Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En esta tabla se almacenan los eventos enriquecidos para UEBA de Sentinel, lo que proporciona análisis de comportamiento sobre datos sin procesar.
Atributos de tabla
| Atributo | Valor |
|---|---|
| Tipos de recursos | - |
| Categorías | Seguridad |
| Soluciones | BehaviorAnalyticsInsights |
| Registro básico | No |
| Transformación en tiempo de ingesta | Sí |
| Consultas de ejemplo | - |
Columnas
| Columna | Tipo | Descripción |
|---|---|---|
| TipoDeAcción | string | Tipo específico de acción que desencadenó el evento. |
| ActivityInsights | dinámico | Información sobre la actividad y el comportamiento. |
| Tipo de Actividad | string | Tipo de actividad que desencadenó el evento. |
| ActorName | string | Nombre del usuario que inicia la acción que generó el evento. |
| ActorPrincipalName | string | Nombre principal del usuario que inicia la acción que generó el evento. |
| _BilledSize | real | Tamaño del registro en bytes |
| DestinationDevice | cadena | Nombre de host del dispositivo de destino. |
| Dirección IP de Destino | string | La dirección IP de destino. |
| DestinoIPUbicación | cadena | Ubicación geográfica de destino basada en la dirección IP. |
| Dispositivo | cadena | Nombre del dispositivo en el que se produjo el evento o que informó del evento, en función del esquema. |
| DevicesInsights | dinámico | Información y metadatos de dispositivos. |
| EventProductVersion | string | Versión del producto que genera el evento. |
| EventSource | string | Origen de datos para este evento. |
| EventVendor | string | Proveedor del producto que genera el evento. |
| InvestigationPriority | int | Puntuación de prioridad de la investigación. |
| _IsBillable | cadena | Especifica si la ingesta de los datos es facturable. Cuando _IsBillable sea una ingesta false no se facturará a su cuenta de Azure |
| NativeTableName | string | Tabla original de la que se ha obtenido el registro. |
| _ResourceId | cadena | Identificador único del recurso al que está asociado el registro. |
| SourceDevice | string | Nombre de host del dispositivo de origen. |
| SourceIPAddress | string | La dirección IP de origen. |
| SourceIPLocation | string | Ubicación geográfica de origen basada en la dirección IP. |
| SourceRecordId | string | Identificador único del evento sin procesar de origen. |
| SourceSystem | string | Tipo de agente mediante el que se recopiló el evento. Por ejemplo, OpsManager para el agente de Windows, ya sea conexión directa u Operations Manager, Linux para todos los agentes de Linux o Azure para Azure Diagnostics |
| _SubscriptionId | string | Identificador único de la suscripción a la que está asociado el registro. |
| TargetName | string | Nombre del usuario de destino en la acción que generó el evento. |
| TargetPrincipalName | string | Nombre del usuario de destino en la acción que generó el evento. |
| TenantId | string | Id. del área de trabajo de Log Analytics |
| TimeGenerated | datetime | Hora en la que se generó el evento sin procesar (UTC). |
| TimeProcessed | fecha y hora | Hora en que se produjo el procesamiento de enriquecimiento (UTC). |
| Tipo | string | Nombre de la tabla. |
| UserName | string | Nombre de usuario de la cuenta. |
| UserPrincipalName | string | Nombre principal de usuario de la cuenta. |
| UsersInsights | dinámico | Metadatos e información de los usuarios. |