Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Эта таблица заполняется Azure Sentinel UEBA всей информацией о пользователях. Его можно использовать для сопоставления информации о пользователях и инсайтов с аналитическими или поисковыми запросами.
Атрибуты таблицы
| Attribute | Значение |
|---|---|
| Resource types | - |
| Categories | - |
| Solutions | BehaviorAnalyticsInsights |
| Basic log | No |
| Ingestion-time transformation | Yes |
| Sample Queries | - |
Columns
| Column | Тип | Описание |
|---|---|---|
| AccountCloudSID | строка | Идентификатор безопасности Azure AD для учетной записи |
| Время создания аккаунта | дата и время | Дата создания учетной записи пользователя (UTC) |
| ИмяОтображенияАккаунта | строка | Отображаемое имя учетной записи пользователя |
| ДоменАккаунта | string | Доменное имя учетной записи пользователя |
| Имя аккаунта | строка | Имя пользователя учетной записи |
| ИдентификаторОбъектаУчетнойЗаписи | строка | Идентификатор объекта Azure Active Directory для учетной записи |
| AccountSID | строка | Локальный идентификатор безопасности учетной записи. |
| AccountTenantId | строка | Идентификатор клиента (Tenant ID) Azure Active Directory для учётной записи |
| AccountUPN | строка | Основное имя пользователя учетной записи |
| ДополнительныеПочтовыеАдреса | динамичный | Дополнительные электронные адреса пользователя |
| Приложения | строка | Все известные приложения, к которым обращалась эта учетная запись пользователя |
| НазначенныеРоли | динамичный | Роли AAD, которые присвоены учетной записи пользователя |
| _BilledSize | real | The record size in bytes |
| BlastRadius | строка | The potential impact of the user account in the org (low/medium/high) |
| ChangeSource | строка | The source of the latest change of the entity |
| City | строка | Город учетной записи пользователя, как указано в Azure Active Directory (AAD). |
| CompanyName | строка | Название компании, в которой работает пользователь. |
| Country | string | Страна учетной записи пользователя, определенная в AAD |
| DeletedDateTime | datetime | Дата и время удаления пользователя. |
| Department | строка | The user account department as defined in AAD |
| Идентификатор сотрудника | строка | Идентификатор сотрудника, назначенный пользователю организацией |
| EntityRiskScore | динамичный | Оценка риска объекта в рамках процесса оценки UEBA |
| Свойство расширения | динамичный | Поля ExtensionProperty из Azure AD |
| GivenName | строка | Имя, указанное в учетной записи пользователя |
| Членство в группе | динамичный | Группы Azure AD, в которых состоит учетная запись пользователя |
| ПриоритетРасследования | int | Оценка приоритета расследования для учетной записи |
| ПроцентильПриоритетаРасследования | int | Оценка аккаунта по сравнению с организацией |
| АккаунтВключен | bool | Указание, включен ли аккаунт в AAD или нет. |
| _IsBillable | строка | Указывает, подлежит ли передача данных оплате. Когда _IsBillable равен false, стоимость приема данных не выставляется на ваш аккаунт Azure. |
| IsMFARegistered | bool | Указание, зарегистрирована ли MFA для этой учетной записи пользователя или нет |
| IsServiceAccount | bool | Учетная запись является служебной. |
| Название должности | string | Название должности учетной записи пользователя, как определено в Azure Active Directory (AAD) |
| Дата последнего посещения | дата и время | Дата последней активности, наблюдаемой в этом аккаунте |
| MailAddress | строка | The user account primary email address |
| Менеджер | строка | Псевдоним менеджера учетных записей пользователей |
| Имя для распознавания объекта в локальной сети (OnPremisesDistinguishedName) | string | Уникальное имя (DN) в Active Directory. DN - это последовательность относительных уникальных имен (RDN), соединённых запятыми. |
| OnPremisesExtensionAttributes | string | Поле OnPremisesExtensionAttributes из Azure AD |
| Телефон | строка | The phone number of the user account as defined in AAD |
| Связанные аккаунты | динамичный | Various accounts that correlate to a certain user |
| RiskLevel | string | Уровень риска AAD (низкий/средний/высокий) учетной записи пользователя |
| Детали уровня риска | строка | Подробности относительно уровня риска AAD. |
| RiskState | string | Индикация того, находится ли учетная запись под угрозой сейчас или риск был устранен. |
| SAMAccountName | строка | Имя учётной записи SAM. |
| ServicePrincipals | динамический | Служебные принципы Azure AD, принадлежащие пользователю |
| SourceSystem | строка | The type of agent the event was collected by. Например, OpsManager для агента Windows с прямым подключением или через Operations Manager, Linux для всех агентов Linux, или Azure для диагностики Azure. |
| Состояние | строка | Географическое положение учетной записи пользователя, как определено в AAD |
| Адрес улицы | string | Адрес офиса учетной записи, определенный в AAD |
| Surname | строка | Фамилия учетной записи пользователя |
| Теги | строка | Важная информация об учетной записи пользователя, которая имеет значение для расследования: Конфиденциальный\ VIP\ Администратор |
| Идентификатор арендатора | строка | Идентификатор рабочей области Log Analytics |
| TimeGenerated | дата и время | Time when the event was generated (UTC) |
| Тип | строка | Название таблицы |
| UACFlags | string | Флаги управления доступом пользователей из AD и AAD |
| UserAccountControl | dynamic | Security attributes of the user account in the AD domain |
| Состояние пользователя | string | Текущее состояние учетной записи в AAD (Активный/Отключенный/Спящий/Блокировка) |
| СостояниеПользователяИзмененоНа | дата и время | Дата последнего изменения состояния учетной записи (UTC) |
| Тип пользователя | строка | Тип пользователя, как указано в Azure AD |