此表由 Azure Sentinel UEBA 填充所有用户帐户标识信息。 它可用于将用户信息和见解与分析或搜寻查询关联。
数据表属性
| Attribute |
价值 |
|
资源类型 |
- |
|
Categories |
安全性 |
|
解决方案 |
SecurityInsights |
|
基本日志 |
是的 |
|
引入时 DCR 支持 |
否 |
|
仅湖引入 |
是的 |
|
示例查询 |
- |
Columns
| 列 |
类型 |
说明 |
| AccountId |
字符串 |
帐户的内部标识符。 |
| AccountStatus |
字符串 |
帐户的状态。 |
| AccountUpn |
字符串 |
帐户的用户主体名称 (UPN)。 |
| AdditionalFields |
dynamic |
有关实体或活动的其他信息。 |
| 地址 |
字符串 |
帐户用户的地址。 |
| AssignedRoles |
dynamic |
分配给帐户的角色标识符。 |
| AuthenticationMethod |
字符串 |
用于允许帐户用户登录的身份验证方法。 |
| AuthenticationSourceAcccountId |
字符串 |
联合帐户的标识符(如果身份验证方法为联合身份验证)。 |
| _BilledSize |
real |
记录大小(字节) |
| 城市 |
字符串 |
帐户用户所在的城市。 |
| 国家 |
字符串 |
帐户用户所在的国家或地区。 |
| CreatedDateTime |
日期/时间 |
创建用户帐户的日期和时间。 |
| CriticalityLevel |
int |
帐户的严重性分数。 |
| DefenderRiskLevel |
int |
Microsoft Defender计算的帐户的风险级别。 |
| DefenderRiskUpdateTime |
日期/时间 |
上次更新帐户风险级别的日期和时间Microsoft Defender。 |
| DeletedDateTime |
日期/时间 |
删除用户帐户的日期和时间。 |
| 部门 |
字符串 |
帐户用户所属的部门的名称。 |
| 显示名称 |
字符串 |
通讯簿中显示的帐户用户的名称。 |
| EligibleRoles |
dynamic |
帐户有资格使用的角色的标识符。 |
| 电子邮件地址 |
字符串 |
帐户的 SMTP 地址。 |
| 员工编号 |
字符串 |
组织分配给用户的员工标识符。 |
| EnrolledMfas |
dynamic |
配置的多重身份验证方法和状态。 |
| GivenName |
字符串 |
给定帐户用户的名称或名字。 |
| GroupMembership |
dynamic |
分配给帐户的组标识符。 |
| IdentityId |
字符串 |
帐户链接到的标识的标识符。 |
| IdentityLinkBy |
字符串 |
将帐户链接到标识的实体。 |
| IdentityLinkReason |
字符串 |
关联帐户和标识的原因。 |
| IdentityLinkTime |
日期/时间 |
帐户链接到标识的日期和时间。 |
| IdentityLinkType |
字符串 |
帐户和标识之间的链接类型。 |
| IdentityType |
字符串 |
标识类型 - 可能的值:用户、ServiceAccount |
| _IsBillable |
字符串 |
指定摄入数据是否需计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsPrimary |
布尔 |
指示此帐户是否被视为链接标识的主帐户。 |
| 职位名称 |
字符串 |
帐户用户的职务。 |
| LastPasswordChangeTime |
日期/时间 |
上次更改帐户密码的日期和时间。 |
| 经理 |
字符串 |
帐户用户的列出的经理。 |
| 手机 |
字符串 |
帐户用户的列出的电话号码。 |
| ReportId |
字符串 |
事件的唯一标识符。 |
| Sid |
字符串 |
帐户的安全标识符 (SID)。 |
| SourceProvider |
字符串 |
帐户的源应用程序或服务。 |
| SourceProviderAccountId |
字符串 |
源提供程序中帐户的标识符。 |
| SourceProviderInstanceDisplayName |
字符串 |
帐户的源应用程序或服务的显示名称。 |
| SourceProviderInstanceId |
字符串 |
帐户的源应用程序或服务的标识符。 |
| SourceProviderRiskLevel |
dynamic |
源提供程序中显示的帐户的风险级别。 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager(可选择直接连接或使用 Operations Manager),适用于所有 Linux 代理的 Linux,或适用于 Azure 诊断 的 Azure。 |
| Surname |
字符串 |
帐户用户的姓氏、姓氏或姓氏。 |
| 标签 |
dynamic |
通过标识Defender分配给帐户的标记。 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TenantMembershipType |
字符串 |
用户类型。 |
| TimeGenerated |
日期/时间 |
生成记录时的日期和时间 (UTC) |
| Timestamp |
日期/时间 |
行写入数据库的日期和时间。 |
| 类型 |
字符串 |
表的名称 |