你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此表由 Azure Sentinel UEBA 填充,其中包含所有用户标识信息。 它可用于将用户信息和见解与分析或搜寻查询相关联。
表属性
| 属性 | 值 |
|---|---|
| 资源类型 | - |
| 类别 | - |
| 解决方案 | BehaviorAnalyticsInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AccountCloudSID | 字符串 | 帐户的 Azure AD 安全标识符 |
| 账户创建时间 | datetime | 用户帐户的创建日期 (UTC) |
| AccountDisplayName | 字符串 | 用户帐户的显示名称 |
| AccountDomain | 字符串 | 用户帐户的域名 |
| 账户名称 | 字符串 | 帐户的用户名 |
| AccountObjectId | 字符串 | 帐户的 Azure Active Directory 对象 ID |
| AccountSID | 字符串 | 帐户的本地安全标识符 |
| AccountTenantId | 字符串 | 帐户的 Azure Active Directory 租户 ID |
| AccountUPN | 字符串 | 帐户的用户主体名称 |
| 附加邮件地址 | 动态 | 用户的其他电子邮件地址 |
| 应用程序 | 字符串 | 此用户帐户访问的所有已知应用程序 |
| AssignedRoles | 动态 | 为用户帐户分配的 AAD 角色 |
| _帐单大小 | 实数 | 记录大小(字节) |
| 爆炸范围 | 字符串 | 组织中用户帐户的潜在影响(低/中/高) |
| ChangeSource | 字符串 | 对实体的最新更改的源 |
| 城市 | 字符串 | 在 AAD 中定义的用户帐户城市 |
| CompanyName | 字符串 | 用户所在公司的名称。 |
| 国家/地区 | 字符串 | 在 AAD 中定义的用户帐户国家/地区 |
| DeletedDateTime | 日期/时间 | 删除用户的日期和时间 |
| 部门 | 字符串 | 在 AAD 中定义的用户帐户部门 |
| 员工编号 | 字符串 | 组织分配给用户的员工标识符 |
| 实体风险评分 | 动态 | 作为 UEBA 评分过程的一部分的实体的风险评分 |
| ExtensionProperty | 动态 | Azure AD 中的 ExtensionProperty 字段 |
| GivenName | 字符串 | 用户帐户的给定名称 |
| GroupMembership | 动态 | 用户帐户所属的 Azure AD 组 |
| 调查优先级 | 整数 (int) | 帐户的调查优先级分数 |
| InvestigationPriorityPercentile | 整数 (int) | 与组织相比较的帐户分数 |
| IsAccountEnabled | 布尔 | 指示是否已在 AAD 中启用帐户 |
| _IsBillable | 字符串 | 指定引入数据是否需要付费。 _IsBillable 为 false 引入时,不向 Azure 帐户计费 |
| IsMFARegistered | 布尔 | 指示是否已为此用户帐户注册 MFA |
| IsServiceAccount | 布尔 | 帐户是一个服务帐户。 |
| 职位名称 | 字符串 | 在 AAD 中定义的用户帐户职位 |
| 上次见到日期 | 日期/时间 | 此帐户中观察到的最后一个活动的日期 |
| 邮寄地址 | 字符串 | 用户帐户的主要电子邮件地址 |
| 经理 | 字符串 | 用户帐户管理员别名 |
| OnPremisesDistinguishedName | 字符串 | Active Directory 可分辨名称 (DN)。 DN 是一系列相对可分辨名称 (RDN),由逗号连接。 |
| OnPremisesExtensionAttributes | 字符串 | Azure AD 中的 OnPremisesExtensionAttributes 字段 |
| 电话 | 字符串 | AAD 中定义的用户帐户的电话号码 |
| 相关账户 | 动态 | 与特定用户关联的各种帐户 |
| 风险等级 | 字符串 | 用户帐户的 AAD 风险级别(低/中/高) |
| 风险等级详情 | 字符串 | 有关 AAD 风险级别的详细信息 |
| RiskState | 字符串 | 指示帐户现在是否处于危险状态或是否已修正风险 |
| SAM帐户名 | 字符串 | 帐户的 SAM 帐户名。 |
| ServicePrincipals | 动态 | 用户拥有的 Azure AD 服务主体 |
| SourceSystem | 字符串 | 收集事件的代理的类型。 例如,对于 Windows 代理(直接连接或 Operations Manager),值为 OpsManager;对于所有 Linux 代理,值为 Linux;对于 Azure 诊断,值为 Azure |
| 国家 | 字符串 | AAD 中定义的用户帐户的地理状态 |
| StreetAddress | 字符串 | 在 AAD 中定义的用户帐户的办公街道地址 |
| Surname | 字符串 | 用户帐户姓氏 |
| 标记 | 字符串 | 有关对调查非常重要的用户帐户的相关信息:Sensitive\ VIP\ Administrator |
| 租户ID | 字符串 | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 事件生成的时间 (UTC) |
| 类型 | 字符串 | 表的名称 |
| UACFlags | 字符串 | AD 和 AAD 中的用户访问控制标志 |
| 用户帐户控制 | 动态 | AD 域中用户帐户的安全属性 |
| 用户状态 | 字符串 | 帐户 AAD 中的当前状态(活动/禁用/休眠/锁定) |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC) |
| 用户类型 | 字符串 | Azure AD 中显示的用户类型 |