Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица заполняется Azure Sentinel UEBA всей информацией о пользователях. Его можно использовать для сопоставления информации о пользователях и инсайтов с аналитическими или поисковыми запросами.
Атрибуты таблицы
| Attribute | Значение |
|---|---|
| Типы ресурсов | - |
| Categories | - |
| Solutions | BehaviorAnalyticsInsights |
| Базовый журнал | No |
| Поддержка DCR во время приема | Yes |
| Прием только озера | Yes |
| Примеры запросов | - |
Columns
| Column | Тип | Описание |
|---|---|---|
| AccountCloudSID | строка | Идентификатор безопасности Azure AD для учетной записи |
| Время создания аккаунта | дата и время | Дата создания учетной записи пользователя (UTC) |
| ИмяОтображенияАккаунта | строка | Отображаемое имя учетной записи пользователя |
| ДоменАккаунта | строка | Доменное имя учетной записи пользователя |
| Имя аккаунта | строка | Имя пользователя учетной записи |
| ИдентификаторОбъектаУчетнойЗаписи | строка | Идентификатор объекта Azure Active Directory для учетной записи |
| AccountSID | строка | Локальный идентификатор безопасности учетной записи. |
| AccountTenantId | строка | Идентификатор клиента (Tenant ID) Azure Active Directory для учётной записи |
| AccountUPN | строка | Основное имя пользователя учетной записи |
| ДополнительныеПочтовыеАдреса | динамичный | Дополнительные электронные адреса пользователя |
| Приложения | строка | Все известные приложения, к которым обращалась эта учетная запись пользователя |
| НазначенныеРоли | динамичный | Роли AAD, которые присвоены учетной записи пользователя |
| _BilledSize | real | Размер записи в байтах |
| BlastRadius | строка | Потенциальное влияние учетной записи пользователя в организации (низкая/средняя/высокая) |
| ChangeSource | строка | Источник последнего изменения сущности |
| City | строка | Город учетной записи пользователя, как указано в Azure Active Directory (AAD). |
| CompanyName | строка | Название компании, в которой работает пользователь. |
| Country | строка | Страна учетной записи пользователя, определенная в AAD |
| DeletedDateTime | дата и время | Дата и время удаления пользователя. |
| Department | строка | Отдел учетных записей пользователей, определенный в AAD |
| Идентификатор сотрудника | строка | Идентификатор сотрудника, назначенный пользователю организацией |
| EntityRiskScore | динамичный | Оценка риска объекта в рамках процесса оценки UEBA |
| Свойство расширения | динамичный | Поля ExtensionProperty из Azure AD |
| GivenName | строка | Имя, указанное в учетной записи пользователя |
| Членство в группе | динамичный | Группы Azure AD, в которых состоит учетная запись пользователя |
| ПриоритетРасследования | int | Оценка приоритета расследования для учетной записи |
| ПроцентильПриоритетаРасследования | int | Оценка аккаунта по сравнению с организацией |
| АккаунтВключен | bool | Указание, включен ли аккаунт в AAD или нет. |
| _IsBillable | строка | Указывает, подлежит ли передача данных оплате. Когда _IsBillable равен false, стоимость приема данных не выставляется на ваш аккаунт Azure. |
| IsMFARegistered | bool | Указание, зарегистрирована ли MFA для этой учетной записи пользователя или нет |
| IsServiceAccount | bool | Учетная запись является служебной. |
| Название должности | строка | Название должности учетной записи пользователя, как определено в Azure Active Directory (AAD) |
| Дата последнего посещения | дата и время | Дата последней активности, наблюдаемой в этом аккаунте |
| MailAddress | строка | Основной адрес электронной почты учетной записи пользователя |
| Менеджер | строка | Псевдоним менеджера учетных записей пользователей |
| Имя для распознавания объекта в локальной сети (OnPremisesDistinguishedName) | строка | Уникальное имя (DN) в Active Directory. DN - это последовательность относительных уникальных имен (RDN), соединённых запятыми. |
| OnPremisesExtensionAttributes | строка | Поле OnPremisesExtensionAttributes из Azure AD |
| Телефон | строка | Номер телефона учетной записи пользователя, как определено в AAD |
| Связанные аккаунты | динамичный | Различные учетные записи, которые коррелируют с определенным пользователем |
| RiskLevel | строка | Уровень риска AAD (низкий/средний/высокий) учетной записи пользователя |
| Детали уровня риска | строка | Подробности относительно уровня риска AAD. |
| RiskState | строка | Индикация того, находится ли учетная запись под угрозой сейчас или риск был устранен. |
| SAMAccountName | строка | Имя учётной записи SAM. |
| ServicePrincipals | динамичный | Служебные принципы Azure AD, принадлежащие пользователю |
| SourceSystem | строка | Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows с прямым подключением или через Operations Manager, Linux для всех агентов Linux, или Azure для диагностики Azure. |
| Состояние | строка | Географическое положение учетной записи пользователя, как определено в AAD |
| Адрес улицы | строка | Адрес офиса учетной записи, определенный в AAD |
| Surname | строка | Фамилия учетной записи пользователя |
| Теги | строка | Важная информация об учетной записи пользователя, которая имеет значение для расследования: Конфиденциальный\ VIP\ Администратор |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Время создания события (UTC) |
| Тип | строка | Название таблицы |
| UACFlags | строка | Флаги управления доступом пользователей из AD и AAD |
| UserAccountControl | динамичный | Атрибуты безопасности учетной записи пользователя в домене AD |
| Состояние пользователя | строка | Текущее состояние учетной записи в AAD (Активный/Отключенный/Спящий/Блокировка) |
| СостояниеПользователяИзмененоНа | дата и время | Дата последнего изменения состояния учетной записи (UTC) |
| Тип пользователя | строка | Тип пользователя, как указано в Azure AD |