次の方法で共有


Microsoft Sentinel UEBA リファレンス

このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。

重要

Microsoft Sentinel は、Microsoft Defender ポータルの Microsoft の統合セキュリティ オペレーション プラットフォーム内で一般提供されています。 プレビューでは、Microsoft Defender XDR または E5 ライセンスなしで Microsoft Sentinel を Defender ポータルで利用できます。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。

UEBA データ ソース

これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。

データ ソース イベント
Microsoft Entra ID
サインイン ログ
すべて
Microsoft Entra ID
監査ログ
ApplicationManagement
DirectoryManagement
GroupManagement
Device
RoleManagement
UserManagementCategory
Azure のアクティビティ ログ 承認
AzureActiveDirectory
課金
Compute
従量課金
KeyVault
デバイス
ネットワーク
リソース
Intune
ロジック
Sql
ストレージ
Windows セキュリティ イベント
WindowsEvent または
SecurityEvent
4624: アカウントが正常にログオンしました
4625: アカウントのログオンに失敗しました
4648: 明示的な資格情報を使用してログオンが試行されました
4672: 新しいログオンに特権が割り当てられました
4688: 新しいプロセスが作成されました

UEBA エンリッチメント

このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 これらのエンリッチメントはエンティティ ページに表示され、次の Log Analytics テーブルで確認できます。内容とスキーマは次のとおりです。

  • BehaviorAnalytics テーブルには、UEBA の出力情報が格納されます。

    BehaviorAnalytics テーブルに含まれる以下の 3 つの動的フィールドについて、次の「エンティティ エンリッチメント動的フィールド」のセクションで説明します。

    • UsersInsights および DevicesInsights フィールドには、Active Directory または Microsoft Entra ID および Microsoft 脅威インテリジェンス ソースのエンティティ情報が格納されます。

    • ActivityInsights フィールドには、Microsoft Sentinel のエンティティ行動分析によって作成される行動プロファイルに基づくエンティティ情報が格納されます。

      ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、この動的なベースラインの派生元であるルックバック期間が定義されています。 このルックバック期間は、この表の「ベースライン」列で指定されています。

  • IdentityInfo テーブルには、Microsoft Entra ID から (および Microsoft Defender for Identity 経由でオンプレミスの Active Directory から) UEBA に同期された ID 情報が格納されます。

BehaviorAnalytics テーブル

次の表に、Microsoft Sentinel の各エンティティの詳細ページに表示される行動分析データを示します。

フィールド タイプ 説明
TenantId string テナントの一意の ID 番号。
SourceRecordId string EBA イベントの一意の ID 番号。
TimeGenerated DATETIME アクティビティの発生のタイムスタンプ。
TimeProcessed DATETIME EBA エンジンによるアクティビティの処理のタイムスタンプ。
ActivityType string アクティビティの高レベルのカテゴリ。
ActionType string アクティビティの標準化名。
UserName string アクティビティを開始したユーザーのユーザー名。
UserPrincipalName string アクティビティを開始したユーザーの完全なユーザー名。
EventSource string 元のイベントを提供したデータ ソース。
SourceIPAddress string アクティビティが開始された元の IP アドレス。
SourceIPLocation string アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。
SourceDevice string アクティビティを開始したデバイスのホスト名。
DestinationIPAddress string アクティビティのターゲットの IP アドレス。
DestinationIPLocation string IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。
DestinationDevice string ターゲット デバイスの名前。
UsersInsights 動的 関連するユーザーのコンテキスト エンリッチメント (詳細は後述)。
DevicesInsights 動的 関連するデバイスのコンテキスト エンリッチメント (詳細は後述)。
ActivityInsights 動的 プロファイリングに基づくアクティビティのコンテキスト分析 (詳細は後述)。
InvestigationPriority INT 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。

エンティティ エンリッチメントの動的フィールド

注意

このセクションのテーブルのエンリッチメント名列には、2 行の情報が表示されます。

  • 1 行目には、エンリッチメントの "フレンドリ名" が太字で示されています。
  • " (斜体とかっこ) " で示された 2 行目は、「行動分析テーブル」に格納されるエンリッチメントのフィールド名です。

UsersInsights フィールド

次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドで使用されるエンリッチメントについて説明します。

エンリッチメント名 説明 値の例
Account display name (アカウントの表示名)
(AccountDisplayName)
ユーザーのアカウント表示名。 Admin、Hayden Cook
アカウントのドメイン
(AccountDomain)
ユーザーのアカウント ドメイン名。
Account object ID (アカウント オブジェクト ID)
(AccountObjectID)
ユーザーのアカウント オブジェクト ID。 aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
爆発半径
(BlastRadius)
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 BlastRadius を計算するには、Microsoft Entra ID で Manager プロパティが設定されている必要があります。 低、中、高
Is dormant account (非アクティブ アカウント)
(IsDormantAccount)
アカウントは過去 180 日間使用されていません。 True、False
Is local admin (ローカル管理者)
(IsLocalAdmin)
アカウントにはローカル管理者特権があります。 True、False
Is new account (新しいアカウント)
(IsNewAccount)
アカウントは過去 30 日以内に作成されました。 True、False
On premises SID (オンプレミス SID)
(OnPremisesSID)
アクションに関連するユーザーのオンプレミスの SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights フィールド

次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで使用されるエンリッチメントについて説明します。

エンリッチメント名 説明 値の例
ブラウザー
(Browser)
アクションで使用されたブラウザー。 Microsoft Edge、Chrome
デバイス ファミリ
(DeviceFamily)
アクションで使用されたデバイス ファミリ。 Windows
Device type (デバイスの種類)
(DeviceType)
アクションで使用されたクライアント デバイスの種類 デスクトップ
ISP
(ISP)
アクションで使用されたインターネット サービス プロバイダー。
オペレーティング システム
(OperatingSystem)
アクションで使用されたオペレーティング システム。 Windows 10
Threat intel indicator description (脅威インテリジェンス インジケーターの説明)
(ThreatIntelIndicatorDescription)
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 Host  is  member  of  botnet:  azorult (ホストはボットネット azorult のメンバーである)
Threat intel indicator type (脅威インテリジェンス インジケーターの種類)
(ThreatIntelIndicatorType)
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist
User agent
(UserAgent)
アクションで使用されたユーザー エージェント。 Microsoft Azure Graph Client Library 1.0、
​Swagger-Codegen/1.4.0.0/csharp、
EvoSTS
User agent family (ユーザー エージェント ファミリ)
(UserAgentFamily)
アクションで使用されたユーザー エージェント ファミリ。 Chrome、Microsoft Edge、Firefox

ActivityInsights フィールド

次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで使用されるエンリッチメントについて説明します。

実行されたアクション
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user performed action (ユーザーによる初めてのアクションの実行)
(FirstTimeUserPerformedAction)
180 そのユーザーはそのアクションを初めて実行しました。 True、False
Action uncommonly performed by user (ユーザーによってあまり実行されないアクション)
(ActionUncommonlyPerformedByUser)
10 そのユーザーはそのアクションをあまり実行しません。 True、False
Action uncommonly performed among peers (同僚によってあまり実行されないアクション)
(ActionUncommonlyPerformedAmongPeers)
180 ユーザーの同僚はそのアクションをあまり実行しません。 True、False
First time action performed in tenant (テナントでの初めてのアクションの実行)
(FirstTimeActionPerformedInTenant)
180 組織内の誰かが、そのアクションを初めて実行しました。 True、False
Action uncommonly performed in tenant (テナントであまり実行されないアクション)
(ActionUncommonlyPerformedInTenant)
180 その組織ではそのアクションをあまり実行しません。 True、False
使用されたアプリ
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user used app (ユーザーによる初めてのアプリの使用)
(FirstTimeUserUsedApp)
180 そのユーザーはそのアプリを初めて使用しました。 True、False
App uncommonly used by user (ユーザーによってあまり使用されないアプリ)
(AppUncommonlyUsedByUser)
10 そのユーザーはそのアプリをあまり使用しません。 True、False
App uncommonly used among peers (同僚によってあまり使用されないアプリ)
(AppUncommonlyUsedAmongPeers)
180 ユーザーの同僚はそのアプリをあまり使用しません。 True、False
First time app observed in tenant (テナントでのアプリの初めての観察)
(FirstTimeAppObservedInTenant)
180 そのアプリは、その組織で初めて観察されました。 True、False
App uncommonly used in tenant (テナントであまり使用されないアプリ)
(AppUncommonlyUsedInTenant)
180 そのアプリはその組織ではあまり使用されません。 True、False
使用されたブラウザー
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user connected via browser (ユーザーによるブラウザーでの初めての接続)
(FirstTimeUserConnectedViaBrowser)
30 そのユーザーによるそのブラウザーの使用が初めて観察されました。 True、False
Browser uncommonly used by user (ユーザーによってあまり使用されないブラウザー)
(BrowserUncommonlyUsedByUser)
10 そのユーザーはそのブラウザーをあまり使用しません。 True、False
Browser uncommonly used among peers (同僚によってあまり使用されないブラウザー)
(BrowserUncommonlyUsedAmongPeers)
30 ユーザーの同僚はそのブラウザーをあまり使用しません。 True、False
First time browser observed in tenant (テナントでのブラウザーの初めての観察)
(FirstTimeBrowserObservedInTenant)
30 そのブラウザーは、その組織で初めて観察されました。 True、False
Browser uncommonly used in tenant (テナントであまり使用されないブラウザー)
(BrowserUncommonlyUsedInTenant)
30 そのブラウザーはその組織ではあまり使用されません。 True、False
接続先の国/地域
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user connected from country (ユーザーが初めて接続してきた国)
(FirstTimeUserConnectedFromCountry)
90 IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 True、False
Country uncommonly connected from by user (ユーザーがあまり接続してこない国)
(CountryUncommonlyConnectedFromByUser)
10 IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 True、False
Country uncommonly connected from among peers (同僚があまり接続してこない国)
(CountryUncommonlyConnectedFromAmongPeers)
90 IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。 True、False
First time connection from country observed in tenant (テナントで観察された初めて接続してきた国)
(FirstTimeConnectionFromCountryObservedInTenant)
90 国/地域は、組織内のすべてのユーザーによって初めて接続されました。 True、False
Country uncommonly connected from in tenant (テナントであまり接続されない国)
(CountryUncommonlyConnectedFromInTenant)
90 IP アドレスからの解決で、テナントはその地域からあまり接続されません。 True、False
接続に使用されたデバイス
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user connected from device (ユーザーが初めて接続してきたデバイス)
(FirstTimeUserConnectedFromDevice)
30 そのユーザーはそのソース デバイスから初めて接続しました。 True、False
Device uncommonly used by user (ユーザーによってあまり使用されないデバイス)
(DeviceUncommonlyUsedByUser)
10 そのユーザーはそのデバイスをあまり使用しません。 True、False
Device uncommonly used among peers (同僚によってあまり使用されないデバイス)
(DeviceUncommonlyUsedAmongPeers)
180 ユーザーの同僚はそのデバイスをあまり使用しません。 True、False
First time device observed in tenant (テナントでのデバイスの初めての観察)
(FirstTimeDeviceObservedInTenant)
30 そのデバイスは、その組織で初めて観察されました。 True、False
Device uncommonly used in tenant (テナントであまり使用されないデバイス)
(DeviceUncommonlyUsedInTenant)
180 そのデバイスはその組織ではあまり使用されません。 True、False
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user logged on to device (ユーザーによるデバイスへの初めてのログオン)
(FirstTimeUserLoggedOnToDevice)
180 そのユーザーはそのターゲット デバイスに初めて接続しました。 True、False
Device family uncommonly used in tenant (テナントであまり使用されないデバイス ファミリ)
(DeviceFamilyUncommonlyUsedInTenant)
30 そのデバイス ファミリはその組織ではあまり使用されません。 True、False
接続に使用されたインターネット サービス プロバイダー
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user connected via ISP (ユーザーによる ISP での初めての接続)
(FirstTimeUserConnectedViaISP)
30 そのユーザーによるその ISP の使用が初めて観察されました。 True、False
ISP uncommonly used by user (ユーザーによってあまり使用されない ISP)
(ISPUncommonlyUsedByUser)
10 そのユーザーはその ISP をあまり使用しません。 True、False
ISP uncommonly used among peers (同僚によってあまり使用されない ISP)
(ISPUncommonlyUsedAmongPeers)
30 ユーザーの同僚はその ISP をあまり使用しません。 True、False
First time connection via ISP in tenant (テナントでの ISP 経由による初めての接続)
(FirstTimeConnectionViaISPInTenant)
30 その ISP は、その組織で初めて観察されました。 True、False
ISP uncommonly used in tenant (テナントであまり使用されない ISP)
(ISPUncommonlyUsedInTenant)
30 その ISP はその組織ではあまり使用されません。 True、False
アクセス先のリソース
エンリッチメント名 ベースライン (日数) 説明 値の例
First time user accessed resource (ユーザーによるリソースへの初めてのアクセス)
(FirstTimeUserAccessedResource)
180 そのリソースはそのユーザーによって初めてアクセスされました。 True、False
Resource uncommonly accessed by user (ユーザーがあまりアクセスしないリソース)
(ResourceUncommonlyAccessedByUser)
10 そのユーザーはそのリソースにあまりアクセスしません。 True、False
Resource uncommonly accessed among peers (同僚があまりアクセスしないリソース)
(ResourceUncommonlyAccessedAmongPeers)
180 ユーザーの同僚はそのリソースにあまりアクセスしません。 True、False
First time resource accessed in tenant (テナントでのリソースへの初めてのアクセス)
(FirstTimeResourceAccessedInTenant)
180 組織内の誰かが、そのリソースに初めてアクセスしました。 True、False
Resource uncommonly accessed in tenant (テナントがあまりアクセスしないリソース)
(ResourceUncommonlyAccessedInTenant)
180 その組織はそのリソースにあまりアクセスしません。 True、False
その他
エンリッチメント名 ベースライン (日数) 説明 値の例
Last time user performed action (ユーザーによる最後のアクションの実行)
(LastTimeUserPerformedAction)
180 ユーザーが同じアクションを最後に実行した日時。 <Timestamp>
Similar action wasn't performed in the past (過去に類似のものが実行されたことのないアクション)
(SimilarActionWasn'tPerformedInThePast)
30 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 True、False
Source IP location (ソース IP の場所)
(SourceIPLocation)
N/A アクションのソース IP から解決された国/地域。 [Surrey、England]
Uncommon high volume of operations (一般的でない大量の操作)
(UncommonHighVolumeOfOperations)
7 ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 True、False
Unusual number of Microsoft Entra Conditional Access failures (Microsoft Entra 条件付きアクセスの異常な回数の失敗)
(UnusualNumberOfAADConditionalAccessFailures)
5 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました True、False
Unusual number of devices added (異常な数のデバイスの追加)
(UnusualNumberOfDevicesAdded)
5 ユーザーが異常な数のデバイスを追加しました。 True、False
Unusual number of devices deleted (異常な数のデバイスの削除)
(UnusualNumberOfDevicesDeleted)
5 ユーザーが異常な数のデバイスを削除しました。 True、False
Unusual number of users added to group (異常な数のユーザーのグループへの追加)
(UnusualNumberOfUsersAddedToGroup)
5 ユーザーが異常な数のユーザーをグループに追加しました。 True、False

IdentityInfo テーブル

Microsoft Sentinel ワークスペースの UEBA を有効にした後、Microsoft Entra ID のデータが、Microsoft Sentinel で使用するために Log Analytics の IdentityInfo テーブルに同期されます。 Microsoft Entra ID から同期されたユーザー データを分析ルールに埋め込み、ユース ケースに合うように分析を強化して、擬陽性を減らすことができます。

初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。

  • Microsoft Entra ID でユーザー プロファイル、グループ、ロールに加えられた変更は、 IdentityInfo テーブルで 15 から 30 分以内に更新されます。

  • 古いレコードが完全に更新されるように、Microsoft Sentinel では14日ごとに Microsoft Entra ID 全体と同期し直します。

  • IdentityInfo テーブルの既定の保有期間は 30 日です。

制限事項

  • 現在サポートされているのは組み込みロールだけです。

  • 削除されたグループ (ユーザーがグループから削除された場所) についてのデータは、現在サポートされていません。

IdentityInfo テーブルのバージョン

実際には、 IdentityInfo テーブルには次の 2 つのバージョンがあります。

  • Log Analytics スキーマ バージョンは、Azure portal で Microsoft Sentinel に対応します。
  • Advanced hunting スキーマ バージョンは、Microsoft Defender for Identity を介して Microsoft Defender ポータルで Microsoft Sentinel にサービスを提供します。

このテーブルの両方のバージョンは Microsoft Entra ID によって提供されますが、Log Analytics バージョンではいくつかのフィールドが追加されました。

Microsoft Defender ポータルの Microsoft Sentinel では、このテーブルの Advanced hunting バージョンが使用されます。 テーブルの 2 つのバージョン間の違いを最小限に抑えるために、Log Analytics バージョンの一意のフィールドのほとんどは、 Advanced hunting バージョンにも徐々に追加されます。 Microsoft Sentinel を使用しているポータルに関係なく、ほぼすべて同じ情報にアクセスできますが、バージョン間の同期にわずかなタイム ラグが発生する可能性があります。 詳細については、この表の Advanced hunting バージョンの文書を参照してください

次の表では、Azure portal の Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。 4 番目の列には、Microsoft Sentinel が Defender ポータルで使用するテーブルの Advanced hunting バージョンの対応するフィールドが表示されます。 太字のフィールド名は、 Advanced hunting スキーマでは、Microsoft Sentinel Log Analytics バージョンとは異なる名前になります。

フィールド名
Log Analytics のスキーマ
説明 フィールド名
高度なハンティング スキーマ
AccountCloudSID string アカウントの Microsoft Entra セキュリティ識別子。 CloudSid
AccountCreationTime DATETIME ユーザー アカウントが作成された日付 (UTC)。 CreatedDateTime
AccountDisplayName string ユーザー アカウントの表示名。 AccountDisplayName
AccountDomain string ユーザー アカウントのドメイン名。 AccountDomain
AccountName string ユーザー アカウントのユーザー名。 アカウント名 (AccountName)
AccountObjectId string ユーザー アカウントの Microsoft Entra オブジェクト ID。 AccountObjectId
AccountSID string ユーザー アカウントのオンプレミス セキュリティ識別子。 AccountSID
AccountTenantId string ユーザー アカウントの Microsoft Entra テナント ID。 --
AccountUPN string ユーザー アカウントのユーザー プリンシパル名。 AccountUPN
AdditionalMailAddresses 動的 ユーザーの追加のメール アドレス。 --
AssignedRoles 動的 ユーザー アカウントが割り当てられている Microsoft Entra ロール。 AssignedRoles
BlastRadius string 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。
使用可能な値: "低、中、高"
--
ChangeSource string エンティティに対し、最新の変更があるソース。
可能な値:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • "ウォッチリスト"
  • FullSync
  • ChangeSource
    CompanyName ユーザーが属する会社名。 --
    City (市) string ユーザー アカウントの市。
    string ユーザー アカウントの国/地域。
    DeletedDateTime DATETIME ユーザーが削除された日時。 --
    部門 string ユーザー アカウントの部門。 部署
    GivenName string ユーザー アカウントの名。 GivenName
    GroupMembership 動的 ユーザー アカウントがメンバーになっている Microsoft Entra グループ。 --
    IsAccountEnabled [bool] ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。 IsAccountEnabled
    JobTitle string ユーザー アカウントの役職。 JobTitle
    MailAddress string ユーザー アカウントのプライマリ メール アドレス。 EmailAddress
    マネージャー string ユーザー アカウントのマネージャーの別名。 管理者
    OnPremisesDistinguishedName string Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 DistinguishedName
    電話 string ユーザー アカウントの電話番号。 スマートフォン
    SourceSystem string ユーザーが管理されているシステム。
    可能な値:
  • AzureActiveDirectory
  • ActiveDirectory
  • "ハイブリッド"
  • SourceProvider
    状態 string ユーザー アカウントの地理的な状態。 都道府県
    StreetAddress string ユーザー アカウントのオフィスの番地。 住所
    Surname string ユーザーの姓名の姓。 アカウント。 Surname
    TenantId string ユーザーのテナント ID。 --
    TimeGenerated DATETIME イベントが生成された時刻 (UTC)。 Timestamp
    Type string テーブルの名前。 --
    UserAccountControl 動的 AD ドメイン内のユーザー アカウントのセキュリティ属性。
    指定できる値 (複数の値を含む場合があります):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState string Microsoft Entra ID におけるユーザー アカウントの現在の状態。
    指定できる値
  • アクティブ
  • Disabled
  • "休止中"
  • "ロックアウト"
  • --
    UserStateChangedOn DATETIME アカウントの状態が最後に変更された日付 (UTC)。 --
    UserType string ユーザーの種類。 --

    次の手順

    このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。