Microsoft Sentinel UEBA-Referenz
Dieser Referenzartikel listet die Eingabedatenquellen für den User and Entity Behavior Analytics-Dienst in Microsoft Sentinel auf. Außerdem werden die Anreicherungen beschrieben, die UEBA zu den Entitäten hinzufügt, um den Warnungen und Vorfällen den nötigen Kontext zu geben.
Wichtig
Microsoft Sentinel ist allgemein in der einheitlichen Sicherheitsoperationsplattform von Microsoft im Microsoft Defender-Portal verfügbar. Für die Vorschau ist Microsoft Sentinel im Defender-Portal ohne Microsoft Defender XDR oder eine E5-Lizenz verfügbar. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.
UEBA-Datenquellen
Dies sind die Datenquellen, aus denen die UEBA-Engine Daten sammelt und analysiert, um ihre ML-Modelle zu trainieren und Verhaltens-Baselines für Benutzer, Geräte und andere Entitäten festzulegen. UEBA untersucht dann die Daten aus diesen Quellen, um Anomalien zu finden und Erkenntnisse zu gewinnen.
Datenquellen- | Ereignisse |
---|---|
Microsoft Entra ID Anmeldeprotokolle |
All |
Microsoft Entra ID Überwachungsprotokolle |
ApplicationManagement DirectoryManagement GroupManagement Sicherungsmedium RoleManagement UserManagementCategory |
Azure-Aktivitätsprotokolle | Autorisierung AzureActiveDirectory Abrechnung Compute Nutzung KeyVault Geräte Netzwerk Ressourcen Intune Logik Sql Speicher |
Windows-Sicherheitsereignisse WindowsEvent oder SecurityEvent |
4624: Ein Konto wurde erfolgreich angemeldet 4625: Ein Konto konnte sich nicht anmelden 4648: Eine Anmeldung mit expliziten Anmeldeinformationen wurde versucht 4672: Besondere Rechte bei Neuanmeldung zugewiesen 4688: Ein neuer Prozess wurde erstellt |
UEBA-Anreicherungen
Dieser Abschnitt beschreibt die Anreicherungen, die UEBA zu Microsoft Sentinel-Entitäten hinzufügt, zusammen mit all ihren Details, die Sie verwenden können, um Ihre Untersuchungen von Sicherheitsvorfällen zu fokussieren und zu schärfen. Diese Anreicherungen werden auf Entitätsseiten angezeigt und sind in den folgenden Log Analytics-Tabellen zu finden, deren Inhalt und Schema unten aufgeführt sind:
In der BehaviorAnalytics-Tabelle werden die Ausgabedaten von UEBA gespeichert.
Die folgenden drei dynamischen Felder aus der BehaviorAnalytics-Tabelle werden im folgenden Abschnitt über diedynamischen Felder der Entitätsanreicherung beschrieben.
Die Felder UsersInsights und DevicesInsights enthalten Entitätsinformationen aus Active Directory/Microsoft Entra ID- und Microsoft Threat Intelligence-Quellen.
Das Feld ActivityInsights enthält Entitätsinformationen, die auf den aus der Entitätsverhaltensanalyse von Microsoft Sentinel resultierenden Verhaltensprofilen basieren.
Benutzeraktivitäten werden anhand einer Baseline analysiert, die bei jeder Verwendung dynamisch kompiliert wird. Jede Aktivität verfügt über ihren eigenen definierten Rückblickzeitraum, von dem die dynamische Baseline abgeleitet ist. Dieser Rückblickzeitraum wird in der Spalte Baseline in dieser Tabelle angegeben.
In der Tabelle IdentityInfo werden Identitätsinformationen gespeichert, die mit UEBA aus Microsoft Entra ID (und aus der lokalen Active Directory-Instanz über Microsoft Defender for Identity) synchronisiert werden.
Tabelle „BehaviorAnalytics“
In der folgenden Tabelle werden die Verhaltensanalysedaten beschrieben, die auf jeder Seite mit Entitätsdetails in Microsoft Sentinel angezeigt werden.
Feld | Typ | BESCHREIBUNG |
---|---|---|
TenantId | Zeichenfolge | Die eindeutige ID des Mandanten. |
SourceRecordId | Zeichenfolge | Die eindeutige ID des EBA-Ereignisses. |
TimeGenerated | datetime | Der Zeitstempel des Auftretens der Aktivität. |
TimeProcessed | datetime | Der Zeitstempel der Verarbeitung der Aktivität durch die EBA-Engine. |
ActivityType | Zeichenfolge | Die allgemeine Kategorie der Aktivität. |
ActionType | Zeichenfolge | Der normalisierte Name der Aktivität. |
UserName | Zeichenfolge | Der Benutzername des Benutzers, der die Aktivität eingeleitet hat. |
UserPrincipalName | Zeichenfolge | Der vollständiger Benutzername des Benutzers, der die Aktivität eingeleitet hat. |
EventSource | Zeichenfolge | Die Datenquelle, die das ursprüngliche Ereignis bereitgestellt hat. |
SourceIPAddress | Zeichenfolge | Die IP-Adresse, über die die Aktivität eingeleitet wurde. |
SourceIPLocation | Zeichenfolge | Das Land/die Region, aus dem die Aktivität initiiert wurde, wurde von der IP-Adresse bereichert. |
SourceDevice | Zeichenfolge | Der Hostname des Geräts, das die Aktivität eingeleitet hat. |
DestinationIPAddress | Zeichenfolge | Die IP-Adresse des Ziels der Aktivität. |
DestinationIPLocation | Zeichenfolge | Das Land/die Region des Ziels der Aktivität, bereichert von der IP-Adresse. |
DestinationDevice | Zeichenfolge | Der Name des Zielgeräts. |
UsersInsights | dynamisch | Die kontextabhängigen Anreicherungen der beteiligten Benutzer (Details siehe unten). |
DevicesInsights | dynamisch | Die kontextabhängigen Anreicherungen der beteiligten Geräte (Details siehe unten). |
ActivityInsights | dynamisch | Die kontextabhängige Analyse von Aktivitäten basierend auf unserer Profilerstellung (Details siehe unten). |
InvestigationPriority | INT | Die Anomaliebewertung, Wert zwischen 0 und 10 (0 = unschädlich, 10 = hochgradig anomal). |
Dynamische Felder für Entitätsanreicherungen
Hinweis
Die Spalte Anreicherungsname in den Tabellen dieses Abschnitts enthält zwei Zeilen mit Informationen.
- Die erste in Fett ist der „Anzeigename“ der Anreicherung.
- Der zweite (kursiv und in Klammern) ist der Feldname der Anreicherung, der in der Behavior Analytics-Tabelle gespeichert ist.
Feld „UsersInsights“
In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld UsersInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:
Anreicherungsname | BESCHREIBUNG | Beispielwert |
---|---|---|
Anzeigename des Kontos (AccountDisplayName) |
Der Kontoanzeigename des Benutzers. | Admin, Hayden Cook |
Kontodomäne (AccountDomain) |
Der Kontodomänenname des Benutzers. | |
Kontoobjekt-ID (AccountObjectID) |
Die Kontoobjektobjekt-ID des Benutzers. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
Auswirkungsgrad (BlastRadius) |
Der Auswirkungsgrad wird anhand verschiedener Faktoren berechnet: der Position der Benutzer*innen in der Organisationsstruktur sowie ihrer Microsoft Entra-Rollen und -Berechtigungen. Für die Benutzer*innen muss in Microsoft Entra ID die Eigenschaft Manager angegeben sein, damit BlastRadius berechnet werden kann. | Niedrig, Mittel, Hoch |
Konto im Ruhezustand (IsDormantAccount) |
Das Konto wurde für die letzten 180 Tage nicht verwendet. | TRUE, FALSE |
Lokaler Administrator (IsLocalAdmin) |
Das Konto verfügt über lokale Administratorberechtigungen. | TRUE, FALSE |
Neues Konto (IsNewAccount) |
Das Konto wurde innerhalb der letzten 30 Tage erstellt. | TRUE, FALSE |
Lokale SID (OnPremisesSID) |
Die lokale SID des Benutzers, der mit der Aktion verknüpft ist. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Feld „DevicesInsights“
In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld DevicesInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:
Anreicherungsname | BESCHREIBUNG | Beispielwert |
---|---|---|
Browser (Browser) |
Der in der Aktion verwendete Browser. | Microsoft Edge, Chrome |
Gerätefamilie (DeviceFamily) |
Die in der Aktion verwendete Gerätefamilie. | Windows |
Gerätetyp (DeviceType) |
Der in der Aktion verwendete Clientgerätetyp. | Desktop |
ISP (ISP) |
Der in der Aktion verwendete Internetdienstanbieter. | |
Betriebssystem (OperatingSystem) |
Das in der Aktion verwendete Betriebssystem. | Windows 10 |
Threat Intelligence-Indikatorbeschreibung (ThreatIntelIndicatorDescription) |
Beschreibung des beobachteten Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Host ist Mitglied von Botnet: azorult |
Threat Intelligence-Indikatortyp (ThreatIntelIndicatorType) |
Der Typ des Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
Benutzer-Agent (UserAgent) |
Der in der Aktion verwendete Benutzer-Agent. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
Benutzer-Agent-Familie (UserAgentFamily) |
Die in der Aktion verwendete Benutzer-Agent-Familie. | Chrome, Microsoft Edge, Firefox |
Feld „ActivityInsights“
In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld ActivityInsights in der Tabelle „BehaviorAnalytics“ aufgeführt sind:
Ausgeführte Aktion
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Zum ersten Mal vom Benutzer ausgeführte Aktion (FirstTimeUserPerformedAction) |
180 | Die Aktion wurde zum ersten Mal vom Benutzer ausgeführt. | TRUE, FALSE |
Ungewöhnlicherweise vom Benutzer ausgeführte Aktion (ActionUncommonlyPerformedByUser) |
10 | Die Aktion wird vom Benutzer üblicherweise nicht ausgeführt. | TRUE, FALSE |
Ungewöhnlicherweise unter Peers ausgeführte Aktion (ActionUncommonlyPerformedAmongPeers) |
180 | Die Aktion wird üblicherweise nicht unter Peers des Benutzers ausgeführt. | TRUE, FALSE |
Zum ersten Mal im Mandanten ausgeführte Aktion (FirstTimeActionPerformedInTenant) |
180 | Die Aktion wurde zum ersten Mal von jemand in der Organisation ausgeführt. | TRUE, FALSE |
Ungewöhnlicherweise im Mandanten ausgeführte Aktion (ActionUncommonlyPerformedInTenant) |
180 | Die Aktion wird üblicherweise nicht in der Organisation ausgeführt. | TRUE, FALSE |
Verwendete App
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Zum ersten Mal vom Benutzer verwendete App (FirstTimeUserUsedApp) |
180 | Die App wurde zum ersten Mal vom Benutzer verwendet. | TRUE, FALSE |
Üblicherweise nicht vom Benutzer verwendete App (AppUncommonlyUsedByUser) |
10 | Die App wird vom Benutzer üblicherweise nicht verwendet. | TRUE, FALSE |
Üblicherweise nicht unter Peers verwendete App (AppUncommonlyUsedAmongPeers) |
180 | Die App wird in der Regel nicht unter Peers des Benutzers verwendet. | TRUE, FALSE |
Zum ersten Mal im Mandanten beobachtete App (FirstTimeAppObservedInTenant) |
180 | Die App wurde zum ersten Mal in der Organisation beobachtet. | TRUE, FALSE |
Üblicherweise nicht im Mandanten verwendete App (AppUncommonlyUsedInTenant) |
180 | Die App wird in der Organisation nicht häufig verwendet. | TRUE, FALSE |
Verwendeter Browser
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Erstmalige Verbindung des Benutzers über den Browser (FirstTimeUserConnectedViaBrowser) |
30 | Der Browser wurde zum ersten Mal vom Benutzer verwendet. | TRUE, FALSE |
Üblicherweise nicht vom Benutzer verwendeter Browser (BrowserUncommonlyUsedByUser) |
10 | Der Browser wird vom Benutzer üblicherweise nicht verwendet. | TRUE, FALSE |
Üblicherweise nicht unter Peers verwendeter Browser (BrowserUncommonlyUsedAmongPeers) |
30 | Der Browser wird in der Regel nicht unter Peers des Benutzers verwendet. | TRUE, FALSE |
Zum ersten Mal im Mandanten beobachteter Browser (FirstTimeBrowserObservedInTenant) |
30 | Der Browser wurde zum ersten Mal in der Organisation beobachtet. | TRUE, FALSE |
Üblicherweise nicht im Mandanten verwendeter Browser (BrowserUncommonlyUsedInTenant) |
30 | Der Browser wird in der Organisation nicht häufig verwendet. | TRUE, FALSE |
Land/Region verbunden von
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Erstmalige Verbindung des Benutzers von diesem Land aus (FirstTimeUserConnectedFromCountry) |
90 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. | TRUE, FALSE |
Land, von dem aus der Benutzer üblicherweise keine Verbindung herstellt (CountryUncommonlyConnectedFromByUser) |
10 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird vom Benutzer üblicherweise keine Verbindung hergestellt. | TRUE, FALSE |
Land, von dem aus üblicherweise keine Verbindung unter Peers hergestellt wird (CountryUncommonlyConnectedFromAmongPeers) |
90 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird üblicherweise keine Verbindung unter Peers hergestellt. | TRUE, FALSE |
Zum ersten Mal im Mandanten beobachtete Verbindung von diesem Land aus (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Das Land/die Region wurde zum ersten Mal von jedem in der Organisation verbunden. | TRUE, FALSE |
Land, von dem aus im Mandanten üblicherweise keine Verbindung hergestellt wird (CountryUncommonlyConnectedFromInTenant) |
90 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird von der Organisation üblicherweise keine Verbindung hergestellt. | TRUE, FALSE |
Zum Herstellen der Verbindung verwendetes Gerät
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Erstmalige Verbindung des Benutzers von diesem Gerät aus (FirstTimeUserConnectedFromDevice) |
30 | Vom Quellgerät aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. | TRUE, FALSE |
Üblicherweise nicht vom Benutzer verwendetes Gerät (DeviceUncommonlyUsedByUser) |
10 | Das Gerät wird vom Benutzer üblicherweise nicht verwendet. | TRUE, FALSE |
Üblicherweise nicht unter Peers verwendetes Gerät (DeviceUncommonlyUsedAmongPeers) |
180 | Das Gerät wird in der Regel nicht unter Peers des Benutzers verwendet. | TRUE, FALSE |
Zum ersten Mal im Mandanten beobachtetes Gerät (FirstTimeDeviceObservedInTenant) |
30 | Das Gerät wurde zum ersten Mal in der Organisation beobachtet. | TRUE, FALSE |
Üblicherweise nicht im Mandanten verwendetes Gerät (DeviceUncommonlyUsedInTenant) |
180 | Das Gerät wird in der Organisation nicht häufig verwendet. | TRUE, FALSE |
Sonstige gerätebezogene Aspekte
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Der Benutzer hat sich zum ersten Mal beim Gerät angemeldet (FirstTimeUserLoggedOnToDevice) |
180 | Der Benutzer hat zum ersten Mal eine Verbindung mit dem Zielgerät hergestellt. | TRUE, FALSE |
Üblicherweise nicht im Mandanten verwendete Gerätefamilie (DeviceFamilyUncommonlyUsedInTenant) |
30 | Die Gerätefamilie wird in der Organisation nicht häufig verwendet. | TRUE, FALSE |
Zum Herstellen der Verbindung verwendeter Internetdienstanbieter (ISP)
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Erstmalige Verbindung des Benutzers über den ISP (FirstTimeUserConnectedViaISP) |
30 | Der ISP wurde zum ersten Mal vom Benutzer verwendet. | TRUE, FALSE |
Üblicherweise nicht vom Benutzer verwendeter ISP (ISPUncommonlyUsedByUser) |
10 | Der ISP wird vom Benutzer üblicherweise nicht verwendet. | TRUE, FALSE |
Üblicherweise nicht unter Peers verwendeter ISP (ISPUncommonlyUsedAmongPeers) |
30 | Der ISP wird in der Regel nicht unter Peers des Benutzers verwendet. | TRUE, FALSE |
Erstmalige Verbindungsherstellung über den ISP im Mandanten (FirstTimeConnectionViaISPInTenant) |
30 | Der ISP wurde zum ersten Mal in der Organisation beobachtet. | TRUE, FALSE |
Üblicherweise nicht im Mandanten verwendeter ISP (ISPUncommonlyUsedInTenant) |
30 | Der ISP wird in der Organisation nicht häufig verwendet. | TRUE, FALSE |
Aufgerufene Ressource
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Erstmaliger Zugriff des Benutzers auf die Ressource (FirstTimeUserAccessedResource) |
180 | Der Benutzer hat zum ersten Mal auf die Ressource zugegriffen. | TRUE, FALSE |
Ressource, auf die vom Benutzer nicht häufig zugegriffen wird (ResourceUncommonlyAccessedByUser) |
10 | Der Benutzer greift in der Regel nicht auf die Ressource zu. | TRUE, FALSE |
Ressource, auf die unter Peers nicht häufig zugegriffen wird (ResourceUncommonlyAccessedAmongPeers) |
180 | Unter Peers des Benutzers wird in der Regel nicht auf die Ressource zugegriffen. | TRUE, FALSE |
Erstmaliger Zugriff auf Ressource im Mandanten (FirstTimeResourceAccessedInTenant) |
180 | Auf die Ressource wurde zum ersten Mal von jemand in der Organisation zugegriffen. | TRUE, FALSE |
Ressource, auf die im Mandanten nicht häufig zugegriffen wird (ResourceUncommonlyAccessedInTenant) |
180 | Auf die Ressource wird in der Organisation in der Regel nicht zugegriffen. | TRUE, FALSE |
Verschiedenes
Anreicherungsname | Baseline (Tage) | BESCHREIBUNG | Beispielwert |
---|---|---|---|
Beim letzten Mal vom Benutzer ausgeführte Aktion (LastTimeUserPerformedAction) |
180 | Beim letzten Mal hat der Benutzer die gleiche Aktion ausgeführt. | <Timestamp> |
Eine ähnliche Aktion wurde in der Vergangenheit nicht ausgeführt. (SimilarActionWasn'tPerformedInThePast) |
30 | Keine Aktion wurde vom Benutzer im gleichen Ressourcenanbieter durchgeführt. | TRUE, FALSE |
Quell-IP-Standort (SourceIPLocation) |
N/V | Das Land/die Region wurde aus der Quell-IP der Aktion aufgelöst. | [Surrey, England] |
Ungewöhnlich hohe Anzahl an Vorgängen (UncommonHighVolumeOfOperations) |
7 | Ein Benutzer hat einen Burst ähnlicher Vorgänge innerhalb desselben Anbieters durchgeführt. | TRUE, FALSE |
Ungewöhnliche Anzahl von Fehlern beim bedingten Microsoft Entra-Zugriff (UnusualNumberOfAADConditionalAccessFailures) |
5 | Eine ungewöhnliche Anzahl von Benutzern konnte sich aufgrund des bedingten Zugriffs nicht authentifizieren. | TRUE, FALSE |
Ungewöhnliche Anzahl von Geräten wurde hinzugefügt (UnusualNumberOfDevicesAdded) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten hinzugefügt. | TRUE, FALSE |
Ungewöhnliche Anzahl von Geräten wurde gelöscht (UnusualNumberOfDevicesDeleted) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten gelöscht. | TRUE, FALSE |
Ungewöhnliche Anzahl von Benutzern wurde der Gruppe hinzugefügt (UnusualNumberOfUsersAddedToGroup) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Benutzern einer Gruppe hinzugefügt. | TRUE, FALSE |
IdentityInfo-Tabelle
Nach der Aktivierung von UEBA für Ihren Microsoft Sentinel-Arbeitsbereich werden Daten aus Ihrer Microsoft Entra ID-Instanz zur Verwendung in Microsoft Sentinel mit der IdentityInfo-Tabelle in Log Analytics synchronisiert. Sie können aus Microsoft Entra ID synchronisierte Benutzerdaten in Ihre Analyseregeln einbetten, um Ihre Analysen für Ihre Anwendungsfälle zu verbessern und Fehlalarme zu reduzieren.
Die Erstsynchronisierung kann einige Tage dauern. Nachdem die Daten vollständig synchronisiert wurden, gilt Folgendes:
Änderungen, die an Ihren Benutzerprofilen, Gruppen und Rollen in der Microsoft Entra-ID vorgenommen wurden, werden innerhalb von 15 bis 30 Minuten in der Tabelle "IdentityInfo " aktualisiert.
Microsoft Sentinel führt alle 14 Tage eine erneute Synchronisierung mit Ihrer gesamten Microsoft Entra ID-Instanz durch, um sicherzustellen, dass veraltete Datensätze vollständig aktualisiert werden.
Die Standardaufbewahrungsdauer in der IdentityInfo-Tabelle beträgt 30 Tage.
Begrenzungen
Derzeit werden nur integrierte Rollen unterstützt.
Daten zu gelöschten Gruppen, bei denen ein Benutzer aus einer Gruppe entfernt wurde, werden derzeit nicht unterstützt.
Versionen der IdentityInfo-Tabelle
Es gibt tatsächlich zwei Versionen der IdentityInfo-Tabelle :
- Die Log Analytics-Schemaversion dient Microsoft Sentinel im Azure-Portal.
- Die Erweiterte Suchschemaversion dient Microsoft Sentinel im Microsoft Defender-Portal über Microsoft Defender for Identity.
Beide Versionen dieser Tabelle werden von Microsoft Entra ID gefüttert, aber die Log Analytics-Version hat einige Felder hinzugefügt.
Microsoft Sentinel im Microsoft Defender-Portal verwendet die Erweiterte Suchversion dieser Tabelle. Um die Unterschiede zwischen den beiden Versionen der Tabelle zu minimieren, werden die meisten eindeutigen Felder in der Log Analytics-Version schrittweise der Erweiterten Suchversion hinzugefügt. Unabhängig davon, in welchem Portal Sie Microsoft Sentinel verwenden, haben Sie Zugriff auf fast alle gleichen Informationen, obwohl es möglicherweise einen kleinen Zeitabstand bei der Synchronisierung zwischen den Versionen gibt. Weitere Informationen finden Sie in der Dokumentation der Erweiterten Suchversion dieser Tabelle.
In der folgenden Tabelle werden die Benutzeridentitätsdaten beschrieben, die in der Tabelle "IdentityInfo" in Log Analytics im Azure-Portal enthalten sind. Die vierte Spalte zeigt die entsprechenden Felder in der Erweiterten Suchversion der Tabelle, die Microsoft Sentinel im Defender-Portal verwendet. Feldnamen in Fettdruck werden im Schema "Erweiterte Suche " anders benannt als in der Microsoft Sentinel Log Analytics-Version.
Feldname in Log Analytics-Schema |
Typ | Beschreibung | Feldname in Schema für die erweiterte Suche |
---|---|---|---|
AccountCloudSID | Zeichenfolge | Die Microsoft Entra-Sicherheits-ID des Kontos. | CloudSid |
AccountCreationTime | datetime | Das Datum, an dem das Benutzerkonto erstellt wurde (UTC). | CreatedDateTime |
AccountDisplayName | Zeichenfolge | Der Anzeigename des Benutzerkontos. | AccountDisplayName |
AccountDomain | Zeichenfolge | Der Domänenname des Benutzerkontos. | AccountDomain |
AccountName | Zeichenfolge | Der Benutzername des Benutzerkontos. | AccountName |
AccountObjectId | Zeichenfolge | Die Microsoft Entra-Objekt-ID für das Benutzerkonto. | AccountObjectId |
AccountSID | Zeichenfolge | Die lokale Sicherheits-ID des Benutzerkontos. | AccountSID |
AccountTenantId | Zeichenfolge | Die Microsoft Entra-Mandanten-ID für das Benutzerkonto. | -- |
AccountUPN | Zeichenfolge | Der Benutzerprinzipalname des Benutzerkontos. | AccountUPN |
AdditionalMailAddresses | dynamisch | Die zusätzlichen E-Mail-Adressen des Benutzers. | -- |
AssignedRoles | dynamisch | Die Microsoft Entra-Rollen, denen das Benutzerkonto zugewiesen ist. | AssignedRoles |
BlastRadius | Zeichenfolge | Eine Berechnung, die auf der Position der Benutzer*innen in der Organisationsstruktur und den Microsoft Entra-Rollen und -Berechtigungen der Benutzer*innen basiert. Mögliche Werte: Niedrig, Mittel, Hoch |
-- |
ChangeSource | Zeichenfolge | Die Quelle der letzten Änderung an der Entität. Mögliche Werte: |
ChangeSource |
CompanyName | Der Firmenname, zu dem der Benutzer gehört. | -- | |
Ort | Zeichenfolge | Der Ort für das Benutzerkonto. | City |
Land | Zeichenfolge | Das Land/die Region des Benutzerkontos. | Land / Region |
DeletedDateTime | datetime | Das Datum und die Uhrzeit der Löschung des Benutzers. | -- |
Abteilung | Zeichenfolge | Die Abteilung für das Benutzerkonto. | Department |
GivenName | Zeichenfolge | Der Vorname für das Benutzerkonto. | GivenName |
GroupMembership | dynamisch | Microsoft Entra-Gruppen, in denen das Benutzerkonto Mitglied ist. | -- |
IsAccountEnabled | bool | Ein Hinweis darauf, ob das Benutzerkonto in Microsoft Entra ID aktiviert ist oder nicht. | IsAccountEnabled |
JobTitle | Zeichenfolge | Die Position für das Benutzerkonto. | JobTitle |
MailAddress | Zeichenfolge | Die primäre E-Mail-Adresse für das Benutzerkonto. | EmailAddress |
Manager | Zeichenfolge | Der Alias des Vorgesetzten für das Benutzerkonto. | Manager |
OnPremisesDistinguishedName | Zeichenfolge | Der Microsoft Entra ID-DN (Distinguished Name). Ein DN ist eine Sequenz relativer DNs (RDN), die durch Kommas verbunden sind. | DistinguishedName |
Telefonnummer | Zeichenfolge | Die Telefonnummer für das Benutzerkonto. | Telefonnummer |
SourceSystem | Zeichenfolge | Das System, in dem der Benutzer verwaltet wird. Mögliche Werte: |
SourceProvider |
Status | Zeichenfolge | Das Bundesland/der Kanton für das Benutzerkonto. | State |
StreetAddress | Zeichenfolge | Die Büroadresse für das Benutzerkonto. | Adresse |
Surname | Zeichenfolge | Nachname des Benutzers Dienstkonto. | Nachname |
TenantId | Zeichenfolge | Die Mandanten-ID des Benutzers. | -- |
TimeGenerated | datetime | Der Zeitpunkt, zu dem das Ereignis generiert wurde (UTC). | Timestamp |
Typ | Zeichenfolge | Der Name der Tabelle. | -- |
UserAccountControl | dynamisch | Sicherheitsattribute des Benutzerkontos in der AD-Domäne. Mögliche Werte (kann mehr als einen enthalten): |
-- |
UserState | Zeichenfolge | Der aktuelle Status des Benutzerkontos in Microsoft Entra ID. Mögliche Werte: |
-- |
UserStateChangedOn | datetime | Das Datum der letzten Änderung des Kontozustands (UTC). | -- |
UserType | Zeichenfolge | Der Benutzertyp. | -- |
Nächste Schritte
In diesem Dokument wurde das Tabellenschema der Entitätsverhaltensanalyse in Microsoft Sentinel beschrieben.
- Erfahren Sie mehr über die Entitätsverhaltensanalyse.
- UEBA in Microsoft Sentinel aktivieren.
- Verwenden von UEBA in Ihren Untersuchungen.