Microsoft Sentinel UEBA 참조
이 참조 문서에는 Microsoft Sentinel의 사용자 및 엔터티 동작 분석 서비스에 대한 입력 데이터 원본이 나와 있습니다. 또한 UEBA에서는 엔터티에 추가되는 보강을 설명하여 경고 및 인시던트에 필요한 컨텍스트를 제공합니다.
Important
Microsoft Sentinel은 일반적으로 Microsoft Defender 포털에서 Microsoft의 통합 보안 운영 플랫폼 내에서 사용할 수 있습니다. 미리 보기로 Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스 없이 Defender 포털에서 사용할 수 있습니다. 자세한 내용은 Microsoft Defender 포털의 Microsoft Sentinel을 참조하세요.
UEBA 데이터 원본
UEBA 엔진은 데이터를 수집, 분석하여 ML 모델을 학습시키고 사용자, 디바이스 및 기타 엔터티에 대한 동작 기준을 설정하는 데이터 원본입니다. 그런 다음 UEBA는 이러한 원본에서 데이터를 확인하여 변칙을 찾고 인사이트를 수집합니다.
| 데이터 원본 | 이벤트 |
|---|---|
| Microsoft Entra ID 로그인 로그 |
모두 |
| Microsoft Entra ID 감사 로그 |
ApplicationManagement DirectoryManagement GroupManagement 디바이스 RoleManagement UserManagementCategory |
| Azure 활동 로그 | Authorization AzureActiveDirectory 결제 Compute 소비 KeyVault 장치 네트워크 리소스 Intune 논리 Sql 스토리지 |
| Windows 보안 이벤트 WindowsEvent 또는 SecurityEvent |
4624: 계정에 로그온됨 4625: 계정에 로그온하지 못함 4648: 명시적 자격 증명을 사용해 로그온을 시도함 4672: 역할에 할당된 데이터베이스 개체 권한 4688: 새 프로세스가 만들어짐 |
UEBA 보강
이 섹션에서는 보안 인시던트 조사에 집중하고 이를 강화하는 데 사용할 수 있는 모든 세부 정보와 함께 UEBA에서 Microsoft Sentinel 엔터티에 추가하는 보강에 대해 설명합니다. 이러한 보강은 엔터티 페이지에 표시되고 다음 로그 분석 테이블에서 찾을 수 있으며, 그 내용과 스키마는 아래에 나열되어 있습니다.
BehaviorAnalytics 테이블은 UEBA의 출력 정보가 저장되는 위치입니다.
BehaviorAnalytics 테이블의 다음 세 가지 동적 필드는 아래의 엔터티 보강 동적 필드에 설명되어 있습니다.
UsersInsights 및 DevicesInsights 필드에는 Active Directory/Microsoft Entra ID 및 Microsoft Threat Intelligence 원본의 엔터티 정보가 포함됩니다.
ActivityInsights 필드에는 Microsoft Sentinel의 엔터티 동작 분석에 의해 구축된 동작 프로필을 기반으로 하는 엔터티 정보가 포함됩니다.
사용자 활동은 사용될 때마다 동적으로 컴파일되는 기준에 따라 분석됩니다. 각 활동에는 동적 기준이 파생되는 정의된 조회 기간이 있습니다. 조회 기간은 이 테이블의 초기 계획 열에 지정됩니다.
IdentityInfo 테이블은 Microsoft Entra ID(및 Microsoft Defender for Identity를 통한 온-프레미스 Active Directory)에서 UEBA에 동기화된 ID 정보가 저장되는 위치입니다.
BehaviorAnalytics 테이블
다음 표에서는 Microsoft Sentinel의 각 엔터티 세부 정보 페이지에 표시되는 동작 분석 데이터를 설명합니다.
| 필드 | 형식 | 설명 |
|---|---|---|
| TenantId | string | 테넌트의 고유한 ID 번호입니다. |
| SourceRecordId | string | EBA 이벤트의 고유 ID 번호입니다. |
| TimeGenerated | 날짜/시간 | 작업 발생의 타임스탬프입니다. |
| TimeProcessed | 날짜/시간 | EBA 엔진에서 작업 처리의 타임스탬프입니다. |
| ActivityType | string | 활동의 상위 수준 범주입니다. |
| ActionType | string | 활동의 정규화된 이름입니다. |
| UserName | string | 활동을 시작한 사용자의 사용자 이름입니다. |
| UserPrincipalName | string | 활동을 시작한 사용자의 전체 사용자 이름입니다. |
| EventSource | string | 원래 이벤트를 제공한 데이터 원본입니다. |
| SourceIPAddress | string | 활동이 시작된 IP 주소입니다. |
| SourceIPLocation | string | 활동이 시작된 국가/지역이며 IP 주소에서 보강됩니다. |
| SourceDevice | string | 활동을 시작한 디바이스의 호스트 이름입니다. |
| DestinationIPAddress | string | 활동 대상의 IP 주소입니다. |
| DestinationIPLocation | string | IP 주소에서 보강된 활동 대상의 국가/지역입니다. |
| DestinationDevice | string | 대상 디바이스의 이름입니다. |
| UsersInsights | dynamic | 관련 사용자의 상황별 보강입니다(아래 세부 정보). |
| DevicesInsights | dynamic | 관련된 디바이스의 컨텍스트 보강(아래 세부 정보). |
| ActivityInsights | dynamic | 프로파일링을 기반으로 하는 활동의 컨텍스트 분석(아래 세부 정보). |
| InvestigationPriority | int | 0-10 사이의 변칙 점수(0=무해, 10=매우 비정상)입니다. |
엔터티 보강 동적 필드
참고 항목
이 섹션의 테이블에 있는 보강 이름 열에는 두 행의 정보가 표시됩니다.
- 첫 번째는 보강의 "식별 이름"(굵게)입니다.
- 두 번째(기울임꼴 및 괄호)는 Behavior Analytics 테이블에 저장된 보강의 필드 이름입니다.
UsersInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 UsersInsights 동적 필드에 제공되는 보강에 대해 설명합니다.
| 보강 이름 | 설명 | 샘플 값 |
|---|---|---|
| 계정 표시 이름 (AccountDisplayName) |
사용자의 계정 표시 이름입니다. | 관리자, Hayden Cook |
| 계정 도메인 (AccountDomain) |
사용자의 계정 도메인 이름입니다. | |
| 계정 개체 ID (AccountObjectID) |
사용자의 계정 개체 ID입니다. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
| 폭발 반경 (BlastRadius) |
폭발 반경은 조직 트리에서 사용자의 위치 및 사용자의 Microsoft Entra 역할 및 권한과 같은 여러 요인에 따라 계산됩니다. 계산하려면 BlastRadius에 대한 Microsoft Entra ID로 관리자 속성이 채워져 있어야 합니다. | 낮음, 보통, 높음 |
| 휴면 계정인 경우 (IsDormantAccount) |
지난 180일간 계정이 사용되지 않았습니다. | True, False |
| 로컬 관리자인가요? (IsLocalAdmin) |
계정에 로컬 관리자 권한이 있습니다. | True, False |
| 새 계정 (IsNewAccount) |
이 계정은 지난 30일 이내에 만들어졌습니다. | True, False |
| 온-프레미스 SID (OnPremisesSID) |
작업과 관련된 사용자의 온-프레미스 SID입니다. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 DevicesInsights 동적 필드에 있는 보강에 대해 설명합니다.
| 보강 이름 | 설명 | 샘플 값 |
|---|---|---|
| 브라우저 (브라우저) |
작업에 사용되는 브라우저입니다. | Edge, Chrome |
| 디바이스 패밀리 (DeviceFamily) |
작업에 사용되는 디바이스 패밀리입니다. | Windows |
| 디바이스 유형 (DeviceType) |
작업에 사용되는 클라이언트 디바이스 유형입니다. | 바탕 화면 |
| ISP (ISP) |
작업에 사용되는 인터넷 서비스 공급자입니다. | |
| 운영 체제 (OperatingSystem) |
작업에 사용되는 운영 체제입니다. | Windows 10 |
| 위협 인텔리전스 표시기 설명 (ThreatIntelIndicatorDescription) |
작업에 사용된 IP 주소에서 확인된 관찰된 위협 지표에 대한 설명입니다. | 호스트는 봇네트의 멤버임: azorult |
| 위협 인텔 표시기 유형 (ThreatIntelIndicatorType) |
작업에 사용된 IP 주소에서 확인된 위협 표시기의 유형입니다. | 봇네트, C2, CryptoMining, 다크넷, Ddos, MaliciousUrl, 맬웨어, 피싱, 프록시, PUA, 관심 목록 |
| 사용자 에이전트 (UserAgent) |
작업에 사용되는 사용자 에이전트입니다. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| 사용자 에이전트 패밀리 (UserAgentFamily) |
작업에 사용되는 사용자 에이전트 패밀리입니다. | Chrome, Edge, Firefox |
ActivityInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 ActivityInsights 동적 필드에 있는 보강에 대해 설명합니다.
수행된 작업
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 사용자가 작업을 처음으로 수행 (FirstTimeUserPerformedAction) |
180 | 사용자가 처음으로 작업을 수행했습니다. | True, False |
| 사용자가 자주 수행하지 않은 작업 (ActionUncommonlyPerformedByUser) |
10 | 작업은 일반적으로 사용자가 수행하지 않습니다. | True, False |
| 피어 간에 드물게 수행되는 작업 (ActionUncommonlyPerformedAmongPeers) |
180 | 작업이 사용자의 피어 간에 일반적으로 수행되지 않습니다. | True, False |
| 테넌트에서 처음으로 수행된 작업 (FirstTimeActionPerformedInTenant) |
180 | 이 작업은 조직의 모든 사용자가 처음으로 수행했습니다. | True, False |
| 테넌트에서 드물게 수행되는 작업 (ActionUncommonlyPerformedInTenant) |
180 | 작업은 조직에서 일반적으로 수행되지 않습니다. | True, False |
사용된 앱
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 처음 사용자가 앱을 사용한 경우 (FirstTimeUserUsedApp) |
180 | 사용자가 앱을 처음으로 사용했습니다. | True, False |
| 사용자가 일반적으로 사용하지 않는 앱 (AppUncommonlyUsedByUser) |
10 | 앱은 일반적으로 사용자가 사용하지 않습니다. | True, False |
| 피어 간에 자주 사용되지 않은 앱 (AppUncommonlyUsedAmongPeers) |
180 | 앱은 일반적으로 사용자의 피어 사이에서 사용되지 않습니다. | True, False |
| 테넌트에서 처음으로 앱이 관찰됨 (FirstTimeAppObservedInTenant) |
180 | 조직에서 처음으로 앱이 관찰되었습니다. | True, False |
| 테넌트에서 자주 사용되지 않은 앱 (AppUncommonlyUsedInTenant) |
180 | 앱은 조직에서 일반적으로 사용되지 않습니다. | True, False |
사용된 브라우저
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 브라우저를 통해 처음 연결한 사용자 (FirstTimeUserConnectedViaBrowser) |
30 | 사용자가 브라우저를 처음으로 관찰했습니다. | True, False |
| 사용자가 자주 사용하지 않은 브라우저 (BrowserUncommonlyUsedByUser) |
10 | 브라우저는 일반적으로 사용자가 사용하지 않습니다. | True, False |
| 피어 간에 자주 사용되지 않은 브라우저 (BrowserUncommonlyUsedAmongPeers) |
30 | 브라우저는 일반적으로 사용자의 피어 간에 사용되지 않습니다. | True, False |
| 테넌트에서 처음으로 브라우저가 관찰됨 (FirstTimeBrowserObservedInTenant) |
30 | 조직에서 브라우저가 처음으로 관찰되었습니다. | True, False |
| 테넌트에서 일반적으로 사용되지 않는 브라우저 (BrowserUncommonlyUsedInTenant) |
30 | 브라우저는 조직에서 일반적으로 사용되지 않습니다. | True, False |
에서 연결된 국가/지역
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 처음 사용자가 국가에서 연결됨 (FirstTimeUserConnectedFromCountry) |
90 | 사용자가 IP 주소에서 확인된 지리적 위치에서 처음으로 연결했습니다. | True, False |
| 사용자가 자주 연결하지 않은 국가 (CountryUncommonlyConnectedFromByUser) |
10 | IP 주소에서 확인된 지리적 위치는 사용자가 일반적으로 연결하지 않습니다. | True, False |
| 피어 간에 일반적으로 연결되지 않는 국가 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP 주소에서 확인된 지리적 위치는 일반적으로 사용자의 피어 간에 연결되지 않습니다. | True, False |
| 테넌트에서 관찰된 국가에서 처음 연결 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 국가/지역은 조직의 모든 사용자가 처음으로 연결했습니다. | True, False |
| 테넌트에서 일반적으로 연결되지 않는 국가 (CountryUncommonlyConnectedFromInTenant) |
90 | IP 주소에서 확인된 지리적 위치는 조직에서 일반적으로 연결되지 않습니다. | True, False |
연결하는 데 사용되는 디바이스
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 사용자가 디바이스에서 처음 연결됨 (FirstTimeUserConnectedFromDevice) |
30 | 사용자가 원본 디바이스를 처음으로 연결했습니다. | True, False |
| 사용자가 자주 사용하지 않은 디바이스 (DeviceUncommonlyUsedByUser) |
10 | 디바이스는 일반적으로 사용자가 사용하지 않습니다. | True, False |
| 피어 간에 자주 사용되지 않은 디바이스 (DeviceUncommonlyUsedAmongPeers) |
180 | 디바이스는 사용자의 피어 간에 일반적으로 사용되지 않습니다. | True, False |
| 테넌트에서 처음으로 디바이스가 관찰됨 (FirstTimeDeviceObservedInTenant) |
30 | 디바이스가 조직에서 처음으로 관찰되었습니다. | True, False |
| 테넌트에서 자주 사용되지 않은 디바이스 (DeviceUncommonlyUsedInTenant) |
180 | 디바이스는 조직에서 일반적으로 사용되지 않습니다. | True, False |
기타 디바이스 관련
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 사용자가 디바이스에 처음 로그온한 경우 (FirstTimeUserLoggedOnToDevice) |
180 | 대상 디바이스가 사용자가 처음으로 연결했습니다. | True, False |
| 테넌트에서 자주 사용되지 않은 디바이스 패밀리 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 디바이스 패밀리가 조직에서 일반적으로 사용되지 않습니다. | True, False |
연결하는 데 사용되는 인터넷 서비스 공급자
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| ISP를 통해 처음 연결한 사용자 (FirstTimeUserConnectedViaISP) |
30 | ISP는 사용자가 처음으로 관찰했습니다. | True, False |
| 사용자가 자주 사용하지 않은 ISP (ISPUncommonlyUsedByUser) |
10 | 사용자가 ISP를 일반적으로 사용하지 않습니다. | True, False |
| 피어 간에 자주 사용되지 않은 ISP (ISPUncommonlyUsedAmongPeers) |
30 | ISP는 사용자의 피어 간에 일반적으로 사용되지 않습니다. | True, False |
| 테넌트에서 ISP를 통해 처음 연결 (FirstTimeConnectionViaISPInTenant) |
30 | ISP가 조직에서 처음으로 관찰되었습니다. | True, False |
| 테넌트에서 자주 사용되지 않은 ISP (ISPUncommonlyUsedInTenant) |
30 | ISP는 조직에서 일반적으로 사용되지 않습니다. | True, False |
액세스한 리소스
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 사용자가 리소스에 처음으로 액세스 (FirstTimeUserAccessedResource) |
180 | 사용자가 리소스에 처음으로 액세스했습니다. | True, False |
| 사용자가 일반적으로 액세스하지 않는 리소스 (ResourceUncommonlyAccessedByUser) |
10 | 리소스는 사용자가 일반적으로 액세스하지 않습니다. | True, False |
| 피어 간에 자주 액세스되지 않은 리소스 (ResourceUncommonlyAccessedAmongPeers) |
180 | 리소스는 일반적으로 사용자의 피어 간에 액세스되지 않습니다. | True, False |
| 테넌트에서 처음으로 리소스에 액세스 (FirstTimeResourceAccessedInTenant) |
180 | 조직의 모든 사용자가 처음으로 리소스에 액세스했습니다. | True, False |
| 테넌트에서 일반적으로 액세스되지 않는 리소스 (ResourceUncommonlyAccessedInTenant) |
180 | 리소스는 조직에서 일반적으로 액세스되지 않습니다. | True, False |
기타
| 보강 이름 | 기준(일) | 설명 | 샘플 값 |
|---|---|---|---|
| 사용자가 작업을 마지막으로 수행 (LastTimeUserPerformedAction) |
180 | 마지막으로 사용자가 동일한 작업을 수행했습니다. | <Timestamp> |
| 과거에도 비슷한 작업이 수행되지 않았습니다. (SimilarActionWasn'tPerformedInThePast) |
30 | 사용자가 동일한 리소스 공급자에서 아무 작업도 수행하지 않았습니다. | True, False |
| 원본 IP 위치 (SourceIPLocation) |
해당 사항 없음 | 작업의 원본 IP에서 확인된 국가/지역입니다. | [써리, 잉글랜드] |
| 일반적이지 않은 대량 작업 (UncommonHighVolumeOfOperations) |
7 | 사용자가 동일한 공급자 내에서 유사한 작업의 버스트를 수행했습니다. | True, False |
| 비정상적인 수의 Microsoft Entra 조건부 액세스 실패 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 조건부 액세스로 인해 비정상적인 수의 사용자가 인증하지 못했습니다. | True, False |
| 비정상적인 수의 디바이스가 추가됨 (UnusualNumberOfDevicesAdded) |
5 | 사용자가 비정상적인 수의 디바이스를 추가했습니다. | True, False |
| 비정상적인 수의 디바이스가 삭제됨 (UnusualNumberOfDevicesDeleted) |
5 | 사용자가 비정상적인 수의 디바이스를 삭제했습니다. | True, False |
| 그룹에 추가된 비정상적인 사용자 수 (UnusualNumberOfUsersAddedToGroup) |
5 | 사용자가 그룹에 비정상적인 수의 사용자를 추가했습니다. | True, False |
IdentityInfo 테이블
Microsoft Sentinel 작업 영역에 대해 UEBA를 사용하도록 설정하면 Microsoft Entra ID의 데이터가 Microsoft Sentinel에서 사용하기 위해 Log Analytics의 IdentityInfo 테이블로 동기화됩니다. 분석 규칙에 Microsoft Entra ID에서 동기화된 사용자 데이터를 포함하여 사용 사례에 맞게 분석을 개선하고 가양성을 줄일 수 있습니다.
초기 동기화에는 며칠이 걸릴 수 있지만 데이터가 완전히 동기화되면 다음을 수행합니다.
Microsoft Entra ID의 사용자 프로필, 그룹 및 역할에 대한 변경 내용은 IdentityInfo 테이블에서 15-30분 이내에 업데이트됩니다.
Microsoft Sentinel은 14일마다 전체 Microsoft Entra ID와 다시 동기화하여 부실 레코드가 완전히 업데이트되도록 합니다.
IdentityInfo 테이블의 기본 보존 시간은 30일입니다.
제한 사항
현재는 기본 제공 역할만 지원됩니다.
사용자가 그룹에서 제거된 삭제된 그룹에 대한 데이터는 현재 지원되지 않습니다.
IdentityInfo 테이블의 버전
실제로 IdentityInfo 테이블에는 두 가지 버전이 있습니다.
- Log Analytics 스키마 버전은 Azure Portal에서 Microsoft Sentinel을 제공합니다.
- 고급 헌팅 스키마 버전은 Microsoft Defender for Identity를 통해 Microsoft Defender 포털에서 Microsoft Sentinel을 제공합니다.
이 테이블의 두 버전은 모두 Microsoft Entra ID에서 공급되지만 Log Analytics 버전에는 몇 가지 필드가 추가되었습니다.
Microsoft Defender 포털의 Microsoft Sentinel은 이 테이블의 고급 헌팅 버전을 사용합니다. 두 버전의 테이블 간의 차이를 최소화하기 위해 Log Analytics 버전의 대부분의 고유 필드도 고급 헌팅 버전에 점진적으로 추가되고 있습니다. Microsoft Sentinel을 사용하는 포털에 관계없이 버전 간에 동기화 시간이 약간 지연될 수 있지만 거의 모든 동일한 정보에 액세스할 수 있습니다. 자세한 내용은 이 테이블의 고급 헌팅 버전 설명서를 참조하세요.
다음 표에서는 Azure Portal의 Log Analytics에서 IdentityInfo 테이블에 포함된 사용자 ID 데이터에 대해 설명합니다. 네 번째 열에는 Microsoft Sentinel이 Defender 포털에서 사용하는 고급 헌팅 버전의 해당 필드가 표시됩니다. 굵게 표시된 필드 이름은 고급 헌팅 스키마에서 Microsoft Sentinel Log Analytics 버전과 다르게 이름이 지정됩니다.
| 필드 이름 Log Analytics 스키마 |
Type | 설명 | 필드 이름 고급 헌팅 스키마 |
|---|---|---|---|
| AccountCloudSID | string | 계정의 Microsoft Entra 보안 식별자입니다. | CloudSid |
| AccountCreationTime | 날짜/시간 | 사용자 계정이 만들어진 날짜(UTC)입니다. | CreatedDateTime |
| AccountDisplayName | string | 사용자 계정의 표시 이름입니다. | AccountDisplayName |
| AccountDomain | string | 사용자 계정의 도메인 이름입니다. | AccountDomain |
| AccountName | string | 사용자 계정의 사용자 이름입니다. | AccountName |
| AccountObjectId | string | 사용자 계정에 대한 Microsoft Entra 개체 ID입니다. | AccountObjectId |
| AccountSID | string | 사용자 계정의 온-프레미스 보안 식별자입니다. | AccountSID |
| AccountTenantId | string | 사용자 계정의 Microsoft Entra 테넌트 ID입니다. | -- |
| AccountUPN | string | 사용자 계정의 사용자 계정 이름입니다. | AccountUPN |
| AdditionalMailAddresses | dynamic | 사용자의 추가 전자 메일 주소입니다. | -- |
| AssignedRoles | dynamic | 사용자 계정이 할당된 Microsoft Entra 역할입니다. | AssignedRoles |
| BlastRadius | string | 조직 트리에서 사용자의 위치와 사용자의 Microsoft Entra 역할 및 사용 권한을 기반으로 하는 계산입니다. 가능한 값: Low, Medium, High |
-- |
| ChangeSource | string | 엔터티에 대한 최신 변경의 원본입니다. 가능한 값: |
ChangeSource |
| CompanyName | 사용자가 속한 회사 이름입니다. | -- | |
| 구/군/시 | string | 사용자 계정의 도시입니다. | 시/군/구 |
| 국가 | string | 사용자 계정의 국가/지역입니다. | 국가 |
| DeletedDateTime | 날짜/시간 | 사용자가 삭제된 날짜 및 시간입니다. | -- |
| 부서 | string | 사용자 계정의 부서입니다. | 부서 |
| GivenName | string | 사용자 계정의 지정된 이름입니다. | GivenName |
| GroupMembership | dynamic | Microsoft Entra는 사용자 계정이 멤버인 위치를 그룹화합니다. | -- |
| IsAccountEnabled | bool | Microsoft Entra ID에서 사용자 계정을 사용할 수 있는지 여부를 나타내는 표시입니다. | IsAccountEnabled |
| JobTitle | string | 사용자의 직위입니다. | 직함 |
| MailAddress | string | 사용자 계정의 기본 메일 주소. | EmailAddress |
| 관리자 | string | 사용자 계정의 관리자 별칭입니다. | Manager |
| OnPremisesDistinguishedName | string | Microsoft Entra ID DN(고유 이름)입니다. 고유 이름은 쉼표로 연결된 RDN(상대 고유 이름) 시퀀스입니다. | DistinguishedName |
| 전화 | string | 사용자 계정의 전화 번호입니다. | 휴대폰 |
| SourceSystem | string | 사용자가 관리되는 시스템입니다. 가능한 값: |
SourceProvider |
| State(상태) | string | 사용자 계정의 지리적 상태입니다. | State(상태) |
| StreetAddress | string | 사용자 계정의 사무실 주소입니다. | 주소 |
| 성 | string | 사용자의 성입니다. 계정입니다. | 성 |
| TenantId | string | 사용자의 테넌트 ID입니다. | -- |
| TimeGenerated | 날짜/시간 | 이벤트가 생성된 시간(UTC)입니다. | Timestamp |
| Type | string | 테이블의 이름입니다. | -- |
| UserAccountControl | dynamic | AD 도메인에 있는 사용자 계정의 보안 특성입니다. 가능한 값(둘 이상을 포함할 수 있음): |
-- |
| UserState | string | Microsoft Entra ID에 있는 사용자 계정의 현재 상태입니다. 가능한 값: |
-- |
| UserStateChangedOn | 날짜/시간 | 계정 상태가 마지막으로 변경된 날짜(UTC)입니다. | -- |
| UserType | string | 사용자 유형입니다. | -- |
다음 단계
이 문서에서는 Microsoft Sentinel 엔터티 동작 분석 테이블 스키마에 대해 설명했습니다.
- 엔터티 동작 분석에 대해 자세히 알아봅니다.
- Microsoft Sentinel에서 UEBA 사용
- 조사에 사용할 UEBA를 넣습니다.