مشاركة عبر

مرجع Microsoft Sentinel User and Entity Behavior Analytics (UEBA)

  • ينطبق على: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

تسرد هذه المقالة المرجعية مصادر بيانات الإدخال لخدمة تحليلات سلوك المستخدم والكيان في Microsoft Sentinel. كما تصف عمليات الإثراء التي تضيفها UEBA إلى الكيانات، ما يوفر السياق اللازم للتنبيهات والحوادث.

Important

يتوفر Microsoft Sentinel بشكل عام في مدخل Microsoft Defender، بما في ذلك للعملاء الذين ليس لديهم Microsoft Defender XDR أو ترخيص E5.

بدءا من يوليو 2026، ستتم إعادة توجيه جميع العملاء الذين يستخدمون Microsoft Sentinel في مدخل Microsoft Azure إلى مدخل Defender وسيستخدمون Microsoft Sentinel في مدخل Defender فقط. بدءا من يوليو 2025، يتم إلحاق العديد من العملاء الجدد تلقائيا وإعادة توجيههم إلى مدخل Defender.

إذا كنت لا تزال تستخدم Microsoft Sentinel في مدخل Microsoft Azure، نوصيك بالبدء في التخطيط للانتقال إلى مدخل Defender لضمان انتقال سلس والاستفادة الكاملة من تجربة عمليات الأمان الموحدة التي يقدمها Microsoft Defender. لمزيد من المعلومات، راجع حان الوقت للنقل: إيقاف مدخل Microsoft Sentinel Azure لمزيد من الأمان.

مصادر بيانات UEBA

فيما يلي مصادر البيانات التي يجمع منها محرك UEBA البيانات ويحللها لتدريب نماذج التعلم الآلي الخاصة به وتعيين خطوط الأساس السلوكية للمستخدمين والأجهزة والكيانات الأخرى. ثم يبحث UEBA في البيانات الواردة من هذه المصادر للعثور على الحالات الشاذة ونتائج التحليلات المتعمقة.

مصدر البيانات Connector جدول Log Analytics فئات الأحداث التي تم تحليلها
سجلات تسجيل الدخول إلى الهوية المدارة من AAD (معاينة) معرف Microsoft Entra AADManagedIdentitySignInLogs جميع أحداث تسجيل الدخول إلى الهوية المدارة
سجلات تسجيل الدخول الأساسية لخدمة AAD (معاينة) معرف Microsoft Entra AADServicePrincipalSignInLogs جميع أحداث تسجيل الدخول الأساسية للخدمة
سجلات التدقيق معرف Microsoft Entra AuditLogs ApplicationManagement
DirectoryManagement
GroupManagement
Device
RoleManagement
UserManagementCategory
AWS CloudTrail (معاينة) Amazon Web Services
خدمات أمازون ويب الموسم 3		 AWSCloudTrail أحداث تسجيل الدخول إلى وحدة التحكم.
تم تحديده بواسطة EventName = "ConsoleLogin" و EventSource = "signin.amazonaws.com". يجب أن تحتوي الأحداث على صالح UserIdentityPrincipalId.
نشاط Azure نشاط Azure AzureActivity Authorization
AzureActiveDirectory
Billing
Compute
Consumption
KeyVault
Devices
Network
Resources
Intune
Logic
Sql
Storage
أحداث تسجيل دخول الجهاز (معاينة) مايكروسوفت ديفندر XDR DeviceLogonEvents جميع أحداث تسجيل دخول الجهاز
سجلات تدقيق GCP (معاينة) سجلات تدقيق GCP Pub/Sub GCPAuditLogs apigee.googleapis.com - النظام الأساسي لإدارة واجهة برمجة التطبيقات
iam.googleapis.com - خدمة إدارة الهوية والوصول (IAM)
iamcredentials.googleapis.com - واجهة برمجة تطبيقات بيانات اعتماد حساب خدمة IAM
cloudresourcemanager.googleapis.com - واجهة برمجة تطبيقات إدارة موارد السحابة
compute.googleapis.com - واجهة برمجة تطبيقات محرك الحوسبة
storage.googleapis.com - واجهة برمجة تطبيقات التخزين السحابي
container.googleapis.com - واجهة برمجة تطبيقات محرك Kubernetes
k8s.io - واجهة برمجة تطبيقات Kubernetes
cloudsql.googleapis.com - واجهة برمجة تطبيقات SQL السحابية
bigquery.googleapis.com - واجهة برمجة تطبيقات BigQuery
bigquerydatatransfer.googleapis.com - واجهة برمجة تطبيقات خدمة نقل البيانات BigQuery
cloudfunctions.googleapis.com - واجهة برمجة تطبيقات وظائف السحابة
appengine.googleapis.com - واجهة برمجة تطبيقات محرك التطبيق
dns.googleapis.com - واجهة برمجة تطبيقات DNS السحابية
bigquerydatapolicy.googleapis.com - واجهة برمجة تطبيقات سياسة بيانات BigQuery
firestore.googleapis.com - واجهة برمجة تطبيقات Firestore
dataproc.googleapis.com - واجهة برمجة تطبيقات Dataproc
osconfig.googleapis.com - واجهة برمجة تطبيقات تكوين نظام التشغيل
cloudkms.googleapis.com - واجهة برمجة تطبيقات KMS السحابية
secretmanager.googleapis.com - واجهة برمجة تطبيقات المدير السري
يجب أن تحتوي الأحداث على صالح:
- PrincipalEmail - حساب المستخدم أو الخدمة الذي يسمى واجهة برمجة التطبيقات
- MethodName - أسلوب واجهة برمجة تطبيقات Google المحدد المسمى
- البريد الإلكتروني الأساسي، بالتنسيق user@domain.com .
Okta CL (معاينة) Okta Single Sign-On (باستخدام Azure Functions) Okta_CL المصادقة والمصادقة متعددة العوامل (MFA) وأحداث الجلسة، بما في ذلك:
app.oauth2.admin.consent.grant_success
app.oauth2.authorize.code_success
device.desktop_mfa.recovery_pin.generate
user.authentication.auth_via_mfa
user.mfa.attempt_bypass
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.okta_verify
user.session.impersonation.grant
user.session.impersonation.initiate
user.session.start
يجب أن يكون للأحداث معرف مستخدم صالح (actor_id_s).
أحداث الأمان أحداث أمان Windows عبر AMA
أحداث Windows التي تمت إعادة توجيهها		 WindowsEvent
SecurityEvent		 4624: تم تسجيل الدخول إلى الحساب بنجاح
4625:فشل تسجيل الدخول إلى الحساب
4648: تم محاولة تسجيل الدخول باستخدام بيانات اعتماد صريحة
4672: الامتيازات الخاصة المعينة لتسجيل الدخول الجديد
4688: تم إنشاء عملية جديدة
سجلات تسجيل الدخول معرف Microsoft Entra SigninLogs جميع أحداث تسجيل الدخول

إثراء UEBA

يصف هذا القسم عمليات الإثراء التي يضيفها UEBA إلى كيانات Microsoft Sentinel، والتي يمكنك استخدامها للتركيز على تحقيقات الحوادث الأمنية وشحذها. يتم عرض عمليات الإثراء هذه على صفحات الكيان ويمكن العثور عليها في جداول Log Analytics التالية، والمحتويات والمخطط المدرجة أدناه:

  • جدول تحليلات السلوك هو المكان الذي يتم فيه تخزين معلومات إخراج UEBA.

    يتم وصف الحقول الديناميكية الثلاثة التالية من جدول BehaviorAnalytics في قسم الحقول الديناميكية لإثراء الكيان أدناه.

    • تحتوي حقول UsersInsights و DevicesInsights على معلومات الكيان من Active Directory / Microsoft Entra ID ومصادر التحليل الذكي للمخاطر من Microsoft.

    • يحتوي حقل ActivityInsights على معلومات الكيان استنادا إلى ملفات التعريف السلوكية التي تم إنشاؤها بواسطة تحليلات سلوك الكيان في Microsoft Sentinel.

      يتم تحليل أنشطة المستخدم مقابل أساس يتم تحويله برمجيا ديناميكيا في كل مرة يتم استخدامها فيها. كل نشاط له فترة البحث المحددة الخاصة به التي يتم اشتقاق الأساس الديناميكي منها. يتم تحديد فترة البحث في العمود الأساس في هذا الجدول.

  • جدول IdentityInfo هو المكان الذي يتم فيه تخزين معلومات الهوية المتزامنة مع UEBA من معرف Microsoft Entra (ومن Active Directory المحلي عبر Microsoft Defender for Identity).

جدول تحليلات السلوك

يصف الجدول التالي بيانات تحليلات السلوك المعروضة على كل صفحة تفاصيل كيان في Microsoft Sentinel.

Field Type Description
TenantId string رقم المعرّف الفريد للمستأجر.
SourceRecordId string رقم المعرّف الفريد لحدث EBA.
TimeGenerated datetime الطابع الزمني لوقوع النشاط.
TimeProcessed datetime الطابع الزمني لمعالجة النشاط بواسطة محرك EBA.
ActivityType string فئة النشاط عالية المستوى.
ActionType string الاسم الطبيعي للنشاط.
UserName string اسم المستخدم للمستخدم الذي بدأ النشاط.
UserPrincipalName string اسم المستخدم الكامل للمستخدم الذي بدأ النشاط.
EventSource string مصدر البيانات الذي وفر الحدث الأصلي.
SourceIPAddress string عنوان IP الذي بدأ النشاط منه.
SourceIPLocation string البلد/المنطقة التي بدأ النشاط منها، والتي تم إثراؤها من عنوان IP.
SourceDevice string اسم المضيف الخاص بالجهاز الذي بدأ النشاط.
DestinationIPAddress string عنوان IP لهدف النشاط.
DestinationIPLocation string البلد/المنطقة المستهدفة للنشاط، التي تم إثراؤها من عنوان IP.
DestinationDevice string اسم الجهاز المستهدف.
UsersInsights dynamic الإثراء السياقي للمستخدمين المعنيين (التفاصيل أدناه).
DevicesInsights dynamic الإثراء السياقي للأجهزة المعنية (التفاصيل أدناه).
ActivityInsights dynamic التحليل السياقي للنشاط استنادا إلى جمع المعلومات (التفاصيل أدناه).
InvestigationPriority int درجة الشذوذ، ما بين 0-10 (0 = حميدة، 10 = شاذة للغاية). تحدد هذه النتيجة درجة الانحراف عن السلوك المتوقع. تشير الدرجات الأعلى إلى انحراف أكبر عن الأساس وتشير على الأرجح إلى حالات شاذة حقيقية. قد تظل الدرجات الأقل شاذة، ولكنها أقل احتمالا أن تكون كبيرة أو قابلة للتنفيذ.

الحقول الديناميكية لعمليات إثراء الكيان

Note

يعرض عمود اسم الإثراء في الجداول في هذا القسم صفين من المعلومات.

  • الأول، بالخط الغامق، هو "الاسم المألوف" للإثراء.
  • والثاني (بالأقواس المائلة والأقواس) هو اسم حقل الإثراء كما هو مخزن في جدول تحليلات السلوك.

حقل UsersInsights

يصف الجدول التالي عمليات الإثراء المميزة في الحقل الديناميكي UsersInsights في جدول BehaviorAnalytics:

اسم الإثراء Description عينة القيمة
اسم عرض الحساب
(AccountDisplayName)		 الاسم المعروض للحساب للمستخدم. المسؤول، Hayden Cook
مجال الحساب
(AccountDomain)		 اسم مجال الحساب للمستخدم.
معرف كائن الحساب
(AccountObjectID)		 معرّف عنصر الحساب للمستخدم. aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
نصف قطر الانفجار
(BlastRadius)		 يتم حساب نصف قطر الانفجار استنادا إلى عدة عوامل: موضع المستخدم في شجرة المؤسسة، وأدوار وأذونات Microsoft Entra للمستخدم. يجب أن يكون لدى المستخدم خاصية Manager مملوءة في معرف Microsoft Entra ل BlastRadius ليتم حسابها. منخفض، متوسط، مرتفع
حساب خاملة
(IsDormantAccount)		 لم يتم استخدام الحساب خلال ال 180 يوما الماضية. صواب، خطأ
مسؤول محلي
(IsLocalAdmin)		 يتمتع الحساب بامتيازات المسؤول المحلي. صواب، خطأ
هو حساب جديد
(IsNewAccount)		 تم إنشاء الحساب خلال 30 يومًا الماضية. صواب، خطأ
معرف الأمان المحلي
(OnPremisesSID)		 معرّف الأمان (SID) المحلي للمستخدم المرتبط بالإجراء. S-1-5-21-1112946627-1321165628-2437342228-1103

حقل DevicesInsights

يصف الجدول التالي عمليات الإثراء المميزة في الحقل الديناميكي DevicesInsights في جدول BehaviorAnalytics:

اسم الإثراء Description عينة القيمة
Browser
(Browser)		 مستعرض الويب المستخدم في الإجراء. Microsoft Edge، Chrome
عائلة الجهاز
(DeviceFamily)		 مجموعة الأجهزة المستخدمة في العمل. Windows
نوع الجهاز
(DeviceType)		 نوع جهاز العميل المستخدم في الإجراء Desktop
ISP
(ISP)		 موفّر خدمة الإنترنت المستخدم في الإجراء.
نظام التشغيل
(OperatingSystem)		 نظام التشغيل المستخدم في الإجراء. نوافذ 10
وصف مؤشر Intel للمخاطر
(ThreatIntelIndicatorDescription)		 وصف مؤشر التهديد المرصود الذي تم حله من عنوان IP المستخدم في الإجراء. المضيف هو عضو في botnet: azorult
نوع مؤشر Intel للمخاطر
(ThreatIntelIndicatorType)		 نوع مؤشر التهديد الذي تم حله من عنوان IP المستخدم في الإجراء. Botnet، وC2، وCryptoMining، وDarknet، وDdos، وMaliciousUrl، وMalware، وPhishing، وProxy، وPUA، وWatchlist
عامل المستخدم
(UserAgent)		 عميل المستخدم الذي تم استخدامه في الإجراء. Microsoft Azure Graph Client Library 1.0،
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
عائلة وكيل المستخدم
(UserAgentFamily)		 مجموعة عميل المستخدم المستخدمة في الإجراء. Chrome وMicrosoft Edge وFirefox

حقل ActivityInsights

تصف الجداول التالية عمليات الإثراء المميزة في الحقل الديناميكي ActivityInsights في جدول تحليلات السلوك:

الإجراء الذي تم تنفيذه
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة قام فيها المستخدم بتنفيذ إجراء
(FirstTimeUserPerformedAction)		 180 تم تنفيذ الإجراء لأول مرة من قِبل المستخدم. صواب، خطأ
الإجراء الذي ينفذه المستخدم بشكل غير شائع
(ActionUncommonlyPerformedByUser)		 10 لا يتم تنفيذ الإجراء عادة من قبل المستخدم. صواب، خطأ
إجراء يتم تنفيذه على نحو غير شائع بين النظراء
(ActionUncommonlyPerformedAmongPeers)		 180 لا يتم تنفيذ الإجراء عادة بين نظراء المستخدم. صواب، خطأ
إجراء المرة الأولى التي يتم تنفيذها في المستأجر
(FirstTimeActionPerformedInTenant)		 180 تم تنفيذ الإجراء لأول مرة من قِبل أي شخص في المؤسسة. صواب، خطأ
إجراء غير شائع يتم تنفيذه في المستأجر
(ActionUncommonlyPerformedInTenant)		 180 لا يتم تنفيذ الإجراء عادة في المؤسسة. صواب، خطأ
التطبيق المستخدم
اسم الإثراء الأساس (أيام) Description عينة القيمة
التطبيق المستخدم لأول مرة
(FirstTimeUserUsedApp)		 180 تم استخدام التطبيق لأول مرة من قِبل المستخدم. صواب، خطأ
التطبيق غير شائع الاستخدام من قبل المستخدم
(AppUncommonlyUsedByUser)		 10 لا يستخدم المستخدم التطبيق بشكل شائع. صواب، خطأ
التطبيق غير شائع الاستخدام بين النظراء
(AppUncommonlyUsedAmongPeers)		 180 لا يستخدم التطبيق بشكل شائع بين نظراء المستخدم. صواب، خطأ
أول تطبيق تمت ملاحظته في المستأجر
(FirstTimeAppObservedInTenant)		 180 تمت ملاحظة التطبيق لأول مرة في المؤسسة. صواب، خطأ
التطبيق غير شائع الاستخدام في المستأجر
(AppUncommonlyUsedInTenant)		 180 التطبيق غير شائع الاستخدام في المؤسسة. صواب، خطأ
المستعرض المستخدم
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة يتصل فيها المستخدم عبر المستعرض
(FirstTimeUserConnectedViaBrowser)		 30 تمت ملاحظة مستعرض الويب لأول مرة من قِبل المستخدم. صواب، خطأ
المستعرض غير شائع الاستخدام من قبل المستخدم
(BrowserUncommonlyUsedByUser)		 10 لا يستخدم المستخدم المستعرض بشكل شائع. صواب، خطأ
يستخدم المستعرض بشكل غير شائع بين النظراء
(BrowserUncommonlyUsedAmongPeers)		 30 لا يستخدم المستعرض عادة بين نظراء المستخدم. صواب، خطأ
أول مستعرض تمت ملاحظته في المستأجر
(FirstTimeBrowserObservedInTenant)		 30 تمت ملاحظة مستعرض الويب لأول مرة في المؤسسة. صواب، خطأ
يستخدم المستعرض بشكل غير شائع في المستأجر
(BrowserUncommonlyUsedInTenant)		 30 المتصفح غير مستخدم بشكل شائع في المؤسسة. صواب، خطأ
البلد/المنطقة المتصلة من
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة يتصل فيها المستخدم من البلد
(FirstTimeUserConnectedFromCountry)		 90 الموقع الجغرافي، كما تم حله من عنوان IP، كان متصلاً من لأول مرة من قِبل المستخدم. صواب، خطأ
البلد المتصل من قبل المستخدم بشكل غير شائع
(CountryUncommonlyConnectedFromByUser)		 10 الموقع الجغرافي، كما تم حله من عنوان IP، غير متصل من بشكل مألوف من قِبل المستخدم. صواب، خطأ
البلد المتصل من بين النظراء على نحو غير شائع
(CountryUncommonlyConnectedFromAmongPeers)		 90 الموقع الجغرافي، كما تم حله من عنوان IP، غير متصل بشكل شائع من بين نظراء المستخدم. صواب، خطأ
أول اتصال من البلد الذي تمت ملاحظته في المستأجر
(FirstTimeConnectionFromCountryObservedInTenant)		 90 تم توصيل البلد/المنطقة من قبل أي شخص في المؤسسة للمرة الأولى. صواب، خطأ
البلد المتصل بشكل غير شائع من المستأجر
(CountryUncommonlyConnectedFromInTenant)		 90 الموقع الجغرافي، كما تم حله من عنوان IP، غير متصل بشكل شائع من في المؤسسة. صواب، خطأ
الجهاز المستخدم في الاتصال
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة يتصل فيها المستخدم من الجهاز
(FirstTimeUserConnectedFromDevice)		 30 الجهاز المصدر كان متصلاً من لأول مرة من قِبل المستخدم. صواب، خطأ
الجهاز غير شائع الاستخدام من قبل المستخدم
(DeviceUncommonlyUsedByUser)		 10 لا يستخدم المستخدم الجهاز بشكل شائع. صواب، خطأ
الجهاز غير شائع الاستخدام بين النظراء
(DeviceUncommonlyUsedAmongPeers)		 180 لا يستخدم الجهاز بشكل شائع بين نظراء المستخدم. صواب، خطأ
تمت ملاحظة الجهاز لأول مرة في المستأجر
(FirstTimeDeviceObservedInTenant)		 30 تمت ملاحظة الجهاز لأول مرة في المؤسسة. صواب، خطأ
الجهاز غير شائع الاستخدام في المستأجر
(DeviceUncommonlyUsedInTenant)		 180 الجهاز غير شائع الاستخدام في المؤسسة. صواب، خطأ
اسم الإثراء الأساس (أيام) Description عينة القيمة
تسجيل دخول المستخدم لأول مرة إلى الجهاز
(FirstTimeUserLoggedOnToDevice)		 180 الجهاز الوجهة كان متصلاً بـ لأول مرة من قِبل المستخدم. صواب، خطأ
عائلة الجهاز غير شائعة الاستخدام في المستأجر
(DeviceFamilyUncommonlyUsedInTenant)		 30 لا يتم استخدام عائلة الجهاز بشكل شائع في المؤسسة. صواب، خطأ
تم استخدام موفّر خدمة الإنترنت للاتصال
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة يتصل فيها المستخدم عبر ISP
(FirstTimeUserConnectedViaISP)		 30 تمت ملاحظة موفّر خدمة الإنترنت لأول مرة من قِبل المستخدم. صواب، خطأ
ISP غير شائع الاستخدام من قبل المستخدم
(ISPUncommonlyUsedByUser)		 10 لا يستخدم المستخدم موفر خدمة الويب بشكل شائع. صواب، خطأ
ISP غير شائع الاستخدام بين الأقران
(ISPUncommonlyUsedAmongPeers)		 30 لا يستخدم موفر خدمة الويب (ISP) بشكل شائع بين نظراء المستخدم. صواب، خطأ
الاتصال لأول مرة عبر ISP في المستأجر
(FirstTimeConnectionViaISPInTenant)		 30 تمت ملاحظة موفّر خدمة الإنترنت لأول مرة في المؤسسة. صواب، خطأ
ISP غير شائع الاستخدام في المستأجر
(ISPUncommonlyUsedInTenant)		 30 لا يستخدم موفر خدمة الويب (ISP) بشكل شائع في المؤسسة. صواب، خطأ
المورد الذي تم الوصول إليه
اسم الإثراء الأساس (أيام) Description عينة القيمة
أول مرة يصل فيها المستخدم إلى المورد
(FirstTimeUserAccessedResource)		 180 تم الوصول إلى المورد لأول مرة من قِبل المستخدم. صواب، خطأ
المورد غير شائع الوصول إليه من قبل المستخدم
(ResourceUncommonlyAccessedByUser)		 10 لا يتم الوصول إلى المورد بشكل شائع من قبل المستخدم. صواب، خطأ
الموارد التي يتم الوصول إليها بشكل غير شائع بين النظراء
(ResourceUncommonlyAccessedAmongPeers)		 180 لا يتم الوصول إلى المورد بشكل مألوف بين نظراء المستخدم. صواب، خطأ
الوصول إلى مورد المرة الأولى في المستأجر
(FirstTimeResourceAccessedInTenant)		 180 تم الوصول إلى المورد لأول مرة من قِبل أي شخص في المؤسسة. صواب، خطأ
المورد الذي يتم الوصول إليه بشكل غير شائع في المستأجر
(ResourceUncommonlyAccessedInTenant)		 180 لا يتم الوصول إلى المورد عادة في المؤسسة. صواب، خطأ
Miscellaneous
اسم الإثراء الأساس (أيام) Description عينة القيمة
آخر مرة قام فيها المستخدم بإجراء
(LastTimeUserPerformedAction)		 180 آخر مرة نفذ فيها المستخدم نفس الإجراء. <طابع زمني>
لم يتم تنفيذ إجراء مماثل في الماضي
(SimilarActionWasn'tPerformedInThePast)		 30 لم يتم تنفيذ أي إجراء في نفس موفر الموارد من قِبل المستخدم. صواب، خطأ
موقع IP المصدر
(SourceIPLocation)		 N/A تم حل البلد/المنطقة من IP المصدر للإجراء. [سري، إنجلترا]
حجم كبير غير شائع من العمليات
(UncommonHighVolumeOfOperations)		 7 نفذ المستخدم اندفاعًا من العمليات المماثلة داخل نفس الموفّر صواب، خطأ
عدد غير عادي من فشل الوصول المشروط ل Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)		 5 فشل عدد غير عادي من المستخدمين في المصادقة ويرجع ذلك إلى الوصول المشروط صواب، خطأ
تمت إضافة عدد غير عادي من الأجهزة
(UnusualNumberOfDevicesAdded)		 5 أضاف مستخدم عددًا غير عادي من الأجهزة. صواب، خطأ
عدد غير عادي من الأجهزة المحذوفة
(UnusualNumberOfDevicesDeleted)		 5 حذف مستخدم عددًا غير عادي من الأجهزة. صواب، خطأ
عدد غير عادي من المستخدمين الذين تمت إضافتهم إلى المجموعة
(UnusualNumberOfUsersAddedToGroup)		 5 أضاف مستخدم عددًا غير عادي من المستخدمين إلى مجموعة. صواب، خطأ

جدول معلومات الهوية

بعد تمكين وتكوين UEBA لمساحة عمل Microsoft Sentinel، تتم مزامنة بيانات المستخدم من موفري هوية Microsoft إلى جدول IdentityInfo في Log Analytics للاستخدام في Microsoft Sentinel.

موفرو الهوية هؤلاء إما أو كليهما مما يلي، اعتمادا على الذي حددته عند تكوين UEBA:

  • معرف Microsoft Entra (مستند إلى السحابة)
  • Microsoft Active Directory (محلي، يتطلب Microsoft Defender for Identity))

يمكنك الاستعلام عن جدول IdentityInfo في قواعد التحليلات واستعلامات التتبع والمصنفات، وتحسين التحليلات الخاصة بك لتناسب حالات الاستخدام وتقليل الإيجابيات الزائفة.

بينما قد تستغرق المزامنة الأولية بضعة أيام، بمجرد مزامنة البيانات بالكامل:

  • كل 14 يوما، يقوم Microsoft Sentinel بإعادة المزامنة مع معرف Microsoft Entra بالكامل (وActive Directory المحلي، إن أمكن) لضمان تحديث السجلات القديمة بالكامل.

  • بالإضافة إلى هذه المزامنة الكاملة العادية، كلما تم إجراء تغييرات على ملفات تعريف المستخدمين والمجموعات والأدوار المضمنة في Microsoft Entra ID، يتم إعادة إدخال سجلات المستخدم المتأثرة وتحديثها في جدول IdentityInfo في غضون 15-30 دقيقة. تتم فوترة هذا الاستيعاب بأسعار منتظمة. على سبيل المثال:

    • تم تغيير سمة المستخدم، مثل اسم العرض أو المسمى الوظيفي أو عنوان البريد الإلكتروني. يتم إدخال سجل جديد لهذا المستخدم في جدول IdentityInfo ، مع تحديث الحقول ذات الصلة.

    • تحتوي المجموعة أ على 100 مستخدم. تتم إضافة 5 مستخدمين إلى المجموعة أو إزالتهم من المجموعة. في هذه الحالة، تتم إعادة استيعاب سجلات المستخدمين الخمسة هذه، ويتم تحديث حقول GroupMembership الخاصة بهم.

    • تحتوي المجموعة أ على 100 مستخدم. تتم إضافة عشرة مستخدمين إلى المجموعة أ. بالإضافة إلى ذلك، تتم إضافة المجموعات A1 و A2، كل منهما مع 10 مستخدمين، إلى المجموعة أ. في هذه الحالة، يتم إعادة إدخال 30 سجل مستخدم وتحديث حقول GroupMembership الخاصة بهم. يحدث هذا لأن عضوية المجموعة عابرة، لذلك تؤثر التغييرات على المجموعات على جميع مجموعاتها الفرعية.

    • تتم إعادة تسمية المجموعة ب (مع 50 مستخدما) إلى Group BeGood. في هذه الحالة، يتم إعادة إدخال 50 سجل مستخدم وتحديث حقول GroupMembership الخاصة بهم. إذا كانت هناك مجموعات فرعية في تلك المجموعة، يحدث الشيء نفسه لجميع سجلات أعضائها.

  • وقت الاستبقاء الافتراضي في جدول IdentityInfo هو 30 يوما.

Limitations

  • يدعم الحقل AssignedRoles الأدوار المضمنة فقط.

  • يدعم حقل GroupMembership سرد ما يصل إلى 500 مجموعة لكل مستخدم، بما في ذلك المجموعات الفرعية. إذا كان المستخدم عضوا في أكثر من 500 مجموعة، تتم مزامنة أول 500 فقط مع جدول IdentityInfo . ومع ذلك، لا يتم تقييم المجموعات بأي ترتيب معين، لذلك في كل مزامنة جديدة (كل 14 يوما)، من الممكن تحديث مجموعة مختلفة من المجموعات إلى سجل المستخدم.

  • عند حذف مستخدم، لا يتم حذف سجل هذا المستخدم على الفور من جدول IdentityInfo . والسبب في ذلك هو أن أحد أغراض هذا الجدول هو تدقيق التغييرات على سجلات المستخدمين. لذلك، نريد أن يحتوي هذا الجدول على سجل لمستخدم يتم حذفه، والذي يمكن أن يحدث فقط إذا كان سجل المستخدم في جدول IdentityInfo لا يزال موجودا، على الرغم من حذف المستخدم الفعلي (على سبيل المثال، في معرف Entra).

    يمكن تعريف المستخدمين المحذوفين من خلال وجود قيمة في deletedDateTime الحقل. لذلك إذا كنت بحاجة إلى استعلام لعرض قائمة بالمستخدمين، يمكنك تصفية المستخدمين المحذوفين عن طريق الإضافة | where IsEmpty(deletedDateTime) إلى الاستعلام.

    في فترة زمنية معينة بعد حذف مستخدم، تتم إزالة سجل المستخدم في النهاية من جدول IdentityInfo أيضا.

  • عند حذف مجموعة، أو إذا تم تغيير اسمها في مجموعة تضم أكثر من 100 عضو، فلن يتم تحديث سجلات المستخدمين الأعضاء في تلك المجموعة. إذا تسبب تغيير مختلف في تحديث أحد سجلات هؤلاء المستخدمين، تضمين معلومات المجموعة المحدثة في تلك المرحلة.

إصدارات أخرى من جدول IdentityInfo

هناك إصدارات متعددة من جدول IdentityInfo :

  • يقدم إصدار مخطط Log Analytics ، الذي تمت مناقشته في هذه المقالة، Microsoft Sentinel في مدخل Microsoft Azure. وهي متاحة للعملاء الذين قاموا بتمكين UEBA.

  • يخدم إصدار مخطط التتبع المتقدم مدخل Microsoft Defender عبر Microsoft Defender for Identity. وهي متوفرة لعملاء Microsoft Defender XDR، مع Microsoft Sentinel أو بدونه، وعملاء Microsoft Sentinel بحد ذاته في مدخل Defender.

    لا يلزم تمكين UEBA من أجل الوصول إلى هذا الجدول. ومع ذلك، بالنسبة للعملاء الذين لم يتم تمكين UEBA، لا تكون الحقول التي يتم ملؤها ببيانات UEBA مرئية أو متوفرة.

    لمزيد من المعلومات، راجع وثائق إصدار التتبع المتقدم من هذا الجدول.

  • اعتبارا من مايو 2025، يبدأ عملاء Microsoft Sentinel في مدخل Microsoft Defenderمع تمكين UEBAباستخدام إصدار جديد من إصدار التتبع المتقدم . يتضمن هذا الإصدار الجديد جميع حقول UEBA من إصدار Log Analytics بالإضافة إلى بعض الحقول الجديدة، ويشار إليه باسم الإصدار الموحد أو جدول IdentityInfo الموحد.

    يستمر عملاء مدخل Defender دون تمكين UEBA، أو بدون Microsoft Sentinel على الإطلاق، في استخدام الإصدار السابق من إصدار التتبع المتقدم، دون الحقول التي تم إنشاؤها من قبل UEBA.

    لمزيد من المعلومات حول الإصدار الموحد، راجع IdentityInfo في وثائق التتبع المتقدمة.

Schema

يصف الجدول في علامة التبويب "مخطط Log Analytics" التالية بيانات هوية المستخدم المضمنة في جدول IdentityInfo في Log Analytics في مدخل Microsoft Azure.

إذا كنت تقوم بإلحاق Microsoft Sentinel بمدخل Defender، فحدد علامة التبويب "مقارنة بالمخطط الموحد" لعرض التغييرات التي قد تؤثر على الاستعلامات في قواعد الكشف عن التهديدات والبحث.

اسم الحقل Type Description
AccountCloudSID string معرف أمان Microsoft Entra للحساب.
AccountCreationTime datetime التاريخ المتعلق بإنشاء حساب المستخدم (UTC).
AccountDisplayName string الاسم المعروض لحساب المستخدم.
AccountDomain string اسم المجال لحساب المستخدم.
AccountName string اسم المستخدم لحساب المستخدم.
AccountObjectId string معرف كائن Microsoft Entra لحساب المستخدم.
AccountSID string معرّف الأمان المحلي لحساب المستخدم.
AccountTenantId string معرف مستأجر Microsoft Entra لحساب المستخدم.
AccountUPN string اسم المستخدم الأساسي لحساب المستخدم.
AdditionalMailAddresses dynamic عناوين البريد الإلكتروني الإضافية المتعلقة بالمستخدم.
AssignedRoles dynamic أدوار Microsoft Entra التي تم تعيين حساب المستخدم إليها. يتم دعم الأدوار المضمنة فقط.
BlastRadius string عملية حسابية تستند إلى موضع المستخدم في شجرة المؤسسة وأدوار وأذونات Microsoft Entra للمستخدم.
القيم المحتملة: منخفضة، متوسطة، عالية
ChangeSource string مصدر آخر تغيير في الكيان.
القيم المحتملة:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
    		•
    City string مدينة حساب المستخدم.
    CompanyName string اسم الشركة التي ينتمي إليها المستخدم.
    Country string البلد/المنطقة لحساب المستخدم.
    DeletedDateTime datetime تاريخ ووقت حذف المستخدم.
    Department string القسم المتعلق بحساب المستخدم.
    EmployeeId string معرف الموظف المعين للمستخدم من قبل المؤسسة.
    GivenName string الاسم المحدد لحساب المستخدم.
    GroupMembership dynamic مجموعات معرف Microsoft Entra حيث يكون حساب المستخدم عضوا.
    IsAccountEnabled bool إشارة إلى ما إذا كان حساب المستخدم ممكنا في معرف Microsoft Entra أم لا.
    JobTitle string المسمى الوظيفي المتعلق بحساب المستخدم.
    MailAddress string عنوان البريد الإلكتروني الأساسي المتعلق بحساب المستخدم.
    Manager string الاسم المستعار للمدير لحساب المستخدم.
    OnPremisesDistinguishedName string الاسم المميز لمعرف Microsoft Entra (DN). الاسم المميز هو سلسلة من الأسماء المميزة النسبية (RDN)، متصلة بفواصل.
    Phone string رقم هاتف حساب المستخدم.
    RiskLevel string مستوى مخاطر معرف Microsoft Entra لحساب المستخدم.
    القيم المحتملة:
  • Low
  • Medium
  • High
    		•
    RiskLevelDetails string تفاصيل تتعلق بمستوى مخاطر معرف Microsoft Entra.
    RiskState string الإشارة إلى ما إذا كان الحساب في خطر الآن أو إذا تمت معالجة المخاطر.
    SourceSystem string النظام الذي تتم إدارة المستخدم فيه.
    القيم المحتملة:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
    		•
    State string الحالة الجغرافية المتعلقة بحساب المستخدم.
    StreetAddress string عنوان شارع المكتب المتعلق بحساب المستخدم.
    Surname string لقب المستخدم. account.
    TenantId string معرّف المستأجر للمستخدم.
    TimeGenerated datetime وقت إنشاء الحدث (UTC).
    Type string اسم الجدول.
    UserAccountControl dynamic سمات الأمان لحساب المستخدم في مجال AD.
    القيم المحتملة (قد تحتوي على أكثر من واحد):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
    		•
    UserState string الحالة الحالية لحساب المستخدم في معرف Microsoft Entra.
    القيم المحتملة:
  • Active
  • Disabled
  • Dormant
  • Lockout
    		•
    UserStateChangedOn datetime تاريخ آخر مرة تغيَّرت فيها حالة الحساب (UTC).
    UserType string نوع المستخدم.

    يجب تجاهل الحقول التالية، أثناء وجودها في مخطط Log Analytics، لأنها غير مستخدمة أو مدعومة من قبل Microsoft Sentinel:

    • Applications
    • EntityRiskScore
    • ExtensionProperty
    • InvestigationPriority
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • LastSeenDate
    • OnPremisesExtensionAttributes
    • RelatedAccounts
    • ServicePrincipals
    • Tags
    • UACFlags

    تكامل UEBA مع سير العمل من Microsoft Sentinel

    تتكامل رؤى UEBA في جميع أنحاء مايكروسوفت سينتينل لتعزيز سير عمل عمليات الأمن الخاصة بك:

    صفحات الكيانات وتحقيق المستخدمين

    • الشذوذات في لوحة المستخدمين: عرض أعلى 3 شذوذات مستخدم من آخر 30 يوما مباشرة في لوحة جانب المستخدم وعلامة التبويب النظرة العامة لصفحات المستخدم. يوفر هذا سياقا فوريا ل UEBA عند التحقيق مع المستخدمين عبر مواقع البوابات المختلفة. لمزيد من المعلومات، راجع التحقيق في الكيانات التي لديها صفحات كيانات.

    تعزيز الصيد والكشف

    • استعلام شذوذات البحث عن الوصول: تستعلامات الشذوذات المدمجة في الوصول مباشرة من رسوم الحوادث عند التحقيق في كيانات المستخدم، مما يتيح البحث الفوري في السياق بناء على نتائج UEBA.
    • توصيات جداول الشذوذ: احصل على اقتراحات ذكية لتحسين استعلامات الصيد من خلال إضافة جدول شذوذ UEBA عند الاستعلام إلى مصادر البيانات المؤهلة.

    لمزيد من المعلومات حول هذه التحسينات في الصيد، راجع صيد التهديدات في Microsoft Sentinel.

    سير عمل التحقيق

    • رسم بياني للتحقيق المحسن: عند التحقيق في الحوادث مع كيانات المستخدمين، قم بالوصول إلى استفسارات شذوذات UEBA مباشرة من رسم التحقيق للحصول على سياق سلوكي فوري.

    لمزيد من المعلومات حول تحسينات التحقيق، راجع التحقيق بتفصيل في حوادث مايكروسوفت سينتينل.

    المتطلبات المسبقة لتعزيز تكامل UEBA

    للوصول إلى هذه القدرات المحسنة ل UEBA:

    • يجب تفعيل UEBA في مساحة عمل Microsoft Sentinel الخاصة بك
    • يجب أن تكون مساحة العمل الخاصة بك مدمجة في بوابة Microsoft Defender (لبعض الميزات)
    • الأذونات المناسبة لعرض بيانات UEBA وتشغيل استعلامات الصيد

    الخطوات التالية

    وصف هذا المستند مخطط جدول تحليلات سلوك كيان Microsoft Sentinel.

    • Last updated on