BehaviorAnalytics

次の表は、Sentinel UEBA のエンリッチされたイベントを格納し、生データに対する動作分析を提供します。

テーブル属性

属性	Value
リソースの種類	-
Categories (カテゴリ)	セキュリティ
ソリューション	BehaviorAnalyticsInsights
基本的なログ	いいえ
インジェスト時間変換	はい
サンプル クエリ	-

列

列	タイプ	説明
ActionType	string	イベントをトリガーした特定の種類のアクション。
ActivityInsights	動的	アクティビティと行動に関する分析情報。
ActivityType	string	イベントをトリガーしたアクティビティの種類。
ActorName	string	イベントを生成したアクションを開始するユーザーの名前。
ActorPrincipalName	string	イベントを生成したアクションを開始するユーザーのプリンシパル名。
_BilledSize	real	レコード サイズ (バイト単位)
DestinationDevice	string	宛先デバイスのホスト名。
DestinationIPAddress	string	宛先 IP アドレス
DestinationIPLocation	string	IP アドレスに基づく宛先 Geo の場所。
Device	string	スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの名前。
DevicesInsights	動的	デバイスのメタデータと分析情報。
EventProductVersion	string	イベントを生成している製品のバージョン。
EventSource	string	このイベントのデータ ソース。
EventVendor	string	イベントを生成している製品のベンダー。
InvestigationPriority	int	調査の優先順位スコア。
_IsBillable	string	データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
NativeTableName	string	レコードがフェッチされた元のテーブル。
_ResourceId	string	レコードが関連付けられているリソースの一意識別子
SourceDevice	string	ソース デバイスのホスト名。
SourceIPAddress	string	送信元 IP アドレス
SourceIPLocation	string	IP アドレスに基づくソース Geo の場所。
SourceRecordId	string	ソース生イベントの一意の ID。
SourceSystem	string	イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
_SubscriptionId	string	レコードが関連付けられているサブスクリプションの一意識別子
TargetName	string	イベントを生成したアクション内のターゲット ユーザーの名前。
TargetPrincipalName	string	イベントを生成したアクション内のターゲット ユーザーの名前。
TenantId	string	Log Analytics ワークスペース ID
TimeGenerated	datetime	生イベントが生成された時刻 (UTC)。
TimeProcessed	datetime	エンリッチメント処理が発生した時刻 (UTC)。
種類	string	テーブルの名前
UserName	string	アカウントのユーザー名。
UserPrincipalName	string	アカウントのユーザー プリンシパル名。
UsersInsights	動的	ユーザーのメタデータと分析情報。