你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
BehaviorAnalytics
此表存储 Sentinel UEBA 的扩充事件,从而提供对原始数据的行为分析。
表特性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | 安全性 |
| 解决方案 | BehaviorAnalyticsInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 描述 |
|---|---|---|
| ActionType | string | 触发事件的特定操作类型。 |
| ActivityInsights | 动态 | 活动和行为见解。 |
| ActivityType | string | 触发事件的活动类型。 |
| ActorName | string | 启动生成事件的操作的用户的名称。 |
| ActorPrincipalName | string | 启动生成事件的操作的用户的主体名。 |
| _BilledSize | real | 记录大小(字节) |
| DestinationDevice | string | 目标设备的主机名。 |
| DestinationIPAddress | string | 目标 IP 地址。 |
| DestinationIPLocation | string | 基于 IP 地址的目标地理位置。 |
| 设备 | string | 发生了事件或报告了事件的设备的名称,具体取决于架构。 |
| DevicesInsights | 动态 | 设备元数据和见解。 |
| EventProductVersion | string | 生成事件的产品的版本。 |
| EventSource | string | 此事件的数据源。 |
| EventVendor | string | 生成事件的产品的供应商。 |
| InvestigationPriority | int | 调查优先级分数。 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| NativeTableName | string | 从中提取记录的原始表。 |
| _ResourceId | 字符串 | 与记录关联的资源的唯一标识符 |
| SourceDevice | string | 源设备的主机名。 |
| SourceIPAddress | string | 源 IP 地址。 |
| SourceIPLocation | string | 基于 IP 地址的源地理位置。 |
| SourceRecordId | string | 原始事件源的唯一 ID。 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| _SubscriptionId | 字符串 | 与记录关联的订阅的唯一标识符 |
| TargetName | string | 生成事件的操作中目标用户的名称。 |
| TargetPrincipalName | string | 生成事件的操作中目标用户的名称。 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 原事件生成的时间 (UTC)。 |
| TimeProcessed | datetime | 发生扩充处理的时间 (UTC)。 |
| 类型 | 字符串 | 表的名称 |
| UserName | string | 帐户的用户名。 |
| UserPrincipalName | string | 帐户的用户主体名称。 |
| UsersInsights | 动态 | 用户元数据和见解。 |