次の表は、Sentinel UEBA のエンリッチされたイベントを格納し、生データに対する動作分析を提供します。
テーブル属性
| 属性 |
価値 |
| リソースの種類 |
- |
| Categories (カテゴリ) |
セキュリティ |
| ソリューション |
ビヘイビアアナリティクスインサイト |
| 基本的なログ |
いいえ |
| インジェスト時の変換 |
はい |
| サンプル クエリ |
- |
列
| 列 |
タイプ |
説明 |
| アクションタイプ |
ひも |
イベントをトリガーした特定の種類のアクション。 |
| ActivityInsights(アクティビティインサイト) |
ダイナミック |
アクティビティと行動に関する分析情報。 |
| アクティビティタイプ |
ひも |
イベントをトリガーしたアクティビティの種類。 |
| 俳優名 |
ひも |
イベントを生成したアクションを開始するユーザーの名前。 |
| アクター主要名 |
ひも |
イベントを生成したアクションを開始するユーザーのプリンシパル名。 |
| _BilledSize |
real |
レコード サイズ (バイト単位) |
| DestinationDevice |
ひも |
宛先デバイスのホスト名。 |
| 宛先IPアドレス |
ひも |
宛先 IP アドレス |
| 宛先IP位置 |
ひも |
IPアドレスに基づく宛先の位置情報。 |
| デバイス |
ひも |
スキーマに応じて、イベントが発生したデバイスまたはイベントを報告したデバイスの名前。 |
| DevicesInsights |
ダイナミック |
デバイスのメタデータと分析情報。 |
| EventProductVersion |
ひも |
イベントを生成している製品のバージョン。 |
| イベントソース (EventSource) |
ひも |
このイベントのデータ ソース。 |
| EventVendor |
ひも |
イベントを生成している製品のベンダー。 |
| 調査優先度 |
整数 (int) |
調査の優先順位スコア。 |
| _IsBillable |
ひも |
データの取り込みが課金対象かどうかを指定します。 _IsBillable が false の場合、インジェストはお使いの Azure アカウントに課金されません |
| NativeTableName |
ひも |
レコードがフェッチされた元のテーブル。 |
| _ResourceId(リソースID) |
ひも |
レコードが関連付けられているリソースの一意識別子 |
| SourceDevice |
ひも |
ソース デバイスのホスト名。 |
| 送信元IPアドレス |
ひも |
送信元 IP アドレス |
| SourceIPLocation |
ひも |
IP アドレスに基づくソース geo。 |
| SourceRecordId |
ひも |
ソース生イベントの一意の ID。 |
| SourceSystem |
ひも |
イベント収集元のエージェントの種類。 たとえば、Windows エージェントの場合は OpsManager (直接接続または Operations Manager のいずれか)、すべての Linux エージェントの場合は Linux、Azure Diagnostics の場合は Azure です |
| _SubscriptionId(サブスクリプションID) |
ひも |
レコードが関連付けられているサブスクリプションの一意識別子 |
| ターゲットネーム |
ひも |
イベントを生成したアクション内のターゲット ユーザーの名前。 |
| ターゲットプリンシパル名 |
ひも |
イベントを生成したアクション内のターゲット ユーザーの名前。 |
| テナントID |
ひも |
Log Analytics ワークスペース ID |
| タイムジェネレーテッド |
datetime |
生イベントが生成された時刻 (UTC)。 |
| TimeProcessed |
datetime |
エンリッチメント処理が発生した時刻 (UTC)。 |
| タイプ |
ひも |
テーブルの名前 |
| UserName |
ひも |
アカウントのユーザー名。 |
| ユーザープリンシパルネーム |
ひも |
アカウントのユーザー プリンシパル名。 |
| UsersInsights (ユーザーインサイト) |
ダイナミック |
ユーザーのメタデータと分析情報。 |