IdentityInfo

Эта таблица заполняется Azure Sentinel UEBA всей информацией о пользователях. Его можно использовать для сопоставления информации о пользователях и инсайтов с аналитическими или поисковыми запросами.

Атрибуты таблицы

Attribute Значение
Типы ресурсов -
Categories -
Solutions BehaviorAnalyticsInsights
Базовый журнал No
Поддержка DCR во время приема Yes
Прием только озера Yes
Примеры запросов -

Columns

Column Тип Описание
AccountCloudSID строка Идентификатор безопасности Azure AD для учетной записи
Время создания аккаунта дата и время Дата создания учетной записи пользователя (UTC)
ИмяОтображенияАккаунта строка Отображаемое имя учетной записи пользователя
ДоменАккаунта строка Доменное имя учетной записи пользователя
Имя аккаунта строка Имя пользователя учетной записи
ИдентификаторОбъектаУчетнойЗаписи строка Идентификатор объекта Azure Active Directory для учетной записи
AccountSID строка Локальный идентификатор безопасности учетной записи.
AccountTenantId строка Идентификатор клиента (Tenant ID) Azure Active Directory для учётной записи
AccountUPN строка Основное имя пользователя учетной записи
ДополнительныеПочтовыеАдреса динамичный Дополнительные электронные адреса пользователя
Приложения строка Все известные приложения, к которым обращалась эта учетная запись пользователя
НазначенныеРоли динамичный Роли AAD, которые присвоены учетной записи пользователя
_BilledSize real Размер записи в байтах
BlastRadius строка Потенциальное влияние учетной записи пользователя в организации (низкая/средняя/высокая)
ChangeSource строка Источник последнего изменения сущности
City строка Город учетной записи пользователя, как указано в Azure Active Directory (AAD).
CompanyName строка Название компании, в которой работает пользователь.
Country строка Страна учетной записи пользователя, определенная в AAD
DeletedDateTime дата и время Дата и время удаления пользователя.
Department строка Отдел учетных записей пользователей, определенный в AAD
Идентификатор сотрудника строка Идентификатор сотрудника, назначенный пользователю организацией
EntityRiskScore динамичный Оценка риска объекта в рамках процесса оценки UEBA
Свойство расширения динамичный Поля ExtensionProperty из Azure AD
GivenName строка Имя, указанное в учетной записи пользователя
Членство в группе динамичный Группы Azure AD, в которых состоит учетная запись пользователя
ПриоритетРасследования int Оценка приоритета расследования для учетной записи
ПроцентильПриоритетаРасследования int Оценка аккаунта по сравнению с организацией
АккаунтВключен bool Указание, включен ли аккаунт в AAD или нет.
_IsBillable строка Указывает, подлежит ли передача данных оплате. Когда _IsBillable равен false, стоимость приема данных не выставляется на ваш аккаунт Azure.
IsMFARegistered bool Указание, зарегистрирована ли MFA для этой учетной записи пользователя или нет
IsServiceAccount bool Учетная запись является служебной.
Название должности строка Название должности учетной записи пользователя, как определено в Azure Active Directory (AAD)
Дата последнего посещения дата и время Дата последней активности, наблюдаемой в этом аккаунте
MailAddress строка Основной адрес электронной почты учетной записи пользователя
Менеджер строка Псевдоним менеджера учетных записей пользователей
Имя для распознавания объекта в локальной сети (OnPremisesDistinguishedName) строка Уникальное имя (DN) в Active Directory. DN - это последовательность относительных уникальных имен (RDN), соединённых запятыми.
OnPremisesExtensionAttributes строка Поле OnPremisesExtensionAttributes из Azure AD
Телефон строка Номер телефона учетной записи пользователя, как определено в AAD
Связанные аккаунты динамичный Различные учетные записи, которые коррелируют с определенным пользователем
RiskLevel строка Уровень риска AAD (низкий/средний/высокий) учетной записи пользователя
Детали уровня риска строка Подробности относительно уровня риска AAD.
RiskState строка Индикация того, находится ли учетная запись под угрозой сейчас или риск был устранен.
SAMAccountName строка Имя учётной записи SAM.
ServicePrincipals динамичный Служебные принципы Azure AD, принадлежащие пользователю
SourceSystem строка Тип агента, с помощью которого было собрано событие. Например, OpsManager для агента Windows с прямым подключением или через Operations Manager, Linux для всех агентов Linux, или Azure для диагностики Azure.
Состояние строка Географическое положение учетной записи пользователя, как определено в AAD
Адрес улицы строка Адрес офиса учетной записи, определенный в AAD
Surname строка Фамилия учетной записи пользователя
Теги строка Важная информация об учетной записи пользователя, которая имеет значение для расследования: Конфиденциальный\ VIP\ Администратор
Идентификатор арендатора строка Идентификатор рабочей области Log Analytics
TimeGenerated дата и время Время создания события (UTC)
Тип строка Название таблицы
UACFlags строка Флаги управления доступом пользователей из AD и AAD
UserAccountControl динамичный Атрибуты безопасности учетной записи пользователя в домене AD
Состояние пользователя строка Текущее состояние учетной записи в AAD (Активный/Отключенный/Спящий/Блокировка)
СостояниеПользователяИзмененоНа дата и время Дата последнего изменения состояния учетной записи (UTC)
Тип пользователя строка Тип пользователя, как указано в Azure AD