Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa tabella archivia gli eventi arricchiti per UEBA di Sentinel, fornendo analisi del comportamento sui dati non elaborati.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | AnalisiComportamentaleApprofondimenti |
| Log di base | No |
| Trasformazione in fase di inserimento | Sì |
| Esempi di query | - |
Colonne
| Colonna | Tipo | Descrizione |
|---|---|---|
| Tipo di Azione | string | Tipo specifico di azione che ha attivato l'evento. |
| ActivityInsights | dinamico | Informazioni dettagliate sull'attività e sul comportamento. |
| Tipo di Attività | string | Tipo di attività che ha attivato l'evento. |
| ActorName | string | Nome dell'utente che avvia l'azione che ha generato l'evento. |
| ActorPrincipalName | string | Nome principale dell'utente che avvia l'azione che ha generato l'evento. |
| _BilledSize | real | Dimensione del file in byte |
| DestinationDevice | string | Nome host del dispositivo di destinazione. |
| IndirizzoIPDiDestinazione | string | Indirizzo IP di destinazione. |
| DestinationIPLocation | string | Posizione geografica di destinazione in base all'indirizzo IP. |
| Dispositivo | string | Nome del dispositivo in cui si è verificato l'evento o che ha segnalato l'evento, a seconda dello schema. |
| DevicesInsights | dinamico | Metadati e informazioni dettagliate sui dispositivi. |
| EventProductVersion | string | Versione del prodotto che genera l'evento. |
| EventSource | string | Origine dei dati per questo evento. |
| EventVendor | string | Fornitore del prodotto che genera l'evento. |
| InvestigationPriority | INT | Punteggio di priorità dell'indagine. |
| _IsBillable | string | Specifica se l'acquisizione dei dati è fatturabile. Quando _IsBillable è false, l'inserimento non viene fatturato all'account Azure |
| NativeTableName | string | Tabella originale da cui è stato recuperato il record. |
| _ResourceId | string | Identificatore univoco della risorsa a cui è associato il record. |
| SourceDevice | string | Nome host del dispositivo di origine. |
| SourceIPAddress | string | Indirizzo IP di origine. |
| SourceIPLocation | string | Posizione geografica di origine basata sull'indirizzo IP. |
| SourceRecordId | string | ID univoco dell'evento non elaborato di origine. |
| SourceSystem | string | Tipo di agente da cui è stato raccolto l'evento. Ad esempio, OpsManager per l'agente Windows, sia per la connessione diretta sia per Operations Manager, Linux per tutti gli agenti Linux o Azure per Diagnostica di Azure. |
| _SubscriptionId | string | Identificatore univoco della sottoscrizione a cui è associato il record |
| TargetName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
| TargetPrincipalName | string | Nome dell'utente di destinazione nell'azione che ha generato l'evento. |
| TenantId | string | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | Ora in cui è stato generato l'evento non elaborato (UTC). |
| TimeProcessed | data e ora | Ora in cui si è verificata l'elaborazione dell'arricchimento (UTC). |
| Tipo | string | Nome della tabella |
| UserName | string | Nome utente dell'account. |
| UserPrincipalName | string | Nome principale utente dell'account. |
| UsersInsights | dinamico | Metadati e informazioni dettagliate degli utenti. |