BehaviorAnalytics
- [アーティクル]
-
-
このテーブルには、Sentinel UEBA のエンリッチされたイベントが格納され、生データに対する動作分析が提供されます。
テーブル属性
属性 |
値 |
リソースの種類 |
- |
Categories (カテゴリ) |
セキュリティ |
ソリューション |
BehaviorAnalyticsInsights |
基本的なログ |
いいえ |
インジェスト時間変換 |
Yes |
サンプル クエリ |
- |
列
Column |
Type |
説明 |
ActionType |
string |
イベントをトリガーした特定の種類のアクション。 |
ActivityInsights |
動的 |
アクティビティと行動に関する分析情報。 |
ActivityType |
string |
イベントをトリガーしたアクティビティの種類。 |
ActorName |
string |
イベントを生成したアクションを開始するユーザーの名前。 |
ActorPrincipalName |
string |
イベントを生成したアクションを開始するユーザーのプリンシパル名。 |
_BilledSize |
real |
レコード サイズ (バイト単位) |
DestinationDevice |
string |
宛先デバイスのホスト名。 |
DestinationIPAddress |
string |
宛先 IP アドレス |
DestinationIPLocation |
string |
IP アドレスに基づく宛先 Geo の場所。 |
Device |
string |
スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの名前。 |
DevicesInsights |
動的 |
デバイスのメタデータと分析情報。 |
EventProductVersion |
string |
イベントを生成している製品のバージョン。 |
EventSource |
string |
このイベントのデータ ソース。 |
EventVendor |
string |
イベントを生成している製品のベンダー。 |
InvestigationPriority |
INT |
調査の優先度スコア。 |
_IsBillable |
string |
データの取り込みについて課金対象かどうかを指定します。 _IsBillableインジェストが false Azure アカウントに課金されない場合 |
NativeTableName |
string |
レコードがフェッチされた元のテーブル。 |
_ResourceId |
string |
レコードが関連付けられているリソースの一意識別子 |
SourceDevice |
string |
ソース デバイスのホスト名。 |
SourceIPAddress |
string |
送信元 IP アドレス |
SourceIPLocation |
string |
IP アドレスに基づくソース Geo の場所。 |
SourceRecordId |
string |
ソース生イベントの一意の ID。 |
SourceSystem |
string |
イベントが収集されたエージェントの種類。 たとえば、 OpsManager Windows エージェントの場合、直接接続または Operations Manager、すべての Linux エージェントのLinux 場合、または Azure Azure Diagnostics |
_SubscriptionId |
string |
レコードが関連付けられているサブスクリプションの一意識別子 |
TargetName |
string |
イベントを生成したアクション内のターゲット ユーザーの名前。 |
TargetPrincipalName |
string |
イベントを生成したアクション内のターゲット ユーザーの名前。 |
TenantId |
string |
Log Analytics ワークスペース ID |
TimeGenerated |
DATETIME |
生イベントが生成された時刻 (UTC)。 |
TimeProcessed |
DATETIME |
エンリッチメント処理が発生した時刻 (UTC)。 |
Type |
string |
テーブルの名前 |
UserName |
string |
アカウントのユーザー名。 |
UserPrincipalName |
string |
アカウントのユーザー プリンシパル名。 |
UsersInsights |
動的 |
ユーザーのメタデータと分析情報。 |