
sträng |
Relevant information om användarkontot som är viktigt för undersökning: Sensitive\ VIP\ Administrator |
| TenantId |
sträng |
Log Analytics-arbetsytans ID |
| TimeGenerated |
datetime |
Tid då händelsen genererades (UTC) |
| Typ |
sträng |
Namnet på tabellen |
| UACFlags |
sträng |
Användaråtkomstkontrollflaggor från AD & AAD |
| UserAccountControl |
dynamisk |
Säkerhetsattribut för användarkontot i AD-domänen |
| UserState |
sträng |
Det aktuella tillståndet i AAD för kontot (Aktiv/Inaktiverad/Vilande/Utelåsning) |
| UserStateChangedOn |
datetime |
Datum för den senaste gången kontotillståndet ändrades (UTC) |
| UserType |
sträng |
Användartypen som visas i Azure AD |