次の方法で共有


IdentityInfo

このテーブルには、すべてのユーザー ID 情報が Azure Sentinel UEBA によって設定されます。 これを使用して、ユーザー情報と分析情報を分析クエリまたはハンティング クエリに関連付けることができます。

テーブル属性

属性 Value
リソースの種類 -
Categories (カテゴリ) -
ソリューション BehaviorAnalyticsInsights
基本的なログ いいえ
インジェスト時間変換 はい
サンプル クエリ -

タイプ 説明
AccountCloudSID string アカウントの Azure AD セキュリティ識別子
AccountCreationTime datetime ユーザー アカウントが作成された日付 (UTC)
AccountDisplayName string ユーザー アカウントの表示名
AccountDomain string ユーザー アカウントのドメイン名
AccountName string アカウントのユーザー名
AccountObjectId string アカウントの Azure Active Directory オブジェクト ID
AccountSID string アカウントのオンプレミスのセキュリティ識別子
AccountTenantId string アカウントの Azure Active Directory テナント ID
AccountUPN string アカウントのユーザー プリンシパル名
AdditionalMailAddresses 動的 ユーザーの追加の電子メール アドレス
アプリケーション string このユーザー アカウントがアクセスしたすべての既知のアプリケーション
AssignedRoles 動的 ユーザー アカウントが割り当てられている AAD ロール
_BilledSize real レコード サイズ (バイト単位)
BlastRadius string 組織内のユーザー アカウントの潜在的な影響 (低/中/高)
ChangeSource string エンティティの最新の変更のソース
City (市) string AAD で定義されているユーザー アカウントの市区町村
CompanyName string ユーザーが勤務する会社の名前。
Country (国) string AAD で定義されているユーザー アカウントの国
DeletedDateTime datetime ユーザーが削除された日時
部署 string AAD で定義されているユーザー アカウント部門
EmployeeId string 組織によってユーザーに割り当てられた従業員識別子
EntityRiskScore 動的 UEBA スコアリング プロセスの一部としてのエンティティのリスク スコア
ExtensionProperty 動的 Azure AD の ExtensionProperty フィールド
GivenName string 指定された名前のユーザー アカウント
GroupMembership 動的 ユーザー アカウントがメンバーである Azure AD グループ
InvestigationPriority int アカウントの調査優先度スコア
InvestigationPriorityPercentile int 組織と比較したアカウント スコア
IsAccountEnabled [bool] アカウントが AAD で有効になっているかどうかを示します
_IsBillable string データ インジェストが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません
IsMFARegistered [bool] このユーザー アカウントに MFA が登録されているかどうかを示す
IsServiceAccount [bool] アカウントはサービス アカウントです。
JobTitle string AAD で定義されているユーザー アカウントの役職
LastSeenDate datetime このアカウントで観察された最後のアクティビティの日付
MailAddress string ユーザー アカウント プライマリ メール アドレス
マネージャー string ユーザー アカウント マネージャーのエイリアス
OnPremisesDistinguishedName string Active Directory 識別名 (DN)。 DN は、コンマで接続された相対識別名 (RDN) のシーケンスです。
OnPremisesExtensionAttributes string Azure AD の OnPremisesExtensionAttributes フィールド
電話 string AAD で定義されているユーザー アカウントの電話番号
RelatedAccounts 動的 特定のユーザーに関連付けられるさまざまなアカウント
RiskLevel string ユーザー アカウントの AAD リスク レベル (低/中/高)
RiskLevelDetails string AAD リスク レベルに関する詳細
RiskState string アカウントが現在危険にさらされているか、リスクが修復されたかを示す
SAMAccountName string アカウントの SAM アカウント名。
ServicePrincipals 動的 ユーザーが所有する Azure AD サービス プリンシパル
SourceSystem string イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です
状態 string AAD で定義されているユーザー アカウントの地理的な状態
StreetAddress string AAD で定義されているユーザー アカウントのオフィスの番地
Surname string ユーザー アカウントの姓
タグ string 調査に重要なユーザー アカウントに関する関連情報: Sensitive\ VIP\ Administrator
TenantId string Log Analytics ワークスペース ID
TimeGenerated datetime イベントが生成された時刻 (UTC)
種類 string テーブルの名前
UACFlags string AD および AAD からのユーザー アクセス制御フラグ
UserAccountControl 動的 AD ドメイン内のユーザー アカウントのセキュリティ属性
UserState string アカウントの AAD の現在の状態 (アクティブ/無効/休止/ロックアウト)
UserStateChangedOn datetime アカウントの状態が最後に変更された日付 (UTC)
UserType string Azure AD に表示されるユーザーの種類