مرجع Microsoft Sentinel UEBA
تسرد هذه المقالة المرجعية مصادر بيانات الإدخال لخدمة تحليلات سلوك المستخدم والكيان في Microsoft Sentinel. كما تصف عمليات الإثراء التي تضيفها UEBA إلى الكيانات، ما يوفر السياق اللازم للتنبيهات والحوادث.
هام
يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
مصادر بيانات UEBA
فيما يلي مصادر البيانات التي يجمع منها محرك UEBA البيانات ويحللها لتدريب نماذج التعلم الآلي الخاصة به وتعيين خطوط الأساس السلوكية للمستخدمين والأجهزة والكيانات الأخرى. ثم يبحث UEBA في البيانات الواردة من هذه المصادر للعثور على الحالات الشاذة ونتائج التحليلات المتعمقة.
| Data source | حدث |
|---|---|
| معرِّف Microsoft Entra تسجيل الدخول على السجلات |
الكل |
| معرِّف Microsoft Entra سجلات التدقيق |
ApplicationManagement DirectoryManagement GroupManagement الجهاز RoleManagement UserManagementCategory |
| السجلات النشطة في Azure | التصريح AzureActiveDirectory الفوترة Compute الاستهلاك KeyVault الأجهزة الشبكة الموارد Intune المنطق Sql التخزين |
| أحداث Windows Security WindowsEvent أو حدث الأمان |
4624: تم تسجيل الدخول إلى الحساب بنجاح 4625:فشل تسجيل الدخول إلى الحساب 4648: تم محاولة تسجيل الدخول باستخدام بيانات اعتماد صريحة 4672: الامتيازات الخاصة المعينة لتسجيل الدخول الجديد 4688: تم إنشاء عملية جديدة |
إثراء تحليلات استخدامات المستخدمين والكيانات
يصف هذا القسم عمليات الإثراء التي يضيفها UEBA إلى كيانات Microsoft Sentinel، بالإضافة إلى جميع تفاصيلها، التي يمكن استخدامها للتركيز على تحقيقات الحوادث الأمنية وزيادتها. تُعرض عمليات الإثراء هذه على صفحات الكيان ويمكن العثور عليها في جداول Log Analytics التالية، والمحتويات والمخطط المدرجة أدناه:
جدول BehaviorAnalytics هو المكان الذي يتم فيه تخزين معلومات إخراج UEBA.
يتم وصف الحقول الديناميكية الثلاثة التالية من جدول «BehaviorAnalytics» في قسم الحقول الديناميكية لإثراء الكيان الوارد أدناه.
تحتوي حقول UsersInsights و DevicesInsights على معلومات الكيان من Active Directory / Microsoft Entra ID ومصادر التحليل الذكي للمخاطر من Microsoft.
يحتوي حقل ActivityInsights على المعلومات المتعلقة بالكيان استنادًا إلى ملفات التعريف السلوكية التي تم إنشاؤها من قِبل تحليلات سلوك الكيان في Microsoft Sentinel.
يتم تحليل الأنشطة الخاصة بالمستخدم مقابل أساس يتم تحويله برمجيًا ديناميكيًا في كل مرة يتم استخدامه. كل نشاط له فترة استرجاع محددة يتم من خلالها اشتقاق الأساس الديناميكي. يتم تحديد فترة الاسترجاع في العمود الأساس في هذا الجدول.
جدول IdentityInfo هو المكان الذي يتم فيه تخزين معلومات الهوية المتزامنة مع UEBA من معرف Microsoft Entra (ومن Active Directory محلي عبر Microsoft Defender for Identity).
جدول «BehaviorAnalytics»
يصف الجدول التالي بيانات تحليلات السلوك المعروضة على كل صفحة لتفاصيل الكيان في Microsoft Sentinel.
| الحقل | نوع | الوصف |
|---|---|---|
| TenantId | سلسلة | رقم المعرّف الفريد للمستأجر. |
| SourceRecordId | سلسلة | رقم المعرّف الفريد لحدث EBA. |
| TimeGenerated | datetime | الطابع الزمني لوقوع النشاط. |
| TimeProcessed | datetime | الطابع الزمني لمعالجة النشاط بواسطة محرك EBA. |
| نوع النشاط | سلسلة | فئة النشاط عالية المستوى. |
| ActionType | سلسلة | الاسم الطبيعي للنشاط. |
| UserName | سلسلة | اسم المستخدم للمستخدم الذي بدأ النشاط. |
| UserPrincipalName | سلسلة | اسم المستخدم الكامل للمستخدم الذي بدأ النشاط. |
| مصدر الأحداث | سلسلة | مصدر البيانات الذي وفر الحدث الأصلي. |
| SourceIPAddress | سلسلة | عنوان IP الذي بدأ النشاط منه. |
| SourceIPLocation | سلسلة | البلد الذي بدأ منه النشاط، وتم إثراؤه من عنوان IP. |
| SourceDevice | سلسلة | اسم المضيف الخاص بالجهاز الذي بدأ النشاط. |
| DestinationIPAddress | سلسلة | عنوان IP لهدف النشاط. |
| DestinationIPLocation | سلسلة | بلد الهدف من النشاط، وتم إثراؤه من عنوان IP. |
| DestinationDevice | سلسلة | اسم الجهاز المستهدف. |
| UsersInsights | ديناميكي | عمليات الإثراء السياقي للمستخدمين المشاركين (التفاصيل أدناه). |
| DevicesInsights | ديناميكي | عمليات الإثراء السياقي للأجهزة المشاركة (التفاصيل أدناه). |
| ActivityInsights | ديناميكي | التحليل السياقي للنشاط بناءً على جمع المعلومات (التفاصيل أدناه). |
| InvestigationPriority | العدد الصحيح | درجة الشذوذ، ما بين 0-10 (0 = حميدة، 10 = شاذة للغاية). |
الحقول الديناميكية لعمليات إثراء الكيان
إشعار
يعرض عمود اسم الإثراء في الجداول الموجودة في هذا القسم صفين من المعلومات.
- الأول، بالخط العريض، وهو «الاسم المألوف» لعملية الإثراء.
- الثاني (بخط مائل وبين أقواس) هو اسم حقل الإثراء كما هو مخزن في جدول تحليلات السلوك.
الحقل UsersInsights
يقوم الجدول التالي بوصف عمليات الإثراء المميزة في الحقل الديناميكي UsersInsights في جدول BehaviorAnalytics:
| اسم الإثراء | الوصف | عينة القيمة |
|---|---|---|
| الاسم المعروض للحساب (AccountDisplayName) |
الاسم المعروض للحساب للمستخدم. | المسؤول، Hayden Cook |
| مجال الحساب (AccountDomain) |
اسم مجال الحساب للمستخدم. | |
| معرّف عنصر الحساب (AccountObjectID) |
معرّف عنصر الحساب للمستخدم. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| نصف قطر الانفجار (BlastRadius) |
يتم حساب نصف قطر الانفجار استنادا إلى عدة عوامل: موضع المستخدم في شجرة المؤسسة، وأدوار وأذونات Microsoft Entra للمستخدم. يجب أن يكون لدى المستخدم خاصية Manager مملوءة في معرف Microsoft Entra ل BlastRadius ليتم حسابها. | منخفض، متوسط، مرتفع |
| حساب خامل (IsDormantAccount) |
لم يتم استخدام الحساب منذ 180 يومًا الماضية. | True, False |
| المسؤول المحلي (IsLocalAdmin) |
يتمتع الحساب بامتيازات المسؤول المحلي. | True, False |
| حساب جديد (IsNewAccount) |
تم إنشاء الحساب خلال 30 يومًا الماضية. | True, False |
| معرّف الأمان المحلي (OnPremisesSID) |
معرّف الأمان (SID) المحلي للمستخدم المرتبط بالإجراء. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights field
يقوم الجدول التالي بوصف عمليات الإثراء المميزة في الحقل الديناميكي DevicesInsights في جدول BehaviorAnalytics:
| اسم الإثراء | الوصف | عينة القيمة |
|---|---|---|
| المستعرض (مستعرض الويب) |
مستعرض الويب المستخدم في الإجراء. | Edge، وChrome |
| عائلة الجهاز (DeviceFamily) |
مجموعة الأجهزة المستخدمة في العمل. | Windows |
| نوع الجهاز (DeviceType) |
نوع جهاز العميل المستخدم في الإجراء | سطح المكتب |
| ISP (ISP) |
موفّر خدمة الإنترنت المستخدم في الإجراء. | |
| نظام التشغيل (OperatingSystem) |
نظام التشغيل المستخدم في الإجراء. | Windows 10 |
| وصف مؤشر intel للتهديد (ThreatIntelIndicatorDescription) |
وصف مؤشر التهديد المرصود الذي تم حله من عنوان IP المستخدم في الإجراء. | Host is member of botnet: azorult |
| نوع مؤشر intel للتهديد (ThreatIntelIndicatorType) |
نوع مؤشر التهديد الذي تم حله من عنوان IP المستخدم في الإجراء. | Botnet، وC2، وCryptoMining، وDarknet، وDdos، وMaliciousUrl، وMalware، وPhishing، وProxy، وPUA، وWatchlist |
| عامل المستخدم (UserAgent) |
عميل المستخدم الذي تم استخدامه في الإجراء. | Microsoft Azure Graph Client Library 1.0، Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| مجموعة عميل المستخدم (UserAgentFamily) |
مجموعة عميل المستخدم المستخدمة في الإجراء. | Chrome، وEdge، وFirefox |
حقل «ActivityInsights»
تقوم الجداول التالية بوصف عمليات الإثراء المميزة في الحقل الديناميكي ActivityInsights في جدول BehaviorAnalytics:
الإجراء المنفذ
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة نفذ فيها المستخدم الإجراء (FirstTimeUserPerformedAction) |
180 | تم تنفيذ الإجراء لأول مرة من قِبل المستخدم. | True, False |
| تم تنفيذ الإجراء بشكل غير مألوف من قِبل المستخدم (ActionUncommonlyPerformedByUser) |
10 | لا يتم تنفيذ الإجراء بشكل مألوف من قِبل المستخدم. | True, False |
| تم تنفيذ الإجراء بشكل غير مألوف بين النظراء (ActionUncommonlyPerformedAmongPeers) |
180 | لا يتم تنفيذ الإجراء بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تم فيها تنفيذ الإجراء في المستأجر (FirstTimeActionPerformedInTenant) |
180 | تم تنفيذ الإجراء لأول مرة من قِبل أي شخص في المؤسسة. | True, False |
| تم تنفيذ الإجراء بشكل غير مألوف في المستأجر (ActionUncommonlyPerformedInTenant) |
180 | لا يتم تنفيذ الإجراء بشكل مألوف في المؤسسة. | True, False |
التطبيق المستخدم
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة استخدم فيها المستخدم التطبيق (FirstTimeUserUsedApp) |
180 | تم استخدام التطبيق لأول مرة من قِبل المستخدم. | True, False |
| تم استخدام التطبيق بشكل غير مألوف من قِبل المستخدم (AppUncommonlyUsedByUser) |
10 | لا يتم استخدام التطبيق بشكل مألوف من قِبل المستخدم. | True, False |
| تم استخدام التطبيق بشكل غير مألوف بين النظراء (AppUncommonlyUsedAmongPeers) |
180 | لا يتم استخدام التطبيق بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تمت فيها ملاحظة التطبيق في المستأجر (FirstTimeAppObservedInTenant) |
180 | تمت ملاحظة التطبيق لأول مرة في المؤسسة. | True, False |
| تم استخدام التطبيق بشكل غير مألوف في المستأجر (AppUncommonlyUsedInTenant) |
180 | لا يتم استخدام التطبيق بشكل مألوف في المؤسسة. | True, False |
مستعرض الويب الذي تم استخدامه
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة اتصل فيها المستخدم عبر مستعرض الويب (FirstTimeUserConnectedViaBrowser) |
30 | تمت ملاحظة مستعرض الويب لأول مرة من قِبل المستخدم. | True, False |
| تم استخدام مستعرض الويب بشكل غير مألوف من قِبل المستخدم (BrowserUncommonlyUsedByUser) |
10 | لا يتم استخدام مستعرض الويب بشكل مألوف من قِبل المستخدم. | True, False |
| تم استخدام مستعرض الويب بشكل غير مألوف بين النظراء (BrowserUncommonlyUsedAmongPeers) |
30 | لا يتم استخدام مستعرض الويب بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تمت فيها ملاحظة مستعرض الويب في المستأجر (FirstTimeBrowserObservedInTenant) |
30 | تمت ملاحظة مستعرض الويب لأول مرة في المؤسسة. | True, False |
| تم استخدام مستعرض الويب بشكل غير مألوف في المستأجر (BrowserUncommonlyUsedInTenant) |
30 | لا يتم استخدام مستعرض الويب بشكل مألوف في المؤسسة. | True, False |
البلد متصل من
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة اتصل فيها المستخدم من البلد (FirstTimeUserConnectedFromCountry) |
90 | الموقع الجغرافي، كما تم حله من عنوان IP، كان متصلاً من لأول مرة من قِبل المستخدم. | True, False |
| البلد متصل من بشكل غير مألوف من قِبل المستخدم (CountryUncommonlyConnectedFromByUser) |
10 | الموقع الجغرافي، كما تم حله من عنوان IP، غير متصل من بشكل مألوف من قِبل المستخدم. | True, False |
| البلد متصل من بشكل غير مألوف بين النظراء (CountryUncommonlyConnectedFromAmongPeers) |
90 | الموقع الجغرافي، كما تم حله من عنوان IP، غير متصل من بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تمت فيها ملاحظة اتصال من البلد في المستأجر (FirstTimeConnectionFromCountryObservedInTenant) |
90 | البلد كان متصلاً من لأول مرة من قِبل أي شخص في المؤسسة. | True, False |
| البلد متصل من بشكل غير مألوف في المستأجر (CountryUncommonlyConnectedFromInTenant) |
90 | الموقع الجغرافي من، كما تم حله من عنوان IP، غير متصل من بشكل مألوف في المؤسسة. | True, False |
الجهاز المستخدم في الاتصال
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة اتصل فيها المستخدم من الجهاز (FirstTimeUserConnectedFromDevice) |
30 | الجهاز المصدر كان متصلاً من لأول مرة من قِبل المستخدم. | True, False |
| تم استخدام الجهاز بشكل غير مألوف من قِبل المستخدم (DeviceUncommonlyUsedByUser) |
10 | لا يتم استخدام الجهاز بشكل مألوف من قِبل المستخدم. | True, False |
| تم استخدام الجهاز بشكل غير مألوف بين النظراء (DeviceUncommonlyUsedAmongPeers) |
180 | لا يتم استخدام الجهاز بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تمت فيها ملاحظة الجهاز في المستأجر (FirstTimeDeviceObservedInTenant) |
30 | تمت ملاحظة الجهاز لأول مرة في المؤسسة. | True, False |
| تم استخدام الجهاز بشكل غير مألوف في المستأجر (DeviceUncommonlyUsedInTenant) |
180 | لا يتم استخدام الجهاز بشكل مألوف في المؤسسة. | True, False |
عمليات أخرى مرتبطة بالجهاز
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة سجَّل فيها المستخدم الدخول إلى الجهاز (FirstTimeUserLoggedOnToDevice) |
180 | الجهاز الوجهة كان متصلاً بـ لأول مرة من قِبل المستخدم. | True, False |
| تم استخدام مجموعة الأجهزة بشكل غير مألوف في المستأجر (DeviceFamilyUncommonlyUsedInTenant) |
30 | لا يتم استخدام مجموعة الأجهزة بشكل مألوف في المؤسسة. | True, False |
تم استخدام موفّر خدمة الإنترنت للاتصال
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة اتصل فيها المستخدم عبر موفّر خدمة الإنترنت (FirstTimeUserConnectedViaISP) |
30 | تمت ملاحظة موفّر خدمة الإنترنت لأول مرة من قِبل المستخدم. | True, False |
| تم استخدام موفّر خدمة الإنترنت بشكل غير مألوف من قِبل المستخدم (ISPUncommonlyUsedByUser) |
10 | لا يتم استخدام موفّر خدمة الإنترنت بشكل مألوف من قِبل المستخدم. | True, False |
| تم استخدام موفّر خدمة الإنترنت بشكل غير مألوف بين النظراء (ISPUncommonlyUsedAmongPeers) |
30 | لا يتم استخدام موفّر خدمة الإنترنت بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تم فيها الاتصال عبر موفّر خدمة الإنترنت في المستأجر (FirstTimeConnectionViaISPInTenant) |
30 | تمت ملاحظة موفّر خدمة الإنترنت لأول مرة في المؤسسة. | True, False |
| تم استخدام موفّر خدمة الإنترنت بشكل غير مألوف في المستأجر (ISPUncommonlyUsedInTenant) |
30 | لا يتم استخدام موفّر خدمة الإنترنت بشكل مألوف في المؤسسة. | True, False |
تم الوصول إلى المورد
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| أول مرة وصل فيها المستخدم إلى المورد (FirstTimeUserAccessedResource) |
180 | تم الوصول إلى المورد لأول مرة من قِبل المستخدم. | True, False |
| تم الوصول إلى المورد بشكل غير مألوف من قِبل المستخدم (ResourceUncommonlyAccessedByUser) |
10 | لا يتم الوصول إلى المورد بشكل مألوف من قِبل المستخدم. | True, False |
| تم الوصول إلى المورد بشكل غير مألوف بين النظراء (ResourceUncommonlyAccessedAmongPeers) |
180 | لا يتم الوصول إلى المورد بشكل مألوف بين نظراء المستخدم. | True, False |
| أول مرة تم فيها الوصول إلى المورد في المستأجر (FirstTimeResourceAccessedInTenant) |
180 | تم الوصول إلى المورد لأول مرة من قِبل أي شخص في المؤسسة. | True, False |
| تم الوصول إلى المورد بشكل غير مألوف في المستأجر (ResourceUncommonlyAccessedInTenant) |
180 | لا يتم الوصول إلى المورد بشكل مألوف في المؤسسة. | True, False |
متنوع
| اسم الإثراء | الأساس (أيام) | الوصف | عينة القيمة |
|---|---|---|---|
| آخر مرة نفذ فيها المستخدم الإجراء (LastTimeUserPerformedAction) |
180 | آخر مرة نفذ فيها المستخدم نفس الإجراء. | <Timestamp> |
| لم يتم تنفيذ إجراء مماثل في الماضي (SimilarActionWasn'tPerformedInThePast) |
30 | لم يتم تنفيذ أي إجراء في نفس موفر الموارد من قِبل المستخدم. | True, False |
| موقع IP المصدر (SourceIPLocation) |
غير متاح | تم حل البلد من IP المصدر للإجراء. | [Surrey, England] |
| حجم كبير من العمليات غير المألوفة (UncommonHighVolumeOfOperations) |
7 | نفذ المستخدم اندفاعًا من العمليات المماثلة داخل نفس الموفّر | True, False |
| عدد غير عادي من فشل الوصول المشروط ل Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | فشل عدد غير عادي من المستخدمين في المصادقة ويرجع ذلك إلى الوصول المشروط | True, False |
| أُضيف عدد غير عادي من الأجهزة (UnusualNumberOfDevicesAdded) |
5 | أضاف مستخدم عددًا غير عادي من الأجهزة. | True, False |
| تم حذف عدد غير عادي من الأجهزة (UnusualNumberOfDevicesDeleted) |
5 | حذف مستخدم عددًا غير عادي من الأجهزة. | True, False |
| تمت إضافة عدد كبير من المستخدمين إلى المجموعة (UnusualNumberOfUsersAddedToGroup) |
5 | أضاف مستخدم عددًا غير عادي من المستخدمين إلى مجموعة. | True, False |
جدول «IdentityInfo»
بعد تمكين UEBA لمساحة عمل Microsoft Sentinel، تتم مزامنة البيانات من معرف Microsoft Entra إلى جدول IdentityInfo في Log Analytics للاستخدام في Microsoft Sentinel. يمكنك تضمين بيانات المستخدم المتزامنة من معرف Microsoft Entra في قواعد التحليلات لتحسين التحليلات الخاصة بك لتناسب حالات الاستخدام وتقليل الإيجابيات الزائفة.
بينما قد تستغرق المزامنة الأولية بضعة أيام، بمجرد مزامنة البيانات بالكامل:
يتم تحديث التغييرات التي تم إجراؤها على ملفات تعريف المستخدمين في معرف Microsoft Entra في جدول IdentityInfo في غضون 15 دقيقة.
تتم مزامنة معلومات المجموعة والدور بين جدول IdentityInfo ومعرف Microsoft Entra يوميا.
كل 14 يوما، يعيد Microsoft Sentinel المزامنة مع معرف Microsoft Entra بالكامل لضمان تحديث السجلات القديمة بالكامل.
مدة وقت الاستبقاء الافتراضي في جدول IdentityInfo هي 30 يومًا.
إشعار
حاليًا، يتم دعم الأدوار المضمنة فقط.
البيانات المتعلقة بالمجموعات المحذوفة، حيث تمت إزالة مستخدم من مجموعة، غير مدعومة حاليًا.
هناك بالفعل إصداران من جدول IdentityInfo : أحدهما يخدم Microsoft Sentinel، في مخطط Log Analytics ، والآخر يخدم مدخل Microsoft Defender عبر Microsoft Defender for Identity، في ما يعرف بمخطط التتبع المتقدم. يتم تغذية كلا الإصدارين من هذا الجدول بواسطة معرف Microsoft Entra، ولكن إصدار Log Analytics أضاف بعض الحقول.
يستخدم النظام الأساسي لعمليات الأمان الموحدة في مدخل Defender إصدار التتبع المتقدم لهذا الجدول، لذلك لتقليل الاختلافات بين إصدارات الجدول، تتم إضافة معظم الحقول الفريدة في إصدار Log Analytics تدريجيا إلى إصدار التتبع المتقدم أيضا. بغض النظر عن المدخل الذي تستخدم فيه Microsoft Sentinel، سيكون لديك حق الوصول إلى جميع المعلومات نفسها تقريبا، على الرغم من أنه قد يكون هناك تأخر زمني صغير في المزامنة بين الإصدارات.
يصف الجدول التالي بيانات هوية المستخدم المضمنة في جدول IdentityInfo في Log Analytics في مدخل Microsoft Azure. يعرض العمود الرابع الحقول المقابلة في إصدار التتبع المتقدم للجدول، الذي يستخدمه Microsoft Sentinel في مدخل Defender. تتم تسمية أسماء الحقول في boldface بشكل مختلف في مخطط التتبع المتقدم عما هي عليه في إصدار Microsoft Sentinel Log Analytics.
| اسم الحقل في مخطط Log Analytics |
النوع | الوصف | اسم الحقل في مخطط التتبع المتقدم |
|---|---|---|---|
| AccountCloudSID | سلسلة | معرف أمان Microsoft Entra للحساب. | CloudSid |
| AccountCreationTime | datetime | التاريخ المتعلق بإنشاء حساب المستخدم (UTC). | تاريخ الإنشاء |
| AccountDisplayName | سلسلة | الاسم المعروض لحساب المستخدم. | AccountDisplayName |
| مجال الحساب | سلسلة | اسم المجال لحساب المستخدم. | AccountDomain |
| AccountName | سلسلة | اسم المستخدم لحساب المستخدم. | AccountName |
| AccountObjectId | سلسلة | معرف كائن Microsoft Entra لحساب المستخدم. | AccountObjectId |
| AccountSID | سلسلة | معرّف الأمان المحلي لحساب المستخدم. | AccountSID |
| AccountTenantId | سلسلة | معرف مستأجر Microsoft Entra لحساب المستخدم. | -- |
| AccountUPN | سلسلة | اسم المستخدم الأساسي لحساب المستخدم. | AccountUPN |
| AdditionalMailAddresses | ديناميكي | عناوين البريد الإلكتروني الإضافية المتعلقة بالمستخدم. | -- |
| AssignedRoles | ديناميكي | أدوار Microsoft Entra التي تم تعيين حساب المستخدم إليها. | AssignedRoles |
| BlastRadius | سلسلة | عملية حسابية تستند إلى موضع المستخدم في شجرة المؤسسة وأدوار وأذونات Microsoft Entra للمستخدم. القيم المحتملة: منخفضة، متوسطة، عالية |
-- |
| ChangeSource | سلسلة | مصدر آخر تغيير في الكيان. القيم المحتملة: |
ChangeSource |
| CompanyName | اسم الشركة التي ينتمي إليها المستخدم. | -- | |
| المدينة | سلسلة | مدينة حساب المستخدم. | المدينة |
| البلد | سلسلة | بلد حساب المستخدم. | الدولة |
| DeletedDateTime | datetime | تاريخ ووقت حذف المستخدم. | -- |
| القسم | سلسلة | القسم المتعلق بحساب المستخدم. | الإدارة |
| GivenName | سلسلة | الاسم المحدد لحساب المستخدم. | GivenName |
| GroupMembership | ديناميكي | مجموعات Microsoft Entra حيث يكون حساب المستخدم عضوا. | -- |
| IsAccountEnabled | منطقي | إشارة إلى ما إذا كان حساب المستخدم ممكنا في معرف Microsoft Entra أم لا. | IsAccountEnabled |
| JobTitle | سلسلة | المسمى الوظيفي المتعلق بحساب المستخدم. | JobTitle |
| MailAddress | سلسلة | عنوان البريد الإلكتروني الأساسي المتعلق بحساب المستخدم. | EmailAddress |
| المدير | سلسلة | الاسم المستعار للمدير لحساب المستخدم. | المدير |
| OnPremisesDistinguishedName | سلسلة | الاسم المميز لمعرف Microsoft Entra (DN). الاسم المميز هو سلسلة من الأسماء المميزة النسبية (RDN)، متصلة بفواصل. | الاسم المميز |
| الهاتف | سلسلة | رقم هاتف حساب المستخدم. | هاتف |
| نظام المصدر | سلسلة | النظام الذي تتم إدارة المستخدم فيه. القيم المحتملة: |
موفر المصدر |
| الولاية | سلسلة | الحالة الجغرافية المتعلقة بحساب المستخدم. | الولاية |
| StreetAddress | سلسلة | عنوان شارع المكتب المتعلق بحساب المستخدم. | العنوان |
| اللقب | سلسلة | لقب المستخدم. حساب. | اللقب |
| TenantId | سلسلة | معرّف المستأجر للمستخدم. | -- |
| TimeGenerated | datetime | وقت إنشاء الحدث (UTC). | Timestamp |
| النوع | سلسلة | اسم الجدول. | -- |
| UserAccountControl | ديناميكي | سمات الأمان لحساب المستخدم في مجال AD. القيم المحتملة (قد تحتوي على أكثر من واحد): |
-- |
| UserState | سلسلة | الحالة الحالية لحساب المستخدم في معرف Microsoft Entra. القيم الممكنة: |
-- |
| UserStateChangedOn | datetime | تاريخ آخر مرة تغيَّرت فيها حالة الحساب (UTC). | -- |
| نوع المستخدم | سلسلة | نوع المستخدم. | -- |
الخطوات التالية
وصف هذا المستند مخطط جدول تحليلات سلوك كيان Microsoft Sentinel.
- تعرف على المزيد بشأن تحليلات سلوك الكيان.
- تمكين UEBA في Microsoft Sentinel.
- تهيئة UEBA لاستخدامه في التحقيقات.