| AccountCloudSID |
Zeichenfolge |
Der Azure AD-Sicherheitsbezeichner des Kontos |
| AccountCreationTime |
datetime |
Das Datum, an dem das Benutzerkonto erstellt wurde (UTC) |
| AccountDisplayName |
Zeichenfolge |
Der Anzeigename des Benutzerkontos |
| AccountDomain |
Zeichenfolge |
Domänenname des Benutzerkontos |
| AccountName |
Zeichenfolge |
Benutzername des Kontos |
| AccountObjectId |
Zeichenfolge |
Die Azure Active Directory-Objekt-ID für das Konto |
| AccountSID |
Zeichenfolge |
Der lokale Sicherheitsbezeichner des Kontos |
| AccountTenantId |
Zeichenfolge |
Die Azure Active Directory-Mandanten-ID des Kontos |
| AccountUPN |
Zeichenfolge |
Benutzerprinzipalname des Kontos |
| AdditionalMailAddresses |
dynamisch |
Weitere E-Mail-Adressen des Benutzers |
| Anwendungen |
Zeichenfolge |
Alle bekannten Anwendungen, auf die dieses Benutzerkonto zugegriffen hat |
| AssignedRoles |
dynamisch |
AAD-Rollen, denen das Benutzerkonto zugewiesen ist |
| _BilledSize |
real |
Die Datensatzgröße in Bytes. |
| BlastRadius |
Zeichenfolge |
Mögliche Auswirkungen des Benutzerkontos in der Organisation (niedrig/mittel/hoch) |
| ChangeSource |
Zeichenfolge |
Die Quelle der letzten Änderung der Entität |
| Ort |
Zeichenfolge |
Die Stadt des Benutzerkontos gemäß der Definition in AAD |
| CompanyName |
Zeichenfolge |
Der Name für das Unternehmen, in dem der Benutzer arbeitet. |
| Land |
Zeichenfolge |
Das Land des Benutzerkontos gemäß der Definition in AAD |
| DeletedDateTime |
datetime |
Datum und Uhrzeit, zu dem der Benutzer gelöscht wurde |
| Abteilung |
Zeichenfolge |
Die Benutzerkontoabteilung gemäß der Definition in AAD |
| EmployeeId |
Zeichenfolge |
Die dem Benutzer von der Organisation zugewiesene Mitarbeiter-ID |
| EntityRiskScore |
dynamisch |
Die Risikobewertung der Entität als Teil des UEBA-Bewertungsprozesses |
| ExtensionProperty |
dynamisch |
ExtensionProperty-Felder aus Azure AD |
| GivenName |
Zeichenfolge |
Der Angegebene Name des Benutzerkontos |
| GroupMembership |
dynamisch |
Azure AD groups the user account is a member |
| InvestigationPriority |
int |
Die Bewertung der Untersuchungspriorität des Kontos |
| InvestigationPriorityPercentile |
int |
Die Kontobewertung im Vergleich zur Organisation |
| IsAccountEnabled |
bool |
Angabe, ob das Konto in AAD aktiviert ist oder nicht |
| _IsBillable |
Zeichenfolge |
Gibt an, ob die Erfassung der Daten gebührenpflichtig ist. Wenn _IsBillable auf false festgelegt ist, wird die Datenerfassung Ihrem Azure-Konto nicht in Rechnung gestellt. |
| IsMFARegistered |
bool |
Angabe, ob MFA für dieses Benutzerkonto registriert ist oder nicht |
| IsServiceAccount |
bool |
Das Konto ist ein Dienstkonto. |
| JobTitle |
Zeichenfolge |
Die Position des Benutzerkontos gemäß der Definition in AAD |
| LastSeenDate |
datetime |
Datum der letzten In diesem Konto beobachteten Aktivität |
| MailAddress |
Zeichenfolge |
Das Benutzerkonto primäre E-Mail-Adresse |
| Manager |
Zeichenfolge |
Der Alias des Benutzerkonten-Managers |
| OnPremisesDistinguishedName |
Zeichenfolge |
Active Directory Distinguished Name (DN). Ein DN ist eine Sequenz relativer Distinguished Names (RDN), die durch Kommas verbunden sind. |
| OnPremisesExtensionAttributes |
Zeichenfolge |
OnPremisesExtensionAttributes-Feld aus Azure AD |
| Telefonnummer |
Zeichenfolge |
Die Telefonnummer des Benutzerkontos gemäß der Definition in AAD |
| RelatedAccounts |
dynamisch |
Verschiedene Konten, die mit einem bestimmten Benutzer korrelieren |
| RiskLevel |
Zeichenfolge |
Das AAD-Risikoniveau (Niedrig/Mittel/Hoch) des Benutzerkontos |
| RiskLevelDetails |
Zeichenfolge |
Details zum AAD-Risikoniveau |
| RiskState |
Zeichenfolge |
Gibt an, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde |
| SAMAccountName |
Zeichenfolge |
Der SAM-Kontoname des Kontos. |
| ServicePrincipals |
dynamisch |
Azure AD-Dienstprinzipale, die dem Benutzer gehören |
| SourceSystem |
Zeichenfolge |
Typ des Agents, von dem das Ereignis gesammelt wurde. Beispiel: OpsManager für den Windows-Agent (direkte Verbindung oder Operations Manager), Linux für alle Linux-Agents oder Azure für die Azure-Diagnose |
| Status |
Zeichenfolge |
Der geografische Zustand des Benutzerkontos gemäß der Definition in AAD |
| StreetAddress |
Zeichenfolge |
Die Bürostraße des Benutzerkontos gemäß der Definition in AAD |
| Vorname |
Zeichenfolge |
Der Nachname des Benutzerkontos |
| Tags |
Zeichenfolge |
Relevante Informationen zum Benutzerkonto, das für die Untersuchung wichtig ist: Vertraulich\ VIP\ Administrator |
| TenantId |
Zeichenfolge |
Die ID des Log Analytics-Arbeitsbereichs. |
| TimeGenerated |
datetime |
Zeitpunkt, zu dem das Ereignis generiert wurde (UTC) |
| type |
Zeichenfolge |
Der Name der Tabelle. |
| UACFlags |
Zeichenfolge |
Benutzerzugriffssteuerungskennzeichnungen aus AD & AAD |
| UserAccountControl |
dynamisch |
Sicherheitsattribute des Benutzerkontos in der AD-Domäne |
| UserState |
Zeichenfolge |
Der aktuelle Status in AAD des Kontos (Aktiv/Deaktiviert/Ruhezustand/Sperrung) |
| UserStateChangedOn |
datetime |
Datum der letzten Änderung des Kontostatus (UTC) |
| UserType |
Zeichenfolge |
Der Benutzertyp wird in Azure AD angezeigt. |