此表由 Azure Sentinel UEBA 使用所有用户标识信息填充。 它可用于将用户信息和见解与分析或搜寻查询关联。
表属性
| Attribute |
值 |
|
资源类型 |
- |
|
类别 |
- |
|
解决方案 |
BehaviorAnalyticsInsights |
|
基本日志 |
否 |
|
引入时转换 |
是 |
|
示例查询 |
- |
列
| 列 |
类型 |
说明 |
| AccountCloudSID |
字符串 |
帐户的 Azure AD 安全标识符 |
| AccountCreationTime |
日期/时间 |
创建用户帐户的日期 (UTC) |
| AccountDisplayName |
字符串 |
用户帐户显示名称 |
| AccountDomain |
字符串 |
用户帐户的域名 |
| AccountName |
字符串 |
帐户的用户名 |
| AccountObjectId |
字符串 |
帐户的 Azure Active Directory 对象 ID |
| AccountSID |
字符串 |
帐户的本地安全标识符 |
| AccountTenantId |
字符串 |
帐户的 Azure Active Directory 租户 ID |
| AccountUPN |
字符串 |
帐户的用户主体名称 |
| AdditionalMailAddresses |
动态 |
用户的其他电子邮件地址 |
| 应用程序 |
字符串 |
此用户帐户访问的所有已知应用程序 |
| AssignedRoles |
动态 |
将用户帐户分配到的 AAD 角色 |
| _BilledSize |
real |
记录大小(字节) |
| BlastRadius |
字符串 |
组织中用户帐户的潜在影响(低/中/高) |
| ChangeSource |
字符串 |
实体最新更改的源 |
| 市/县 |
字符串 |
AAD 中定义的用户帐户的城市 |
| CompanyName |
字符串 |
用户所在公司的名称。 |
| 国家/地区 |
字符串 |
AAD 中定义的用户帐户的国家/地区 |
| DeletedDateTime |
日期/时间 |
删除用户的日期和时间 |
| Department |
字符串 |
AAD 中定义的用户帐户部门 |
| EmployeeId |
字符串 |
组织分配给用户的员工标识符 |
| EntityRiskScore |
动态 |
实体在 UEBA 评分过程中获得的风险分数 |
| ExtensionProperty |
动态 |
Azure AD 中的 ExtensionProperty 字段 |
| GivenName |
字符串 |
用户帐户名字 |
| GroupMembership |
动态 |
用户帐户所属的 Azure AD 组 |
| InvestigationPriority |
int |
帐户的调查优先级分数 |
| InvestigationPriorityPercentile |
int |
与组织相比的帐户分数 |
| IsAccountEnabled |
bool |
指示是否在 AAD 中启用了帐户 |
| _IsBillable |
字符串 |
指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsMFARegistered |
bool |
指示是否已为此用户帐户注册 MFA |
| IsServiceAccount |
bool |
帐户是服务帐户。 |
| JobTitle |
字符串 |
在 AAD 中定义的用户帐户职务 |
| LastSeenDate |
日期/时间 |
在此帐户中观察到的最后一个活动的日期 |
| MailAddress |
字符串 |
用户帐户主要电子邮件地址 |
| 管理员 |
字符串 |
用户帐户管理员别名 |
| OnPremisesDistinguishedName |
字符串 |
Active Directory 可分辨名称 (DN)。 DN 是用逗号连接的相对可分辨名称 (RDN) 序列。 |
| OnPremisesExtensionAttributes |
字符串 |
Azure AD 中的 OnPremisesExtensionAttributes 字段 |
| 电话 |
字符串 |
在 AAD 中定义的用户帐户的电话号码 |
| RelatedAccounts |
动态 |
与特定用户关联的各种帐户 |
| 风险等级 |
字符串 |
用户帐户的 AAD 风险级别(低/中/高) |
| RiskLevelDetails |
字符串 |
有关 AAD 风险级别的详细信息 |
| RiskState |
字符串 |
指示帐户现在是否面临风险或是否已修正风险 |
| SAMAccountName |
字符串 |
帐户的 SAM 帐户名称。 |
| ServicePrincipals |
动态 |
用户负责的 Azure AD 服务主体 |
| SourceSystem |
字符串 |
收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| State |
字符串 |
在 AAD 中定义的用户帐户的地理状态 |
| StreetAddress |
字符串 |
在 AAD 中定义的用户帐户的办公室街道地址 |
| Surname |
字符串 |
用户帐户姓氏 |
| 标记 |
字符串 |
有关对调查非常重要的用户帐户的相关信息:敏感\ VIP\ 管理员 |
| TenantId |
字符串 |
Log Analytics 工作区 ID |
| TimeGenerated |
日期/时间 |
生成事件的时间 (UTC) |
| 类型 |
字符串 |
表的名称 |
| UACFlags |
字符串 |
AD 和 AAD 中的用户访问控制标志 |
| UserAccountControl |
动态 |
AD 域中用户帐户的安全属性 |
| UserState |
字符串 |
帐户的 AAD 中的当前状态(活动/已禁用/休眠/锁定) |
| UserStateChangedOn |
日期/时间 |
上次更改帐户状态的日期 (UTC) |
| UserType |
字符串 |
Azure AD 中显示的用户类型 |