Dokumentacja analizy UEBA usługi Microsoft Sentinel
W tym artykule referencyjnym wymieniono wejściowe źródła danych dla usługi Analizy zachowań użytkowników i jednostek w usłudze Microsoft Sentinel. Opisano w nim również wzbogacanie, które usługa UEBA dodaje do jednostek, zapewniając kontekst wymagany do alertów i zdarzeń.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Źródła danych UEBA
Są to źródła danych, z których aparat UEBA zbiera i analizuje dane w celu trenowania modeli uczenia maszynowego oraz ustawiania planów bazowych zachowań dla użytkowników, urządzeń i innych jednostek. Następnie analiza UEBA analizuje dane z tych źródeł, aby znaleźć anomalie i uzyskać szczegółowe informacje.
| Źródło danych | Zdarzenia |
|---|---|
| Tożsamość Microsoft Entra Dzienniki logowania |
wszystkie |
| Tożsamość Microsoft Entra Dzienniki inspekcji |
Zarządzanie aplikacjami Zarządzanie katalogami Zarządzanie grupą Urządzenie Zarządzanie rolami UserManagementCategory |
| Dzienniki aktywności platformy Azure | Autoryzacja AzureActiveDirectory Rozliczenia Compute Zużycie KeyVault Urządzenia Sieć Zasoby Intune Logika Sql Storage |
| zdarzenia Zabezpieczenia Windows WindowsEvent lub SecurityEvent |
4624: Pomyślnie zalogowano konto 4625: Logowanie konta nie powiodło się 4648: Próbowano zalogować się przy użyciu jawnych poświadczeń 4672: Specjalne uprawnienia przypisane do nowego logowania 4688: Utworzono nowy proces |
Wzbogacanie z użyciem analizy behawioralnej użytkowników i jednostek
W tej sekcji opisano wzbogacania analizy UEBA dodaje do jednostek usługi Microsoft Sentinel wraz ze wszystkimi szczegółami, których można użyć do skoncentrowania i wyostrzenia badań dotyczących zdarzeń zabezpieczeń. Te wzbogacenia są wyświetlane na stronach jednostek i można je znaleźć w następujących tabelach usługi Log Analytics, zawartości i schematach wymienionych poniżej:
Tabela BehaviorAnalytics to miejsce przechowywania informacji wyjściowych usługi UEBA.
Poniższe trzy pola dynamiczne z tabeli BehaviorAnalytics zostały opisane w poniższej sekcji pola dynamiczne wzbogacania jednostek.
Pola UsersInsights i DevicesInsights zawierają informacje o jednostkach ze źródeł usługi Active Directory/Microsoft Entra ID i Microsoft Threat Intelligence.
Pole ActivityInsights zawiera informacje o jednostkach oparte na profilach behawioralnych utworzonych przez analizę zachowań jednostek usługi Microsoft Sentinel.
Działania użytkownika są analizowane pod kątem punktu odniesienia, który jest dynamicznie kompilowany za każdym razem, gdy jest używany. Każde działanie ma zdefiniowany okres wyszukiwania, z którego pochodzi dynamiczny punkt odniesienia. Okres wyszukiwania jest określony w kolumnie Punkt odniesienia w tej tabeli.
Tabela IdentityInfo zawiera informacje o tożsamości synchronizowane z usługą UEBA z identyfikatora Entra firmy Microsoft (i z lokalna usługa Active Directory za pośrednictwem usługi Microsoft Defender for Identity).
Tabela BehaviorAnalytics
W poniższej tabeli opisano dane analizy zachowań wyświetlane na każdej stronie szczegółów jednostki w usłudze Microsoft Sentinel.
| Pole | Typ | Opis |
|---|---|---|
| Identyfikator dzierżawy | string | Unikatowy identyfikator dzierżawy. |
| Identyfikatorrekordu źródłowego | string | Unikatowy identyfikator zdarzenia EBA. |
| TimeGenerated | datetime | Sygnatura czasowa wystąpienia działania. |
| TimeProcessed | datetime | Sygnatura czasowa przetwarzania działania przez aparat EBA. |
| Typ działania | string | Kategoria wysokiego poziomu działania. |
| Typ akcji | string | Znormalizowana nazwa działania. |
| UserName | string | Nazwa użytkownika, który zainicjował działanie. |
| UserPrincipalName | string | Pełna nazwa użytkownika, który zainicjował działanie. |
| EventSource | string | Źródło danych, które dostarczyło oryginalne zdarzenie. |
| SourceIPAddress | string | Adres IP, z którego zainicjowano działanie. |
| SourceIPLocation | string | Kraj/region, z którego zainicjowano działanie, wzbogacone o adres IP. |
| SourceDevice | string | Nazwa hosta urządzenia, które zainicjowało działanie. |
| DestinationIPAddress | string | Adres IP docelowego działania. |
| DestinationIPLocation | string | Kraj/region docelowego działania wzbogacony o adres IP. |
| DestinationDevice | string | Nazwa urządzenia docelowego. |
| UsersInsights | dynamiczna | Kontekstowe wzbogacanie zaangażowanych użytkowników (szczegóły poniżej). |
| UrządzeniaInsights | dynamiczna | Kontekstowe wzbogacania zaangażowanych urządzeń (szczegóły poniżej). |
| ActivityInsights | dynamiczna | Kontekstowa analiza aktywności na podstawie profilowania (szczegóły poniżej). |
| InvestigationPriority | int | Wynik anomalii z zakresu od 0 do 10 (0 = łagodny, 10 = wysoce nietypowy). |
Pola dynamiczne wzbogacania jednostek
Uwaga
Kolumna Nazwa wzbogacania w tabelach w tej sekcji zawiera dwa wiersze informacji.
- Pierwszy, pogrubiony, jest "przyjazną nazwą" wzbogacania.
- Drugi (w kursywach i nawiasach) jest nazwą pola wzbogacania przechowywanego w tabeli Analiza zachowania.
Pole UsersInsights
W poniższej tabeli opisano wzbogacania polecane w polu dynamicznym UsersInsights w tabeli BehaviorAnalytics:
| Nazwa wzbogacania | opis | Przykładowa wartość |
|---|---|---|
| Nazwa wyświetlana konta (AccountDisplayName) |
Nazwa wyświetlana konta użytkownika. | Administrator, Hayden Cook |
| Domena konta (AccountDomain) |
Nazwa domeny konta użytkownika. | |
| Identyfikator obiektu konta (AccountObjectID) |
Identyfikator obiektu konta użytkownika. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Promień wybuchu (BlastRadius) |
Promień wybuchu jest obliczany na podstawie kilku czynników: pozycji użytkownika w drzewie organizacji oraz ról i uprawnień firmy Microsoft użytkownika Entra. Użytkownik musi mieć właściwość Manager wypełnioną w identyfikatorze Entra firmy Microsoft, aby można było obliczyć właściwość BlastRadius . | Niski, średni, wysoki |
| Czy konto jest uśpione (IsDormantAccount) |
Konto nie zostało użyte w ciągu ostatnich 180 dni. | Prawda, fałsz |
| Jest administratorem lokalnym (IsLocalAdmin) |
Konto ma uprawnienia administratora lokalnego. | Prawda, fałsz |
| Czy nowe konto (IsNewAccount) |
Konto zostało utworzone w ciągu ostatnich 30 dni. | Prawda, fałsz |
| Lokalny identyfikator SID (OnPremisesSID) |
Lokalny identyfikator SID użytkownika powiązany z akcją. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Pole DevicesInsights
W poniższej tabeli opisano wzbogacenia polecane w polu dynamicznym DevicesInsights w tabeli BehaviorAnalytics:
| Nazwa wzbogacania | opis | Przykładowa wartość |
|---|---|---|
| Przeglądarka (Przeglądarka) |
Przeglądarka używana w akcji. | Edge, Chrome |
| Rodzina urządzeń (DeviceFamily) |
Rodzina urządzeń używana w akcji. | Windows |
| Typ urządzenia (Typ urządzenia) |
Typ urządzenia klienckiego używany w akcji | Klasyczna |
| Usługodawca isp (ISP) |
Dostawca usług internetowych używany w akcji. | |
| System operacyjny (OperatingSystem) |
System operacyjny używany w akcji. | Windows 10 |
| Opis wskaźnika analizy zagrożeń (ThreatIntelIndicatorDescription) |
Opis obserwowanego wskaźnika zagrożenia rozpoznanego z adresu IP używanego w akcji. | Host jest członkiem botnetu: azorult |
| Typ wskaźnika analizy zagrożeń (ThreatIntelIndicatorType) |
Typ wskaźnika zagrożenia rozpoznany z adresu IP używanego w akcji. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Agent użytkownika (UserAgent) |
Agent użytkownika używany w akcji. | Biblioteka klienta programu Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Rodzina agentów użytkowników (UserAgentFamily) |
Rodzina agentów użytkownika używana w akcji. | Chrome, Edge, Firefox |
Pole ActivityInsights
W poniższych tabelach opisano wzbogacania polecane w polu dynamicznym ActivityInsights w tabeli BehaviorAnalytics:
Wykonano akcję
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Po raz pierwszy użytkownik wykonał akcję (FirstTimeUserPerformedAction) |
180 | Akcja została wykonana po raz pierwszy przez użytkownika. | Prawda, fałsz |
| Akcja rzadko wykonywana przez użytkownika (ActionUncommonlyPerformedByUser) |
10 | Akcja nie jest często wykonywana przez użytkownika. | Prawda, fałsz |
| Akcja rzadko wykonywana wśród elementów równorzędnych (ActionUncommonlyPerformedAmongPeers) |
180 | Akcja nie jest często wykonywana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
| Akcja wykonywana po raz pierwszy w dzierżawie (FirstTimeActionPerformedInTenant) |
180 | Akcja została wykonana po raz pierwszy przez wszystkich użytkowników w organizacji. | Prawda, fałsz |
| Akcja rzadko wykonywana w dzierżawie (ActionUncommonlyPerformedInTenant) |
180 | Akcja nie jest często wykonywana w organizacji. | Prawda, fałsz |
Używana aplikacja
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Aplikacja używana przez użytkownika po raz pierwszy (FirstTimeUserUsedApp) |
180 | Aplikacja była używana po raz pierwszy przez użytkownika. | Prawda, fałsz |
| Aplikacja rzadko używana przez użytkownika (AppUncommonlyUsedByUser) |
10 | Aplikacja nie jest często używana przez użytkownika. | Prawda, fałsz |
| Rzadko używana aplikacja między elementami równorzędnymi (AppUncommonlyUsedAmongPeers) |
180 | Aplikacja nie jest często używana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
| Aplikacja po raz pierwszy zaobserwowana w dzierżawie (FirstTimeAppObservedInTenant) |
180 | Aplikacja była obserwowana po raz pierwszy w organizacji. | Prawda, fałsz |
| Rzadko używana aplikacja w dzierżawie (AppUncommonlyUsedInTenant) |
180 | Aplikacja nie jest często używana w organizacji. | Prawda, fałsz |
Użyto przeglądarki
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Użytkownik po raz pierwszy połączony za pośrednictwem przeglądarki (FirstTimeUserConnectedViaBrowser) |
30 | Przeglądarka była obserwowana po raz pierwszy przez użytkownika. | Prawda, fałsz |
| Przeglądarka rzadko używana przez użytkownika (BrowserUncommonlyUsedByUser) |
10 | Przeglądarka nie jest często używana przez użytkownika. | Prawda, fałsz |
| Przeglądarka rzadko używana między elementami równorzędnymi (BrowserUncommonlyUsedAmongPeers) |
30 | Przeglądarka nie jest często używana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
| Przeglądarka zaobserwowana po raz pierwszy w dzierżawie (FirstTimeBrowserObservedInTenant) |
30 | Przeglądarka była obserwowana po raz pierwszy w organizacji. | Prawda, fałsz |
| Przeglądarka rzadko używana w dzierżawie (BrowserUncommonlyUsedInTenant) |
30 | Przeglądarka nie jest często używana w organizacji. | Prawda, fałsz |
Kraj/region połączony z
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Użytkownik po raz pierwszy połączony z kraju (FirstTimeUserConnectedFromCountry) |
90 | Lokalizacja geograficzna, jak rozpoznano z adresu IP, została połączona z użytkownika po raz pierwszy. | Prawda, fałsz |
| Kraj rzadko połączony z użytkownikami (CountryUncommonlyConnectedFromByUser) |
10 | Lokalizacja geograficzna, rozpoznawana na podstawie adresu IP, nie jest często połączona z użytkownikami. | Prawda, fałsz |
| Kraj rzadko połączony między elementami równorzędnymi (CountryUncommonlyConnectedFromAmongPeers) |
90 | Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona między elementami równorzędnymi użytkownika. | Prawda, fałsz |
| Pierwsze połączenie z kraju obserwowanego w dzierżawie (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Kraj/region został połączony po raz pierwszy przez wszystkich w organizacji. | Prawda, fałsz |
| Kraj rzadko połączony z dzierżawy (CountryUncommonlyConnectedFromInTenant) |
90 | Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona z organizacji. | Prawda, fałsz |
Urządzenie używane do nawiązywania połączenia
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Użytkownik po raz pierwszy połączony z urządzenia (FirstTimeUserConnectedFromDevice) |
30 | Urządzenie źródłowe zostało połączone od użytkownika po raz pierwszy. | Prawda, fałsz |
| Urządzenie rzadko używane przez użytkownika (DeviceUncommonlyUsedByUser) |
10 | Urządzenie nie jest często używane przez użytkownika. | Prawda, fałsz |
| Urządzenie rzadko używane między elementami równorzędnymi (DeviceUncommonlyUsedAmongPeers) |
180 | Urządzenie nie jest często używane między elementami równorzędnymi użytkownika. | Prawda, fałsz |
| Urządzenie zaobserwowane po raz pierwszy w dzierżawie (FirstTimeDeviceObservedInTenant) |
30 | Urządzenie zostało zaobserwowane po raz pierwszy w organizacji. | Prawda, fałsz |
| Urządzenie rzadko używane w dzierżawie (DeviceUncommonlyUsedInTenant) |
180 | Urządzenie nie jest często używane w organizacji. | Prawda, fałsz |
Inne urządzenia związane z urządzeniem
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Użytkownik zalogowany po raz pierwszy na urządzeniu (FirstTimeUserLoggedOnToDevice) |
180 | Urządzenie docelowe zostało połączone z użytkownikiem po raz pierwszy. | Prawda, fałsz |
| Rodzina urządzeń rzadko używana w dzierżawie (DeviceFamilyUncommonlyUsedInTenant) |
30 | Rodzina urządzeń nie jest często używana w organizacji. | Prawda, fałsz |
Dostawca usług internetowych używany do nawiązywania połączenia
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Użytkownik po raz pierwszy połączony za pośrednictwem usługodawcy internetowego (FirstTimeUserConnectedViaISP) |
30 | Usługodawca internetowy był obserwowany po raz pierwszy przez użytkownika. | Prawda, fałsz |
| Usługodawca isP rzadko używany przez użytkownika (ISPUncommonlyUsedByUser) |
10 | Usługodawca nie jest często używany przez użytkownika. | Prawda, fałsz |
| Usługodawca isP rzadko używany między elementami równorzędnymi (ISPUncommonlyUsedAmongPeers) |
30 | Usługodawca nie jest często używany wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
| Pierwsze połączenie za pośrednictwem usługodawcy internetowego w dzierżawie (FirstTimeConnectionViaISPInTenant) |
30 | Usługodawca internetowy zaobserwowano po raz pierwszy w organizacji. | Prawda, fałsz |
| Usługodawca isP rzadko używany w dzierżawie (ISPUncommonlyUsedInTenant) |
30 | Usługodawca nie jest często używany w organizacji. | Prawda, fałsz |
Dostęp do zasobów
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Zasób uzyskiwany przez użytkownika po raz pierwszy (FirstTimeUserAccessedResource) |
180 | Zasób był uzyskiwany po raz pierwszy przez użytkownika. | Prawda, fałsz |
| Zasób rzadko uzyskiwany przez użytkownika (ResourceUncommonlyAccessedByUser) |
10 | Zasób nie jest często uzyskiwany przez użytkownika. | Prawda, fałsz |
| Zasób rzadko używany między elementami równorzędnymi (ResourceUncommonlyAccessedAmongPeers) |
180 | Zasób nie jest często dostępny wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
| Przy pierwszym dostępie do zasobu w dzierżawie (FirstTimeResourceAccessedInTenant) |
180 | Zasób był uzyskiwany po raz pierwszy przez wszystkich użytkowników w organizacji. | Prawda, fałsz |
| Zasób rzadko uzyskiwany w dzierżawie (ResourceUncommonlyAccessedInTenant) |
180 | Zasób nie jest często dostępny w organizacji. | Prawda, fałsz |
Różne
| Nazwa wzbogacania | Plan bazowy (dni) | opis | Przykładowa wartość |
|---|---|---|---|
| Czas ostatniego wykonania akcji przez użytkownika (LastTimeUserPerformedAction) |
180 | Ostatni raz użytkownik wykonał tę samą akcję. | <Sygnatura czasowa> |
| Podobna akcja nie została wykonana w przeszłości (SimilarActionWasn'tPerformedInThePast) |
30 | Użytkownik nie wykonał żadnej akcji u tego samego dostawcy zasobów. | Prawda, fałsz |
| Lokalizacja źródłowego adresu IP (SourceIPLocation) |
Nie dotyczy | Kraj/region został rozpoznany ze źródłowego adresu IP akcji. | [Surrey, Anglia] |
| Nietypowa duża liczba operacji (NietypoweHighVolumeOfOperations) |
7 | Użytkownik wykonał serię podobnych operacji w ramach tego samego dostawcy | Prawda, fałsz |
| Nietypowa liczba niepowodzeń dostępu warunkowego firmy Microsoft (UnusualNumberOfAADConditionalAccessFailures) |
5 | Nie można uwierzytelnić nietypowej liczby użytkowników z powodu dostępu warunkowego | Prawda, fałsz |
| Nietypowa liczba dodanych urządzeń (UnusualNumberOfDevicesAdded) |
5 | Użytkownik dodał nietypową liczbę urządzeń. | Prawda, fałsz |
| Nietypowa liczba usuniętych urządzeń (UnusualNumberOfDevicesDeleted) |
5 | Użytkownik usunął nietypową liczbę urządzeń. | Prawda, fałsz |
| Nietypowa liczba użytkowników dodanych do grupy (UnusualNumberOfUsersAddedToGroup) |
5 | Użytkownik dodał nietypową liczbę użytkowników do grupy. | Prawda, fałsz |
Tabela IdentityInfo
Po włączeniu analizy UEBA dla obszaru roboczego usługi Microsoft Sentinel dane z identyfikatora Entra firmy Microsoft są synchronizowane z tabelą IdentityInfo w usłudze Log Analytics do użycia w usłudze Microsoft Sentinel. Dane użytkowników synchronizowane z identyfikatorem Entra firmy Microsoft można osadzić w regułach analizy, aby zwiększyć swoje możliwości analizy w celu dopasowania ich do przypadków użycia i zmniejszyć liczbę wyników fałszywie dodatnich.
Synchronizacja początkowa może potrwać kilka dni, gdy dane zostaną w pełni zsynchronizowane:
Zmiany wprowadzone w profilach użytkowników, grupach i rolach w identyfikatorze Entra firmy Microsoft są aktualizowane w tabeli IdentityInfo w ciągu 15–30 minut.
Co 14 dni usługa Microsoft Sentinel ponownie synchronizuje się z całym identyfikatorem Firmy Microsoft Entra, aby upewnić się, że nieaktualne rekordy są w pełni aktualizowane.
Domyślny czas przechowywania w tabeli IdentityInfo wynosi 30 dni.
Ograniczenia
Obecnie obsługiwane są tylko wbudowane role.
Dane dotyczące usuniętych grup, w których użytkownik został usunięty z grupy, nie są obecnie obsługiwane.
Wersje tabeli IdentityInfo
Istnieją dwie wersje tabeli IdentityInfo :
- Wersja schematu usługi Log Analytics obsługuje usługę Microsoft Sentinel w witrynie Azure Portal.
- Zaawansowana wersja schematu wyszukiwania zagrożeń obsługuje usługę Microsoft Sentinel w portalu usługi Microsoft Defender za pośrednictwem usługi Microsoft Defender for Identity.
Obie wersje tej tabeli są karmione przez identyfikator Entra firmy Microsoft, ale wersja usługi Log Analytics dodała kilka pól.
Usługa Microsoft Sentinel w portalu usługi Microsoft Defender używa zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli. Aby zminimalizować różnice między dwiema wersjami tabeli, większość unikatowych pól w wersji usługi Log Analytics jest stopniowo dodawana do wersji Zaawansowane wyszukiwanie zagrożeń . Niezależnie od tego, w którym portalu korzystasz z usługi Microsoft Sentinel, będziesz mieć dostęp do prawie wszystkich tych samych informacji, chociaż synchronizacja między wersjami może być niewielka. Aby uzyskać więcej informacji, zobacz dokumentację zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli.
W poniższej tabeli opisano dane tożsamości użytkownika zawarte w tabeli IdentityInfo w usłudze Log Analytics w witrynie Azure Portal. Czwarta kolumna zawiera odpowiednie pola w wersji Zaawansowane wyszukiwanie zagrożeń w tabeli używane przez usługę Microsoft Sentinel w portalu usługi Defender. Nazwy pól w pogrubieniu są nazwane inaczej w schemacie Zaawansowane wyszukiwanie zagrożeń niż w wersji usługi Log Analytics usługi Microsoft Sentinel.
| Nazwa pola w Schemat usługi Log Analytics |
Type | Opis | Nazwa pola w Zaawansowany schemat wyszukiwania zagrożeń |
|---|---|---|---|
| AccountCloudSID | string | Identyfikator zabezpieczeń microsoft Entra konta. | CloudSid |
| AccountCreationTime | datetime | Data utworzenia konta użytkownika (UTC). | CreatedDateTime |
| AccountDisplayName | string | Nazwa wyświetlana konta użytkownika. | AccountDisplayName |
| AccountDomain | string | Nazwa domeny konta użytkownika. | AccountDomain |
| Nazwa konta | string | Nazwa użytkownika konta użytkownika. | AccountName |
| AccountObjectId | string | Identyfikator obiektu Entra firmy Microsoft dla konta użytkownika. | AccountObjectId |
| AccountSID | string | Lokalny identyfikator zabezpieczeń konta użytkownika. | AccountSID |
| AccountTenantId | string | Identyfikator dzierżawy usługi Microsoft Entra konta użytkownika. | -- |
| AccountUPN | string | Główna nazwa użytkownika konta użytkownika. | AccountUPN |
| AdditionalMailAddresses | dynamiczna | Dodatkowe adresy e-mail użytkownika. | -- |
| Przypisanerole | dynamiczna | Role Firmy Microsoft Entra, do których jest przypisane konto użytkownika. | Przypisanerole |
| BlastRadius | string | Obliczenie oparte na pozycji użytkownika w drzewie organizacji oraz rolach i uprawnieniach firmy Microsoft użytkownika. Możliwe wartości: Niski, Średni, Wysoki |
-- |
| ChangeSource | string | Źródło najnowszej zmiany jednostki. Możliwe wartości: |
ChangeSource |
| CompanyName | Nazwa firmy, do której należy użytkownik. | -- | |
| Miasto | string | Miasto konta użytkownika. | City |
| Kraj | string | Kraj/region konta użytkownika. | Kraj |
| DeletedDateTime | datetime | Data i godzina usunięcia użytkownika. | -- |
| Dział | string | Dział konta użytkownika. | Department |
| GivenName | string | Podana nazwa konta użytkownika. | GivenName |
| GroupMembership | dynamiczna | Microsoft Entra grup, w których konto użytkownika jest członkiem. | -- |
| IsAccountEnabled | bool | Wskazanie, czy konto użytkownika jest włączone w identyfikatorze Entra firmy Microsoft, czy nie. | IsAccountEnabled |
| JobTitle | string | Stanowisko konta użytkownika. | JobTitle |
| Adresy e-mail | string | Podstawowy adres e-mail konta użytkownika. | Adres e-mail |
| Menedżer | string | Alias menedżera konta użytkownika. | Menedżer |
| OnPremisesDistinguishedName | string | Nazwa wyróżniająca identyfikatora entra firmy Microsoft (DN). Nazwa wyróżniająca jest sekwencją względnych nazw wyróżniających (RDN), połączonych przecinkami. | Nazwa wyróżniająca |
| Telefon | string | Numer telefonu konta użytkownika. | Phone |
| SourceSystem | string | System, w którym użytkownik jest zarządzany. Możliwe wartości: |
Dostawca źródła |
| Województwo | string | Stan geograficzny konta użytkownika. | Stan |
| StreetAddress | string | Adres ulicy biura konta użytkownika. | Address |
| Nazwisko | string | Nazwisko użytkownika. usługi. | Surname |
| Identyfikator dzierżawy | string | Identyfikator dzierżawy użytkownika. | -- |
| TimeGenerated | datetime | Godzina wygenerowania zdarzenia (UTC). | Sygnatura czasowa |
| Type | string | Nazwa tabeli. | -- |
| UserAccountControl | dynamiczna | Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD. Możliwe wartości (mogą zawierać więcej niż jedną): |
-- |
| UserState | string | Bieżący stan konta użytkownika w identyfikatorze Entra firmy Microsoft. Możliwe wartości: |
-- |
| UserStateChangedOn | datetime | Data ostatniej zmiany stanu konta (UTC). | -- |
| Typ użytkownika | string | Typ użytkownika. | -- |
Następne kroki
W tym dokumencie opisano schemat tabeli analizy zachowań jednostek usługi Microsoft Sentinel.
- Dowiedz się więcej o analizie zachowań jednostek.
- Włącz analizę UEBA w usłudze Microsoft Sentinel.
- Umieść analizę UEBA do użycia w badaniach.