你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
IdentityInfo
此表由 Azure Sentinel UEBA 使用所有用户标识信息填充。 它可用于将用户信息和见解与分析或搜寻查询关联。
表属性
| Attribute | 值 |
|---|---|
| 资源类型 | - |
| 类别 | - |
| 解决方案 | BehaviorAnalyticsInsights |
| 基本日志 | 否 |
| 引入时转换 | 是 |
| 示例查询 | - |
列
| 列 | 类型 | 说明 |
|---|---|---|
| AccountCloudSID | string | 帐户的 Azure AD 安全标识符 |
| AccountCreationTime | datetime | 创建用户帐户的日期 (UTC) |
| AccountDisplayName | string | 用户帐户显示名称 |
| AccountDomain | string | 用户帐户的域名 |
| AccountName | string | 帐户的用户名 |
| AccountObjectId | string | 帐户的 Azure Active Directory 对象 ID |
| AccountSID | string | 帐户的本地安全标识符 |
| AccountTenantId | string | 帐户的 Azure Active Directory 租户 ID |
| AccountUPN | string | 帐户的用户主体名称 |
| AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址 |
| 应用程序 | string | 此用户帐户访问的所有已知应用程序 |
| AssignedRoles | 动态 | 将用户帐户分配到的 AAD 角色 |
| _BilledSize | real | 记录大小(字节) |
| BlastRadius | string | 组织中用户帐户的潜在影响(低/中/高) |
| ChangeSource | string | 实体最新更改的源 |
| 市/县 | string | AAD 中定义的用户帐户的城市 |
| CompanyName | string | 用户所在公司的名称。 |
| 国家/地区 | string | AAD 中定义的用户帐户的国家/地区 |
| DeletedDateTime | datetime | 删除用户的日期和时间 |
| Department | string | AAD 中定义的用户帐户部门 |
| EmployeeId | string | 组织分配给用户的员工标识符 |
| EntityRiskScore | 动态 | 实体在 UEBA 评分过程中获得的风险分数 |
| ExtensionProperty | 动态 | Azure AD 中的 ExtensionProperty 字段 |
| GivenName | string | 用户帐户名字 |
| GroupMembership | 动态 | 用户帐户所属的 Azure AD 组 |
| InvestigationPriority | int | 帐户的调查优先级分数 |
| InvestigationPriorityPercentile | int | 与组织相比的帐户分数 |
| IsAccountEnabled | bool | 指示是否在 AAD 中启用了帐户 |
| _IsBillable | string | 指定引入数据是否计费。 当 _IsBillable 为 false 时,不会向 Azure 帐户计收引入费 |
| IsMFARegistered | 布尔 | 指示是否已为此用户帐户注册 MFA |
| IsServiceAccount | 布尔 | 帐户是服务帐户。 |
| JobTitle | string | 在 AAD 中定义的用户帐户职务 |
| LastSeenDate | datetime | 在此帐户中观察到的最后一个活动的日期 |
| MailAddress | string | 用户帐户主要电子邮件地址 |
| 管理员 | string | 用户帐户管理员别名 |
| OnPremisesDistinguishedName | string | Active Directory 可分辨名称 (DN)。 DN 是用逗号连接的相对可分辨名称 (RDN) 序列。 |
| OnPremisesExtensionAttributes | string | Azure AD 中的 OnPremisesExtensionAttributes 字段 |
| 电话 | string | 在 AAD 中定义的用户帐户的电话号码 |
| RelatedAccounts | 动态 | 与特定用户关联的各种帐户 |
| 风险等级 | string | 用户帐户的 AAD 风险级别(低/中/高) |
| RiskLevelDetails | string | 有关 AAD 风险级别的详细信息 |
| RiskState | string | 指示帐户现在是否面临风险或是否已修正风险 |
| SAMAccountName | string | 帐户的 SAM 帐户名称。 |
| ServicePrincipals | 动态 | 用户负责的 Azure AD 服务主体 |
| SourceSystem | string | 收集事件的代理的类型。 例如,适用于 Windows 代理的 OpsManager、直接连接或 Operations Manager、适用于所有 Linux 代理的 Linux 或适用于 Azure 诊断的 Azure |
| State | string | 在 AAD 中定义的用户帐户的地理状态 |
| StreetAddress | string | 在 AAD 中定义的用户帐户的办公室街道地址 |
| Surname | string | 用户帐户姓氏 |
| 标记 | string | 有关对调查非常重要的用户帐户的相关信息:敏感\ VIP\ 管理员 |
| TenantId | string | Log Analytics 工作区 ID |
| TimeGenerated | datetime | 生成事件的时间 (UTC) |
| 类型 | 字符串 | 表的名称 |
| UACFlags | string | AD 和 AAD 中的用户访问控制标志 |
| UserAccountControl | 动态 | AD 域中用户帐户的安全属性 |
| UserState | string | 帐户的 AAD 中的当前状态(活动/已禁用/休眠/锁定) |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC) |
| UserType | string | Azure AD 中显示的用户类型 |