Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här tabellen fylls i av Azure Sentinel UEBA med all information om användarnas identiteter. Den kan användas för att korrelera användarinformation och insikter med analys- eller jaktfrågor.
Tabellattribut
| Attribut | Värde |
|---|---|
| Resurstyper | - |
| Kategorier | - |
| Lösningar | Insikter från beteendeanalys |
| Grundläggande logg | Nej |
| Inmatningstidstransformering | Ja |
| Exempelfrågor | - |
Kolumner
| Kolumn | Typ | Beskrivning |
|---|---|---|
| AccountCloudSID | sträng | Azure AD-säkerhetsidentifieraren för kontot |
| Tid för kontoskapande | datum och tid | Det datum då användarkontot skapades (UTC) |
| KontoVisningsnamn | sträng | Visningsnamnet för användarkontot |
| Kontodomän | sträng | Användarkontots domännamn |
| Kontonamn | sträng | Användarkontots namn |
| KontoObjektId | sträng | Azure Active Directory-objekt-ID för kontot |
| AccountSID | sträng | Kontots lokala säkerhetsidentifierare |
| KontoHyresgästId | sträng | Azure Active Directory-klient-ID för kontot |
| AccountUPN | sträng | Användarens huvudnamn för kontot |
| Ytterligare e-postadresser | dynamisk | Ytterligare e-postadresser till användaren |
| Ansökningar | sträng | Alla kända program som det här användarkontot har åtkomst till |
| Tilldelade roller | dynamisk | AAD-roller som användarkontot tilldelas till |
| _FaktureradStorlek | verklig | Poststorlek i byte |
| Explosionsradie | sträng | Den potentiella effekten av användarkontot i organisationen (låg/medel/hög) |
| ChangeSource | sträng | Källan till den senaste ändringen av entiteten |
| Ort | sträng | Orten för användarkontot enligt definitionen i AAD |
| CompanyName | sträng | Namnet på det företag där användaren arbetar. |
| Land | sträng | Användarkontots land enligt definitionen i AAD |
| RaderadDatumTid | datum och tid | Datum och tid då användaren togs bort |
| Avdelning | sträng | Användarkontoavdelningen enligt definitionen i AAD |
| Anställd-ID | sträng | Den medarbetaridentifierare som tilldelats användaren av organisationen |
| Enhetsriskpoäng | dynamisk | Riskpoängen för entiteten som en del av UEBA-bedömningsprocessen |
| Förlängningsattribut | dynamisk | ExtensionProperty-fält från Azure AD |
| GivenName | sträng | Användarkontots angivna namn |
| Gruppmedlemskap | dynamisk | Azure AD-grupper som användarkontot är medlem i |
| Undersökningsprio | int | Kontots utredningsprioritetspoäng |
| Utredningsprioritetspercentil | int | Kontopoängen jämfört med organisationen |
| ÄrKontotAktiverat | bool | Ange om kontot är aktiverat i AAD eller inte |
| _ÄrFakturerbar | sträng | Anger om inmatningen av data är fakturerbar. När _IsBillable är false, debiteras inte ditt Azure-konto för inmatning. |
| ÄrMFÄregistrerad | bool | Ange om MFA är registrerat för det här användarkontot eller inte |
| IsServiceAccount | bool | Kontot är ett tjänstkonto. |
| Jobbtitel | sträng | Jobbtiteln för användarkontot enligt definitionen i AAD |
| SenastSeddDatum | datum och tid | Datum för den senaste aktiviteten som observerades i det här kontot |
| E-postadress | sträng | Användarkontots primära e-postadress |
| Chef | sträng | Alias för användarkontohanteraren |
| OnPremisesDistinguishedName | sträng | Active Directory-unikt namn (DN). Ett DN är en sekvens med relativa unika namn (RDN) som är anslutna med kommatecken. |
| OnPremisesExtensionAttributes | sträng | Fältet OnPremisesExtensionAttributes från Azure AD |
| Telefon | sträng | Användarkontots telefonnummer enligt definitionen i AAD |
| Relaterade konton | dynamisk | Olika konton som korrelerar med en viss användare |
| Risknivå | sträng | AAD-risknivån (låg/medel/hög) för användarkontot |
| Risknivådetaljer | sträng | Information om AAD-risknivån |
| RiskState | sträng | Ange om kontot är i riskzonen nu eller om risken har åtgärdats |
| SAMAccountName (användarnamn i Active Directory) | sträng | Kontots SAM-kontonamn. |
| Tjänstprinciper | dynamisk | Azure AD-tjänstehuvudprinciper som ägs av användaren |
| SourceSystem | sträng | Agenttypen som händelsen samlades in av. Till exempel OpsManager för Windows-agenten, antingen direktanslutning eller Operations Manager, Linux för alla Linux-agenter eller Azure för Azure Diagnostics |
| Stat | sträng | Användarkontots geografiska tillstånd enligt definitionen i AAD |
| Gatuadress | sträng | Gatuadressen för användarkontot enligt definitionen i AAD |
| Efternamn | sträng | Användarkontots efternamn |
| Taggar | sträng | Relevant information om användarkontot som är viktigt för undersökning: Sensitive\ VIP\ Administrator |
| Hyresgivar-ID | sträng | Arbetsytans-ID för Log Analytics |
| TimeGenerated | datum och tid | Tid då händelsen genererades (UTC) |
| Typ | sträng | Namnet på tabellen |
| UACFlags | sträng | Användaråtkomstkontrollflaggor från AD & AAD |
| Användarkontroll | dynamisk | Säkerhetsattribut för användarkontot i AD-domänen |
| Användartillstånd | sträng | Det aktuella tillståndet i AAD för kontot (Aktiv/Inaktiverad/Vilande/Utelåsning) |
| AnvändarstatusÄndradDen | datum och tid | Datum för den senaste gången kontotillståndet ändrades (UTC) |
| Användartyp | sträng | Användartypen som visas i Azure AD |