Udostępnij za pośrednictwem


Dokumentacja analizy UEBA usługi Microsoft Sentinel

W tym artykule referencyjnym wymieniono wejściowe źródła danych dla usługi Analizy zachowań użytkowników i jednostek w usłudze Microsoft Sentinel. Opisano w nim również wzbogacanie, które usługa UEBA dodaje do jednostek, zapewniając kontekst wymagany do alertów i zdarzeń.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Źródła danych UEBA

Są to źródła danych, z których aparat UEBA zbiera i analizuje dane w celu trenowania modeli uczenia maszynowego oraz ustawiania planów bazowych zachowań dla użytkowników, urządzeń i innych jednostek. Następnie analiza UEBA analizuje dane z tych źródeł, aby znaleźć anomalie i uzyskać szczegółowe informacje.

Źródło danych Zdarzenia
Tożsamość Microsoft Entra
Dzienniki logowania
wszystkie
Tożsamość Microsoft Entra
Dzienniki inspekcji
Zarządzanie aplikacjami
Zarządzanie katalogami
Zarządzanie grupą
Urządzenie
Zarządzanie rolami
UserManagementCategory
Dzienniki aktywności platformy Azure Autoryzacja
AzureActiveDirectory
Rozliczenia
Compute
Zużycie
KeyVault
Urządzenia
Sieć
Zasoby
Intune
Logika
Sql
Storage
zdarzenia Zabezpieczenia Windows
WindowsEvent lub
SecurityEvent
4624: Pomyślnie zalogowano konto
4625: Logowanie konta nie powiodło się
4648: Próbowano zalogować się przy użyciu jawnych poświadczeń
4672: Specjalne uprawnienia przypisane do nowego logowania
4688: Utworzono nowy proces

Wzbogacanie z użyciem analizy behawioralnej użytkowników i jednostek

W tej sekcji opisano wzbogacania analizy UEBA dodaje do jednostek usługi Microsoft Sentinel wraz ze wszystkimi szczegółami, których można użyć do skoncentrowania i wyostrzenia badań dotyczących zdarzeń zabezpieczeń. Te wzbogacenia są wyświetlane na stronach jednostek i można je znaleźć w następujących tabelach usługi Log Analytics, zawartości i schematach wymienionych poniżej:

  • Tabela BehaviorAnalytics to miejsce przechowywania informacji wyjściowych usługi UEBA.

    Poniższe trzy pola dynamiczne z tabeli BehaviorAnalytics zostały opisane w poniższej sekcji pola dynamiczne wzbogacania jednostek.

    • Pola UsersInsights i DevicesInsights zawierają informacje o jednostkach ze źródeł usługi Active Directory/Microsoft Entra ID i Microsoft Threat Intelligence.

    • Pole ActivityInsights zawiera informacje o jednostkach oparte na profilach behawioralnych utworzonych przez analizę zachowań jednostek usługi Microsoft Sentinel.

      Działania użytkownika są analizowane pod kątem punktu odniesienia, który jest dynamicznie kompilowany za każdym razem, gdy jest używany. Każde działanie ma zdefiniowany okres wyszukiwania, z którego pochodzi dynamiczny punkt odniesienia. Okres wyszukiwania jest określony w kolumnie Punkt odniesienia w tej tabeli.

  • Tabela IdentityInfo zawiera informacje o tożsamości synchronizowane z usługą UEBA z identyfikatora Entra firmy Microsoft (i z lokalna usługa Active Directory za pośrednictwem usługi Microsoft Defender for Identity).

Tabela BehaviorAnalytics

W poniższej tabeli opisano dane analizy zachowań wyświetlane na każdej stronie szczegółów jednostki w usłudze Microsoft Sentinel.

Pole Typ Opis
Identyfikator dzierżawy string Unikatowy identyfikator dzierżawy.
Identyfikatorrekordu źródłowego string Unikatowy identyfikator zdarzenia EBA.
TimeGenerated datetime Sygnatura czasowa wystąpienia działania.
TimeProcessed datetime Sygnatura czasowa przetwarzania działania przez aparat EBA.
Typ działania string Kategoria wysokiego poziomu działania.
Typ akcji string Znormalizowana nazwa działania.
UserName string Nazwa użytkownika, który zainicjował działanie.
UserPrincipalName string Pełna nazwa użytkownika, który zainicjował działanie.
EventSource string Źródło danych, które dostarczyło oryginalne zdarzenie.
SourceIPAddress string Adres IP, z którego zainicjowano działanie.
SourceIPLocation string Kraj/region, z którego zainicjowano działanie, wzbogacone o adres IP.
SourceDevice string Nazwa hosta urządzenia, które zainicjowało działanie.
DestinationIPAddress string Adres IP docelowego działania.
DestinationIPLocation string Kraj/region docelowego działania wzbogacony o adres IP.
DestinationDevice string Nazwa urządzenia docelowego.
UsersInsights dynamiczna Kontekstowe wzbogacanie zaangażowanych użytkowników (szczegóły poniżej).
UrządzeniaInsights dynamiczna Kontekstowe wzbogacania zaangażowanych urządzeń (szczegóły poniżej).
ActivityInsights dynamiczna Kontekstowa analiza aktywności na podstawie profilowania (szczegóły poniżej).
InvestigationPriority int Wynik anomalii z zakresu od 0 do 10 (0 = łagodny, 10 = wysoce nietypowy).

Pola dynamiczne wzbogacania jednostek

Uwaga

Kolumna Nazwa wzbogacania w tabelach w tej sekcji zawiera dwa wiersze informacji.

  • Pierwszy, pogrubiony, jest "przyjazną nazwą" wzbogacania.
  • Drugi (w kursywach i nawiasach) jest nazwą pola wzbogacania przechowywanego w tabeli Analiza zachowania.

Pole UsersInsights

W poniższej tabeli opisano wzbogacania polecane w polu dynamicznym UsersInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania opis Przykładowa wartość
Nazwa wyświetlana konta
(AccountDisplayName)
Nazwa wyświetlana konta użytkownika. Administrator, Hayden Cook
Domena konta
(AccountDomain)
Nazwa domeny konta użytkownika.
Identyfikator obiektu konta
(AccountObjectID)
Identyfikator obiektu konta użytkownika. aaaa-0000-1111-2222-bbbbbbbbbbbb
Promień wybuchu
(BlastRadius)
Promień wybuchu jest obliczany na podstawie kilku czynników: pozycji użytkownika w drzewie organizacji oraz ról i uprawnień firmy Microsoft użytkownika Entra. Użytkownik musi mieć właściwość Manager wypełnioną w identyfikatorze Entra firmy Microsoft, aby można było obliczyć właściwość BlastRadius . Niski, średni, wysoki
Czy konto jest uśpione
(IsDormantAccount)
Konto nie zostało użyte w ciągu ostatnich 180 dni. Prawda, fałsz
Jest administratorem lokalnym
(IsLocalAdmin)
Konto ma uprawnienia administratora lokalnego. Prawda, fałsz
Czy nowe konto
(IsNewAccount)
Konto zostało utworzone w ciągu ostatnich 30 dni. Prawda, fałsz
Lokalny identyfikator SID
(OnPremisesSID)
Lokalny identyfikator SID użytkownika powiązany z akcją. S-1-5-21-1112946627-1321165628-2437342228-1103

Pole DevicesInsights

W poniższej tabeli opisano wzbogacenia polecane w polu dynamicznym DevicesInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania opis Przykładowa wartość
Przeglądarka
(Przeglądarka)
Przeglądarka używana w akcji. Edge, Chrome
Rodzina urządzeń
(DeviceFamily)
Rodzina urządzeń używana w akcji. Windows
Typ urządzenia
(Typ urządzenia)
Typ urządzenia klienckiego używany w akcji Klasyczna
Usługodawca isp
(ISP)
Dostawca usług internetowych używany w akcji.
System operacyjny
(OperatingSystem)
System operacyjny używany w akcji. Windows 10
Opis wskaźnika analizy zagrożeń
(ThreatIntelIndicatorDescription)
Opis obserwowanego wskaźnika zagrożenia rozpoznanego z adresu IP używanego w akcji. Host jest członkiem botnetu: azorult
Typ wskaźnika analizy zagrożeń
(ThreatIntelIndicatorType)
Typ wskaźnika zagrożenia rozpoznany z adresu IP używanego w akcji. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Agent użytkownika
(UserAgent)
Agent użytkownika używany w akcji. Biblioteka klienta programu Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Rodzina agentów użytkowników
(UserAgentFamily)
Rodzina agentów użytkownika używana w akcji. Chrome, Edge, Firefox

Pole ActivityInsights

W poniższych tabelach opisano wzbogacania polecane w polu dynamicznym ActivityInsights w tabeli BehaviorAnalytics:

Wykonano akcję
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Po raz pierwszy użytkownik wykonał akcję
(FirstTimeUserPerformedAction)
180 Akcja została wykonana po raz pierwszy przez użytkownika. Prawda, fałsz
Akcja rzadko wykonywana przez użytkownika
(ActionUncommonlyPerformedByUser)
10 Akcja nie jest często wykonywana przez użytkownika. Prawda, fałsz
Akcja rzadko wykonywana wśród elementów równorzędnych
(ActionUncommonlyPerformedAmongPeers)
180 Akcja nie jest często wykonywana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Akcja wykonywana po raz pierwszy w dzierżawie
(FirstTimeActionPerformedInTenant)
180 Akcja została wykonana po raz pierwszy przez wszystkich użytkowników w organizacji. Prawda, fałsz
Akcja rzadko wykonywana w dzierżawie
(ActionUncommonlyPerformedInTenant)
180 Akcja nie jest często wykonywana w organizacji. Prawda, fałsz
Używana aplikacja
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Aplikacja używana przez użytkownika po raz pierwszy
(FirstTimeUserUsedApp)
180 Aplikacja była używana po raz pierwszy przez użytkownika. Prawda, fałsz
Aplikacja rzadko używana przez użytkownika
(AppUncommonlyUsedByUser)
10 Aplikacja nie jest często używana przez użytkownika. Prawda, fałsz
Rzadko używana aplikacja między elementami równorzędnymi
(AppUncommonlyUsedAmongPeers)
180 Aplikacja nie jest często używana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Aplikacja po raz pierwszy zaobserwowana w dzierżawie
(FirstTimeAppObservedInTenant)
180 Aplikacja była obserwowana po raz pierwszy w organizacji. Prawda, fałsz
Rzadko używana aplikacja w dzierżawie
(AppUncommonlyUsedInTenant)
180 Aplikacja nie jest często używana w organizacji. Prawda, fałsz
Użyto przeglądarki
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem przeglądarki
(FirstTimeUserConnectedViaBrowser)
30 Przeglądarka była obserwowana po raz pierwszy przez użytkownika. Prawda, fałsz
Przeglądarka rzadko używana przez użytkownika
(BrowserUncommonlyUsedByUser)
10 Przeglądarka nie jest często używana przez użytkownika. Prawda, fałsz
Przeglądarka rzadko używana między elementami równorzędnymi
(BrowserUncommonlyUsedAmongPeers)
30 Przeglądarka nie jest często używana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Przeglądarka zaobserwowana po raz pierwszy w dzierżawie
(FirstTimeBrowserObservedInTenant)
30 Przeglądarka była obserwowana po raz pierwszy w organizacji. Prawda, fałsz
Przeglądarka rzadko używana w dzierżawie
(BrowserUncommonlyUsedInTenant)
30 Przeglądarka nie jest często używana w organizacji. Prawda, fałsz
Kraj/region połączony z
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Użytkownik po raz pierwszy połączony z kraju
(FirstTimeUserConnectedFromCountry)
90 Lokalizacja geograficzna, jak rozpoznano z adresu IP, została połączona z użytkownika po raz pierwszy. Prawda, fałsz
Kraj rzadko połączony z użytkownikami
(CountryUncommonlyConnectedFromByUser)
10 Lokalizacja geograficzna, rozpoznawana na podstawie adresu IP, nie jest często połączona z użytkownikami. Prawda, fałsz
Kraj rzadko połączony między elementami równorzędnymi
(CountryUncommonlyConnectedFromAmongPeers)
90 Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona między elementami równorzędnymi użytkownika. Prawda, fałsz
Pierwsze połączenie z kraju obserwowanego w dzierżawie
(FirstTimeConnectionFromCountryObservedInTenant)
90 Kraj/region został połączony po raz pierwszy przez wszystkich w organizacji. Prawda, fałsz
Kraj rzadko połączony z dzierżawy
(CountryUncommonlyConnectedFromInTenant)
90 Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona z organizacji. Prawda, fałsz
Urządzenie używane do nawiązywania połączenia
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Użytkownik po raz pierwszy połączony z urządzenia
(FirstTimeUserConnectedFromDevice)
30 Urządzenie źródłowe zostało połączone od użytkownika po raz pierwszy. Prawda, fałsz
Urządzenie rzadko używane przez użytkownika
(DeviceUncommonlyUsedByUser)
10 Urządzenie nie jest często używane przez użytkownika. Prawda, fałsz
Urządzenie rzadko używane między elementami równorzędnymi
(DeviceUncommonlyUsedAmongPeers)
180 Urządzenie nie jest często używane między elementami równorzędnymi użytkownika. Prawda, fałsz
Urządzenie zaobserwowane po raz pierwszy w dzierżawie
(FirstTimeDeviceObservedInTenant)
30 Urządzenie zostało zaobserwowane po raz pierwszy w organizacji. Prawda, fałsz
Urządzenie rzadko używane w dzierżawie
(DeviceUncommonlyUsedInTenant)
180 Urządzenie nie jest często używane w organizacji. Prawda, fałsz
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Użytkownik zalogowany po raz pierwszy na urządzeniu
(FirstTimeUserLoggedOnToDevice)
180 Urządzenie docelowe zostało połączone z użytkownikiem po raz pierwszy. Prawda, fałsz
Rodzina urządzeń rzadko używana w dzierżawie
(DeviceFamilyUncommonlyUsedInTenant)
30 Rodzina urządzeń nie jest często używana w organizacji. Prawda, fałsz
Dostawca usług internetowych używany do nawiązywania połączenia
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem usługodawcy internetowego
(FirstTimeUserConnectedViaISP)
30 Usługodawca internetowy był obserwowany po raz pierwszy przez użytkownika. Prawda, fałsz
Usługodawca isP rzadko używany przez użytkownika
(ISPUncommonlyUsedByUser)
10 Usługodawca nie jest często używany przez użytkownika. Prawda, fałsz
Usługodawca isP rzadko używany między elementami równorzędnymi
(ISPUncommonlyUsedAmongPeers)
30 Usługodawca nie jest często używany wśród elementów równorzędnych użytkownika. Prawda, fałsz
Pierwsze połączenie za pośrednictwem usługodawcy internetowego w dzierżawie
(FirstTimeConnectionViaISPInTenant)
30 Usługodawca internetowy zaobserwowano po raz pierwszy w organizacji. Prawda, fałsz
Usługodawca isP rzadko używany w dzierżawie
(ISPUncommonlyUsedInTenant)
30 Usługodawca nie jest często używany w organizacji. Prawda, fałsz
Dostęp do zasobów
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Zasób uzyskiwany przez użytkownika po raz pierwszy
(FirstTimeUserAccessedResource)
180 Zasób był uzyskiwany po raz pierwszy przez użytkownika. Prawda, fałsz
Zasób rzadko uzyskiwany przez użytkownika
(ResourceUncommonlyAccessedByUser)
10 Zasób nie jest często uzyskiwany przez użytkownika. Prawda, fałsz
Zasób rzadko używany między elementami równorzędnymi
(ResourceUncommonlyAccessedAmongPeers)
180 Zasób nie jest często dostępny wśród elementów równorzędnych użytkownika. Prawda, fałsz
Przy pierwszym dostępie do zasobu w dzierżawie
(FirstTimeResourceAccessedInTenant)
180 Zasób był uzyskiwany po raz pierwszy przez wszystkich użytkowników w organizacji. Prawda, fałsz
Zasób rzadko uzyskiwany w dzierżawie
(ResourceUncommonlyAccessedInTenant)
180 Zasób nie jest często dostępny w organizacji. Prawda, fałsz
Różne
Nazwa wzbogacania Plan bazowy (dni) opis Przykładowa wartość
Czas ostatniego wykonania akcji przez użytkownika
(LastTimeUserPerformedAction)
180 Ostatni raz użytkownik wykonał tę samą akcję. <Sygnatura czasowa>
Podobna akcja nie została wykonana w przeszłości
(SimilarActionWasn'tPerformedInThePast)
30 Użytkownik nie wykonał żadnej akcji u tego samego dostawcy zasobów. Prawda, fałsz
Lokalizacja źródłowego adresu IP
(SourceIPLocation)
Nie dotyczy Kraj/region został rozpoznany ze źródłowego adresu IP akcji. [Surrey, Anglia]
Nietypowa duża liczba operacji
(NietypoweHighVolumeOfOperations)
7 Użytkownik wykonał serię podobnych operacji w ramach tego samego dostawcy Prawda, fałsz
Nietypowa liczba niepowodzeń dostępu warunkowego firmy Microsoft
(UnusualNumberOfAADConditionalAccessFailures)
5 Nie można uwierzytelnić nietypowej liczby użytkowników z powodu dostępu warunkowego Prawda, fałsz
Nietypowa liczba dodanych urządzeń
(UnusualNumberOfDevicesAdded)
5 Użytkownik dodał nietypową liczbę urządzeń. Prawda, fałsz
Nietypowa liczba usuniętych urządzeń
(UnusualNumberOfDevicesDeleted)
5 Użytkownik usunął nietypową liczbę urządzeń. Prawda, fałsz
Nietypowa liczba użytkowników dodanych do grupy
(UnusualNumberOfUsersAddedToGroup)
5 Użytkownik dodał nietypową liczbę użytkowników do grupy. Prawda, fałsz

Tabela IdentityInfo

Po włączeniu analizy UEBA dla obszaru roboczego usługi Microsoft Sentinel dane z identyfikatora Entra firmy Microsoft są synchronizowane z tabelą IdentityInfo w usłudze Log Analytics do użycia w usłudze Microsoft Sentinel. Dane użytkowników synchronizowane z identyfikatorem Entra firmy Microsoft można osadzić w regułach analizy, aby zwiększyć swoje możliwości analizy w celu dopasowania ich do przypadków użycia i zmniejszyć liczbę wyników fałszywie dodatnich.

Synchronizacja początkowa może potrwać kilka dni, gdy dane zostaną w pełni zsynchronizowane:

  • Zmiany wprowadzone w profilach użytkowników, grupach i rolach w identyfikatorze Entra firmy Microsoft są aktualizowane w tabeli IdentityInfo w ciągu 15–30 minut.

  • Co 14 dni usługa Microsoft Sentinel ponownie synchronizuje się z całym identyfikatorem Firmy Microsoft Entra, aby upewnić się, że nieaktualne rekordy są w pełni aktualizowane.

  • Domyślny czas przechowywania w tabeli IdentityInfo wynosi 30 dni.

Ograniczenia

  • Obecnie obsługiwane są tylko wbudowane role.

  • Dane dotyczące usuniętych grup, w których użytkownik został usunięty z grupy, nie są obecnie obsługiwane.

Wersje tabeli IdentityInfo

Istnieją dwie wersje tabeli IdentityInfo :

  • Wersja schematu usługi Log Analytics obsługuje usługę Microsoft Sentinel w witrynie Azure Portal.
  • Zaawansowana wersja schematu wyszukiwania zagrożeń obsługuje usługę Microsoft Sentinel w portalu usługi Microsoft Defender za pośrednictwem usługi Microsoft Defender for Identity.

Obie wersje tej tabeli są karmione przez identyfikator Entra firmy Microsoft, ale wersja usługi Log Analytics dodała kilka pól.

Usługa Microsoft Sentinel w portalu usługi Microsoft Defender używa zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli. Aby zminimalizować różnice między dwiema wersjami tabeli, większość unikatowych pól w wersji usługi Log Analytics jest stopniowo dodawana do wersji Zaawansowane wyszukiwanie zagrożeń . Niezależnie od tego, w którym portalu korzystasz z usługi Microsoft Sentinel, będziesz mieć dostęp do prawie wszystkich tych samych informacji, chociaż synchronizacja między wersjami może być niewielka. Aby uzyskać więcej informacji, zobacz dokumentację zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli.

W poniższej tabeli opisano dane tożsamości użytkownika zawarte w tabeli IdentityInfo w usłudze Log Analytics w witrynie Azure Portal. Czwarta kolumna zawiera odpowiednie pola w wersji Zaawansowane wyszukiwanie zagrożeń w tabeli używane przez usługę Microsoft Sentinel w portalu usługi Defender. Nazwy pól w pogrubieniu są nazwane inaczej w schemacie Zaawansowane wyszukiwanie zagrożeń niż w wersji usługi Log Analytics usługi Microsoft Sentinel.

Nazwa pola w
Schemat usługi Log Analytics
Type Opis Nazwa pola w
Zaawansowany schemat wyszukiwania zagrożeń
AccountCloudSID string Identyfikator zabezpieczeń microsoft Entra konta. CloudSid
AccountCreationTime datetime Data utworzenia konta użytkownika (UTC). CreatedDateTime
AccountDisplayName string Nazwa wyświetlana konta użytkownika. AccountDisplayName
AccountDomain string Nazwa domeny konta użytkownika. AccountDomain
Nazwa konta string Nazwa użytkownika konta użytkownika. AccountName
AccountObjectId string Identyfikator obiektu Entra firmy Microsoft dla konta użytkownika. AccountObjectId
AccountSID string Lokalny identyfikator zabezpieczeń konta użytkownika. AccountSID
AccountTenantId string Identyfikator dzierżawy usługi Microsoft Entra konta użytkownika. --
AccountUPN string Główna nazwa użytkownika konta użytkownika. AccountUPN
AdditionalMailAddresses dynamiczna Dodatkowe adresy e-mail użytkownika. --
Przypisanerole dynamiczna Role Firmy Microsoft Entra, do których jest przypisane konto użytkownika. Przypisanerole
BlastRadius string Obliczenie oparte na pozycji użytkownika w drzewie organizacji oraz rolach i uprawnieniach firmy Microsoft użytkownika.
Możliwe wartości: Niski, Średni, Wysoki
--
ChangeSource string Źródło najnowszej zmiany jednostki.
Możliwe wartości:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Lista do obejrzenia
  • FullSync
  • ChangeSource
    CompanyName Nazwa firmy, do której należy użytkownik. --
    Miasto string Miasto konta użytkownika. City
    Kraj string Kraj/region konta użytkownika. Kraj
    DeletedDateTime datetime Data i godzina usunięcia użytkownika. --
    Dział string Dział konta użytkownika. Department
    GivenName string Podana nazwa konta użytkownika. GivenName
    GroupMembership dynamiczna Microsoft Entra grup, w których konto użytkownika jest członkiem. --
    IsAccountEnabled bool Wskazanie, czy konto użytkownika jest włączone w identyfikatorze Entra firmy Microsoft, czy nie. IsAccountEnabled
    JobTitle string Stanowisko konta użytkownika. JobTitle
    Adresy e-mail string Podstawowy adres e-mail konta użytkownika. Adres e-mail
    Menedżer string Alias menedżera konta użytkownika. Menedżer
    OnPremisesDistinguishedName string Nazwa wyróżniająca identyfikatora entra firmy Microsoft (DN). Nazwa wyróżniająca jest sekwencją względnych nazw wyróżniających (RDN), połączonych przecinkami. Nazwa wyróżniająca
    Telefon string Numer telefonu konta użytkownika. Phone
    SourceSystem string System, w którym użytkownik jest zarządzany.
    Możliwe wartości:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrydowe
  • Dostawca źródła
    Województwo string Stan geograficzny konta użytkownika. Stan
    StreetAddress string Adres ulicy biura konta użytkownika. Address
    Nazwisko string Nazwisko użytkownika. usługi. Surname
    Identyfikator dzierżawy string Identyfikator dzierżawy użytkownika. --
    TimeGenerated datetime Godzina wygenerowania zdarzenia (UTC). Sygnatura czasowa
    Type string Nazwa tabeli. --
    UserAccountControl dynamiczna Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD.
    Możliwe wartości (mogą zawierać więcej niż jedną):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • Karta inteligentnaWymagane
  • TrustedForDelegation
  • DelegowanieNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState string Bieżący stan konta użytkownika w identyfikatorze Entra firmy Microsoft.
    Możliwe wartości:
  • Aktywne
  • Disabled
  • Uśpiony
  • Blokada
  • --
    UserStateChangedOn datetime Data ostatniej zmiany stanu konta (UTC). --
    Typ użytkownika string Typ użytkownika. --

    Następne kroki

    W tym dokumencie opisano schemat tabeli analizy zachowań jednostek usługi Microsoft Sentinel.