Freigeben über


Microsoft Sentinel UEBA-Referenz

Dieser Referenzartikel listet die Eingabedatenquellen für den User and Entity Behavior Analytics-Dienst in Microsoft Sentinel auf. Außerdem werden die Anreicherungen beschrieben, die UEBA zu den Entitäten hinzufügt, um den Warnungen und Vorfällen den nötigen Kontext zu geben.

Wichtig

Microsoft Sentinel ist allgemein in der einheitlichen Sicherheitsoperationsplattform von Microsoft im Microsoft Defender-Portal verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

UEBA-Datenquellen

Dies sind die Datenquellen, aus denen die UEBA-Engine Daten sammelt und analysiert, um ihre ML-Modelle zu trainieren und Verhaltens-Baselines für Benutzer, Geräte und andere Entitäten festzulegen. UEBA untersucht dann die Daten aus diesen Quellen, um Anomalien zu finden und Erkenntnisse zu gewinnen.

Datenquellen- Ereignisse
Microsoft Entra ID
Anmeldeprotokolle
All
Microsoft Entra ID
Überwachungsprotokolle
ApplicationManagement
DirectoryManagement
GroupManagement
Sicherungsmedium
RoleManagement
UserManagementCategory
Azure-Aktivitätsprotokolle Autorisierung
AzureActiveDirectory
Abrechnung
Compute
Nutzung
KeyVault
Geräte
Netzwerk
Ressourcen
Intune
Logik
Sql
Speicher
Windows-Sicherheitsereignisse
WindowsEvent oder
SecurityEvent
4624: Ein Konto wurde erfolgreich angemeldet
4625: Ein Konto konnte sich nicht anmelden
4648: Eine Anmeldung mit expliziten Anmeldeinformationen wurde versucht
4672: Besondere Rechte bei Neuanmeldung zugewiesen
4688: Ein neuer Prozess wurde erstellt

UEBA-Anreicherungen

Dieser Abschnitt beschreibt die Anreicherungen, die UEBA zu Microsoft Sentinel-Entitäten hinzufügt, zusammen mit all ihren Details, die Sie verwenden können, um Ihre Untersuchungen von Sicherheitsvorfällen zu fokussieren und zu schärfen. Diese Anreicherungen werden auf Entitätsseiten angezeigt und sind in den folgenden Log Analytics-Tabellen zu finden, deren Inhalt und Schema unten aufgeführt sind:

  • In der BehaviorAnalytics-Tabelle werden die Ausgabedaten von UEBA gespeichert.

    Die folgenden drei dynamischen Felder aus der BehaviorAnalytics-Tabelle werden im folgenden Abschnitt über diedynamischen Felder der Entitätsanreicherung beschrieben.

    • Die Felder UsersInsights und DevicesInsights enthalten Entitätsinformationen aus Active Directory/Microsoft Entra ID- und Microsoft Threat Intelligence-Quellen.

    • Das Feld ActivityInsights enthält Entitätsinformationen, die auf den aus der Entitätsverhaltensanalyse von Microsoft Sentinel resultierenden Verhaltensprofilen basieren.

      Benutzeraktivitäten werden anhand einer Baseline analysiert, die bei jeder Verwendung dynamisch kompiliert wird. Jede Aktivität verfügt über ihren eigenen definierten Rückblickzeitraum, von dem die dynamische Baseline abgeleitet ist. Dieser Rückblickzeitraum wird in der Spalte Baseline in dieser Tabelle angegeben.

  • In der Tabelle IdentityInfo werden Identitätsinformationen gespeichert, die mit UEBA aus Microsoft Entra ID (und aus der lokalen Active Directory-Instanz über Microsoft Defender for Identity) synchronisiert werden.

Tabelle „BehaviorAnalytics“

In der folgenden Tabelle werden die Verhaltensanalysedaten beschrieben, die auf jeder Seite mit Entitätsdetails in Microsoft Sentinel angezeigt werden.

Feld Typ BESCHREIBUNG
TenantId Zeichenfolge Die eindeutige ID des Mandanten.
SourceRecordId Zeichenfolge Die eindeutige ID des EBA-Ereignisses.
TimeGenerated datetime Der Zeitstempel des Auftretens der Aktivität.
TimeProcessed datetime Der Zeitstempel der Verarbeitung der Aktivität durch die EBA-Engine.
ActivityType Zeichenfolge Die allgemeine Kategorie der Aktivität.
ActionType Zeichenfolge Der normalisierte Name der Aktivität.
UserName Zeichenfolge Der Benutzername des Benutzers, der die Aktivität eingeleitet hat.
UserPrincipalName Zeichenfolge Der vollständiger Benutzername des Benutzers, der die Aktivität eingeleitet hat.
EventSource Zeichenfolge Die Datenquelle, die das ursprüngliche Ereignis bereitgestellt hat.
SourceIPAddress Zeichenfolge Die IP-Adresse, über die die Aktivität eingeleitet wurde.
SourceIPLocation Zeichenfolge Das Land/die Region, aus dem die Aktivität initiiert wurde, wurde von der IP-Adresse bereichert.
SourceDevice Zeichenfolge Der Hostname des Geräts, das die Aktivität eingeleitet hat.
DestinationIPAddress Zeichenfolge Die IP-Adresse des Ziels der Aktivität.
DestinationIPLocation Zeichenfolge Das Land/die Region des Ziels der Aktivität, bereichert von der IP-Adresse.
DestinationDevice Zeichenfolge Der Name des Zielgeräts.
UsersInsights dynamisch Die kontextabhängigen Anreicherungen der beteiligten Benutzer (Details siehe unten).
DevicesInsights dynamisch Die kontextabhängigen Anreicherungen der beteiligten Geräte (Details siehe unten).
ActivityInsights dynamisch Die kontextabhängige Analyse von Aktivitäten basierend auf unserer Profilerstellung (Details siehe unten).
InvestigationPriority INT Die Anomaliebewertung, Wert zwischen 0 und 10 (0 = unschädlich, 10 = hochgradig anomal).

Dynamische Felder für Entitätsanreicherungen

Hinweis

Die Spalte Anreicherungsname in den Tabellen dieses Abschnitts enthält zwei Zeilen mit Informationen.

  • Die erste in Fett ist der „Anzeigename“ der Anreicherung.
  • Der zweite (kursiv und in Klammern) ist der Feldname der Anreicherung, der in der Behavior Analytics-Tabelle gespeichert ist.

Feld „UsersInsights“

In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld UsersInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:

Anreicherungsname BESCHREIBUNG Beispielwert
Anzeigename des Kontos
(AccountDisplayName)
Der Kontoanzeigename des Benutzers. Admin, Hayden Cook
Kontodomäne
(AccountDomain)
Der Kontodomänenname des Benutzers.
Kontoobjekt-ID
(AccountObjectID)
Die Kontoobjektobjekt-ID des Benutzers. a58df659-5cab-446c-9dd0-5a3af20ce1c2
Auswirkungsgrad
(BlastRadius)
Der Auswirkungsgrad wird anhand verschiedener Faktoren berechnet: der Position der Benutzer*innen in der Organisationsstruktur sowie ihrer Microsoft Entra-Rollen und -Berechtigungen. Für die Benutzer*innen muss in Microsoft Entra ID die Eigenschaft Manager angegeben sein, damit BlastRadius berechnet werden kann. Niedrig, Mittel, Hoch
Konto im Ruhezustand
(IsDormantAccount)
Das Konto wurde für die letzten 180 Tage nicht verwendet. TRUE, FALSE
Lokaler Administrator
(IsLocalAdmin)
Das Konto verfügt über lokale Administratorberechtigungen. TRUE, FALSE
Neues Konto
(IsNewAccount)
Das Konto wurde innerhalb der letzten 30 Tage erstellt. TRUE, FALSE
Lokale SID
(OnPremisesSID)
Die lokale SID des Benutzers, der mit der Aktion verknüpft ist. S-1-5-21-1112946627-1321165628-2437342228-1103

Feld „DevicesInsights“

In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld DevicesInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:

Anreicherungsname BESCHREIBUNG Beispielwert
Browser
(Browser)
Der in der Aktion verwendete Browser. Microsoft Edge, Chrome
Gerätefamilie
(DeviceFamily)
Die in der Aktion verwendete Gerätefamilie. Windows
Gerätetyp
(DeviceType)
Der in der Aktion verwendete Clientgerätetyp. Desktop
ISP
(ISP)
Der in der Aktion verwendete Internetdienstanbieter.
Betriebssystem
(OperatingSystem)
Das in der Aktion verwendete Betriebssystem. Windows 10
Threat Intelligence-Indikatorbeschreibung
(ThreatIntelIndicatorDescription)
Beschreibung des beobachteten Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. Host ist Mitglied von Botnet: azorult
Threat Intelligence-Indikatortyp
(ThreatIntelIndicatorType)
Der Typ des Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Benutzer-Agent
(UserAgent)
Der in der Aktion verwendete Benutzer-Agent. Microsoft Azure Graph Client Library 1.0,
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Benutzer-Agent-Familie
(UserAgentFamily)
Die in der Aktion verwendete Benutzer-Agent-Familie. Chrome, Microsoft Edge, Firefox

Feld „ActivityInsights“

In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld ActivityInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:

Ausgeführte Aktion
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Zum ersten Mal vom Benutzer ausgeführte Aktion
(FirstTimeUserPerformedAction)
180 Die Aktion wurde zum ersten Mal vom Benutzer ausgeführt. TRUE, FALSE
Ungewöhnlicherweise vom Benutzer ausgeführte Aktion
(ActionUncommonlyPerformedByUser)
10 Die Aktion wird vom Benutzer üblicherweise nicht ausgeführt. TRUE, FALSE
Ungewöhnlicherweise unter Peers ausgeführte Aktion
(ActionUncommonlyPerformedAmongPeers)
180 Die Aktion wird üblicherweise nicht unter Peers des Benutzers ausgeführt. TRUE, FALSE
Zum ersten Mal im Mandanten ausgeführte Aktion
(FirstTimeActionPerformedInTenant)
180 Die Aktion wurde zum ersten Mal von jemand in der Organisation ausgeführt. TRUE, FALSE
Ungewöhnlicherweise im Mandanten ausgeführte Aktion
(ActionUncommonlyPerformedInTenant)
180 Die Aktion wird üblicherweise nicht in der Organisation ausgeführt. TRUE, FALSE
Verwendete App
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Zum ersten Mal vom Benutzer verwendete App
(FirstTimeUserUsedApp)
180 Die App wurde zum ersten Mal vom Benutzer verwendet. TRUE, FALSE
Üblicherweise nicht vom Benutzer verwendete App
(AppUncommonlyUsedByUser)
10 Die App wird vom Benutzer üblicherweise nicht verwendet. TRUE, FALSE
Üblicherweise nicht unter Peers verwendete App
(AppUncommonlyUsedAmongPeers)
180 Die App wird in der Regel nicht unter Peers des Benutzers verwendet. TRUE, FALSE
Zum ersten Mal im Mandanten beobachtete App
(FirstTimeAppObservedInTenant)
180 Die App wurde zum ersten Mal in der Organisation beobachtet. TRUE, FALSE
Üblicherweise nicht im Mandanten verwendete App
(AppUncommonlyUsedInTenant)
180 Die App wird in der Organisation nicht häufig verwendet. TRUE, FALSE
Verwendeter Browser
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Erstmalige Verbindung des Benutzers über den Browser
(FirstTimeUserConnectedViaBrowser)
30 Der Browser wurde zum ersten Mal vom Benutzer verwendet. TRUE, FALSE
Üblicherweise nicht vom Benutzer verwendeter Browser
(BrowserUncommonlyUsedByUser)
10 Der Browser wird vom Benutzer üblicherweise nicht verwendet. TRUE, FALSE
Üblicherweise nicht unter Peers verwendeter Browser
(BrowserUncommonlyUsedAmongPeers)
30 Der Browser wird in der Regel nicht unter Peers des Benutzers verwendet. TRUE, FALSE
Zum ersten Mal im Mandanten beobachteter Browser
(FirstTimeBrowserObservedInTenant)
30 Der Browser wurde zum ersten Mal in der Organisation beobachtet. TRUE, FALSE
Üblicherweise nicht im Mandanten verwendeter Browser
(BrowserUncommonlyUsedInTenant)
30 Der Browser wird in der Organisation nicht häufig verwendet. TRUE, FALSE
Land/Region verbunden von
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Erstmalige Verbindung des Benutzers von diesem Land aus
(FirstTimeUserConnectedFromCountry)
90 Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. TRUE, FALSE
Land, von dem aus der Benutzer üblicherweise keine Verbindung herstellt
(CountryUncommonlyConnectedFromByUser)
10 Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird vom Benutzer üblicherweise keine Verbindung hergestellt. TRUE, FALSE
Land, von dem aus üblicherweise keine Verbindung unter Peers hergestellt wird
(CountryUncommonlyConnectedFromAmongPeers)
90 Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird üblicherweise keine Verbindung unter Peers hergestellt. TRUE, FALSE
Zum ersten Mal im Mandanten beobachtete Verbindung von diesem Land aus
(FirstTimeConnectionFromCountryObservedInTenant)
90 Das Land/die Region wurde zum ersten Mal von jedem in der Organisation verbunden. TRUE, FALSE
Land, von dem aus im Mandanten üblicherweise keine Verbindung hergestellt wird
(CountryUncommonlyConnectedFromInTenant)
90 Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird von der Organisation üblicherweise keine Verbindung hergestellt. TRUE, FALSE
Zum Herstellen der Verbindung verwendetes Gerät
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Erstmalige Verbindung des Benutzers von diesem Gerät aus
(FirstTimeUserConnectedFromDevice)
30 Vom Quellgerät aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. TRUE, FALSE
Üblicherweise nicht vom Benutzer verwendetes Gerät
(DeviceUncommonlyUsedByUser)
10 Das Gerät wird vom Benutzer üblicherweise nicht verwendet. TRUE, FALSE
Üblicherweise nicht unter Peers verwendetes Gerät
(DeviceUncommonlyUsedAmongPeers)
180 Das Gerät wird in der Regel nicht unter Peers des Benutzers verwendet. TRUE, FALSE
Zum ersten Mal im Mandanten beobachtetes Gerät
(FirstTimeDeviceObservedInTenant)
30 Das Gerät wurde zum ersten Mal in der Organisation beobachtet. TRUE, FALSE
Üblicherweise nicht im Mandanten verwendetes Gerät
(DeviceUncommonlyUsedInTenant)
180 Das Gerät wird in der Organisation nicht häufig verwendet. TRUE, FALSE
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Der Benutzer hat sich zum ersten Mal beim Gerät angemeldet
(FirstTimeUserLoggedOnToDevice)
180 Der Benutzer hat zum ersten Mal eine Verbindung mit dem Zielgerät hergestellt. TRUE, FALSE
Üblicherweise nicht im Mandanten verwendete Gerätefamilie
(DeviceFamilyUncommonlyUsedInTenant)
30 Die Gerätefamilie wird in der Organisation nicht häufig verwendet. TRUE, FALSE
Zum Herstellen der Verbindung verwendeter Internetdienstanbieter (ISP)
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Erstmalige Verbindung des Benutzers über den ISP
(FirstTimeUserConnectedViaISP)
30 Der ISP wurde zum ersten Mal vom Benutzer verwendet. TRUE, FALSE
Üblicherweise nicht vom Benutzer verwendeter ISP
(ISPUncommonlyUsedByUser)
10 Der ISP wird vom Benutzer üblicherweise nicht verwendet. TRUE, FALSE
Üblicherweise nicht unter Peers verwendeter ISP
(ISPUncommonlyUsedAmongPeers)
30 Der ISP wird in der Regel nicht unter Peers des Benutzers verwendet. TRUE, FALSE
Erstmalige Verbindungsherstellung über den ISP im Mandanten
(FirstTimeConnectionViaISPInTenant)
30 Der ISP wurde zum ersten Mal in der Organisation beobachtet. TRUE, FALSE
Üblicherweise nicht im Mandanten verwendeter ISP
(ISPUncommonlyUsedInTenant)
30 Der ISP wird in der Organisation nicht häufig verwendet. TRUE, FALSE
Aufgerufene Ressource
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Erstmaliger Zugriff des Benutzers auf die Ressource
(FirstTimeUserAccessedResource)
180 Der Benutzer hat zum ersten Mal auf die Ressource zugegriffen. TRUE, FALSE
Ressource, auf die vom Benutzer nicht häufig zugegriffen wird
(ResourceUncommonlyAccessedByUser)
10 Der Benutzer greift in der Regel nicht auf die Ressource zu. TRUE, FALSE
Ressource, auf die unter Peers nicht häufig zugegriffen wird
(ResourceUncommonlyAccessedAmongPeers)
180 Unter Peers des Benutzers wird in der Regel nicht auf die Ressource zugegriffen. TRUE, FALSE
Erstmaliger Zugriff auf Ressource im Mandanten
(FirstTimeResourceAccessedInTenant)
180 Auf die Ressource wurde zum ersten Mal von jemand in der Organisation zugegriffen. TRUE, FALSE
Ressource, auf die im Mandanten nicht häufig zugegriffen wird
(ResourceUncommonlyAccessedInTenant)
180 Auf die Ressource wird in der Organisation in der Regel nicht zugegriffen. TRUE, FALSE
Verschiedenes
Anreicherungsname Baseline (Tage) BESCHREIBUNG Beispielwert
Beim letzten Mal vom Benutzer ausgeführte Aktion
(LastTimeUserPerformedAction)
180 Beim letzten Mal hat der Benutzer die gleiche Aktion ausgeführt. <Timestamp>
Eine ähnliche Aktion wurde in der Vergangenheit nicht ausgeführt.
(SimilarActionWasn'tPerformedInThePast)
30 Keine Aktion wurde vom Benutzer im gleichen Ressourcenanbieter durchgeführt. TRUE, FALSE
Quell-IP-Standort
(SourceIPLocation)
N/V Das Land/die Region wurde aus der Quell-IP der Aktion aufgelöst. [Surrey, England]
Ungewöhnlich hohe Anzahl an Vorgängen
(UncommonHighVolumeOfOperations)
7 Ein Benutzer hat einen Burst ähnlicher Vorgänge innerhalb desselben Anbieters durchgeführt. TRUE, FALSE
Ungewöhnliche Anzahl von Fehlern beim bedingten Microsoft Entra-Zugriff
(UnusualNumberOfAADConditionalAccessFailures)
5 Eine ungewöhnliche Anzahl von Benutzern konnte sich aufgrund des bedingten Zugriffs nicht authentifizieren. TRUE, FALSE
Ungewöhnliche Anzahl von Geräten wurde hinzugefügt
(UnusualNumberOfDevicesAdded)
5 Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten hinzugefügt. TRUE, FALSE
Ungewöhnliche Anzahl von Geräten wurde gelöscht
(UnusualNumberOfDevicesDeleted)
5 Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten gelöscht. TRUE, FALSE
Ungewöhnliche Anzahl von Benutzern wurde der Gruppe hinzugefügt
(UnusualNumberOfUsersAddedToGroup)
5 Ein Benutzer hat eine ungewöhnliche Anzahl von Benutzern einer Gruppe hinzugefügt. TRUE, FALSE

IdentityInfo-Tabelle

Nach der Aktivierung von UEBA für Ihren Microsoft Sentinel-Arbeitsbereich werden Daten aus Ihrer Microsoft Entra ID-Instanz zur Verwendung in Microsoft Sentinel mit der IdentityInfo-Tabelle in Log Analytics synchronisiert. Sie können aus Microsoft Entra ID synchronisierte Benutzerdaten in Ihre Analyseregeln einbetten, um Ihre Analysen für Ihre Anwendungsfälle zu verbessern und Fehlalarme zu reduzieren.

Die Erstsynchronisierung kann einige Tage dauern. Nachdem die Daten vollständig synchronisiert wurden, gilt Folgendes:

  • Änderungen, die an Ihren Benutzerprofilen, Gruppen und Rollen in der Microsoft Entra-ID vorgenommen wurden, werden innerhalb von 15 bis 30 Minuten in der Tabelle "IdentityInfo " aktualisiert.

  • Microsoft Sentinel führt alle 14 Tage eine erneute Synchronisierung mit Ihrer gesamten Microsoft Entra ID-Instanz durch, um sicherzustellen, dass veraltete Datensätze vollständig aktualisiert werden.

  • Die Standardaufbewahrungsdauer in der IdentityInfo-Tabelle beträgt 30 Tage.

Begrenzungen

  • Derzeit werden nur integrierte Rollen unterstützt.

  • Daten zu gelöschten Gruppen, bei denen ein Benutzer aus einer Gruppe entfernt wurde, werden derzeit nicht unterstützt.

Versionen der IdentityInfo-Tabelle

Es gibt tatsächlich zwei Versionen der IdentityInfo-Tabelle :

  • Die Log Analytics-Schemaversion dient Microsoft Sentinel im Azure-Portal.
  • Die Erweiterte Suchschemaversion dient Microsoft Sentinel im Microsoft Defender-Portal über Microsoft Defender for Identity.

Beide Versionen dieser Tabelle werden von Microsoft Entra ID gefüttert, aber die Log Analytics-Version hat einige Felder hinzugefügt.

Microsoft Sentinel im Microsoft Defender-Portal verwendet die Erweiterte Suchversion dieser Tabelle. Um die Unterschiede zwischen den beiden Versionen der Tabelle zu minimieren, werden die meisten eindeutigen Felder in der Log Analytics-Version schrittweise der Erweiterten Suchversion hinzugefügt. Unabhängig davon, in welchem Portal Sie Microsoft Sentinel verwenden, haben Sie Zugriff auf fast alle gleichen Informationen, obwohl es möglicherweise einen kleinen Zeitabstand bei der Synchronisierung zwischen den Versionen gibt. Weitere Informationen finden Sie in der Dokumentation der Erweiterten Suchversion dieser Tabelle.

In der folgenden Tabelle werden die Benutzeridentitätsdaten beschrieben, die in der Tabelle "IdentityInfo" in Log Analytics im Azure-Portal enthalten sind. Die vierte Spalte zeigt die entsprechenden Felder in der Erweiterten Suchversion der Tabelle, die Microsoft Sentinel im Defender-Portal verwendet. Feldnamen in Fettdruck werden im Schema "Erweiterte Suche " anders benannt als in der Microsoft Sentinel Log Analytics-Version.

Feldname in
Log Analytics-Schema
Typ Beschreibung Feldname in
Schema für die erweiterte Suche
AccountCloudSID Zeichenfolge Die Microsoft Entra-Sicherheits-ID des Kontos. CloudSid
AccountCreationTime datetime Das Datum, an dem das Benutzerkonto erstellt wurde (UTC). CreatedDateTime
AccountDisplayName Zeichenfolge Der Anzeigename des Benutzerkontos. AccountDisplayName
AccountDomain Zeichenfolge Der Domänenname des Benutzerkontos. AccountDomain
AccountName Zeichenfolge Der Benutzername des Benutzerkontos. AccountName
AccountObjectId Zeichenfolge Die Microsoft Entra-Objekt-ID für das Benutzerkonto. AccountObjectId
AccountSID Zeichenfolge Die lokale Sicherheits-ID des Benutzerkontos. AccountSID
AccountTenantId Zeichenfolge Die Microsoft Entra-Mandanten-ID für das Benutzerkonto. --
AccountUPN Zeichenfolge Der Benutzerprinzipalname des Benutzerkontos. AccountUPN
AdditionalMailAddresses dynamisch Die zusätzlichen E-Mail-Adressen des Benutzers. --
AssignedRoles dynamisch Die Microsoft Entra-Rollen, denen das Benutzerkonto zugewiesen ist. AssignedRoles
BlastRadius Zeichenfolge Eine Berechnung, die auf der Position der Benutzer*innen in der Organisationsstruktur und den Microsoft Entra-Rollen und -Berechtigungen der Benutzer*innen basiert.
Mögliche Werte: Niedrig, Mittel, Hoch
--
ChangeSource Zeichenfolge Die Quelle der letzten Änderung an der Entität.
Mögliche Werte:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
  • ChangeSource
    CompanyName Der Firmenname, zu dem der Benutzer gehört. --
    Ort Zeichenfolge Der Ort für das Benutzerkonto. City
    Land Zeichenfolge Das Land/die Region des Benutzerkontos. Land / Region
    DeletedDateTime datetime Das Datum und die Uhrzeit der Löschung des Benutzers. --
    Abteilung Zeichenfolge Die Abteilung für das Benutzerkonto. Department
    GivenName Zeichenfolge Der Vorname für das Benutzerkonto. GivenName
    GroupMembership dynamisch Microsoft Entra-Gruppen, in denen das Benutzerkonto Mitglied ist. --
    IsAccountEnabled bool Ein Hinweis darauf, ob das Benutzerkonto in Microsoft Entra ID aktiviert ist oder nicht. IsAccountEnabled
    JobTitle Zeichenfolge Die Position für das Benutzerkonto. JobTitle
    MailAddress Zeichenfolge Die primäre E-Mail-Adresse für das Benutzerkonto. EmailAddress
    Manager Zeichenfolge Der Alias des Vorgesetzten für das Benutzerkonto. Manager
    OnPremisesDistinguishedName Zeichenfolge Der Microsoft Entra ID-DN (Distinguished Name). Ein DN ist eine Sequenz relativer DNs (RDN), die durch Kommas verbunden sind. DistinguishedName
    Telefonnummer Zeichenfolge Die Telefonnummer für das Benutzerkonto. Telefonnummer
    SourceSystem Zeichenfolge Das System, in dem der Benutzer verwaltet wird.
    Mögliche Werte:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
  • SourceProvider
    Status Zeichenfolge Das Bundesland/der Kanton für das Benutzerkonto. State
    StreetAddress Zeichenfolge Die Büroadresse für das Benutzerkonto. Adresse
    Surname Zeichenfolge Nachname des Benutzers Dienstkonto. Nachname
    TenantId Zeichenfolge Die Mandanten-ID des Benutzers. --
    TimeGenerated datetime Der Zeitpunkt, zu dem das Ereignis generiert wurde (UTC). Timestamp
    Typ Zeichenfolge Der Name der Tabelle. --
    UserAccountControl dynamisch Sicherheitsattribute des Benutzerkontos in der AD-Domäne.
    Mögliche Werte (kann mehr als einen enthalten):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState Zeichenfolge Der aktuelle Status des Benutzerkontos in Microsoft Entra ID.
    Mögliche Werte:
  • Aktiv
  • Disabled
  • Inaktiv
  • Sperre
  • --
    UserStateChangedOn datetime Das Datum der letzten Änderung des Kontozustands (UTC). --
    UserType Zeichenfolge Der Benutzertyp. --

    Nächste Schritte

    In diesem Dokument wurde das Tabellenschema der Entitätsverhaltensanalyse in Microsoft Sentinel beschrieben.