Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje seznam vstupních zdrojů dat pro službu Analýza chování uživatelů a entit v Microsoft Sentinel. Popisuje také rozšiřování, které UEBA přidává do entit, a poskytuje potřebný kontext pro výstrahy a incidenty.
Důležité
Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.
Zdroje dat UEBA
Jedná se o zdroje dat, ze kterých modul UEBA shromažďuje a analyzuje data za účelem trénování modelů ML a nastavení standardních hodnot chování pro uživatele, zařízení a další entity. UEBA se pak podívá na data z těchto zdrojů a najde anomálie a přehledy.
| Zdroj dat | Konektor | Tabulka Log Analytics | Analyzované kategorie událostí |
|---|---|---|---|
| Protokoly přihlášení spravované identity AAD (Preview) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Všechny události přihlášení spravované identity |
| Protokoly přihlášení instančního objektu AAD (Preview) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Všechny události přihlášení instančního objektu |
| Protokoly auditu | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device Správa rolí UserManagementCategory |
| AWS CloudTrail (Preview) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Události přihlášení ke konzole. Identifikované pomocí EventName = "ConsoleLogin" a EventSource = "signin.amazonaws.com". Události musí mít platnou UserIdentityPrincipalIdhodnotu . |
| aktivita Azure | aktivita Azure | AzureActivity | Autorizace AzureActiveDirectory Fakturace Výpočetní prostředky Spotřeby KeyVault Zařízení Síťové Zdroje Intune Logiku Sql Úložiště |
| Události přihlášení zařízení (Preview) | Microsoft Defender XDR | DeviceLogonEvents | Všechny události přihlášení zařízení |
| Protokoly auditu GCP (Preview) | Protokoly auditu Pub/Sub GCP | GCPAuditLogs |
apigee.googleapis.com- API Management Platformiam.googleapis.com – Služba IAM (Identity and Access Management)iamcredentials.googleapis.com – Rozhraní API pro přihlašovací údaje účtu služby IAMcloudresourcemanager.googleapis.com– Cloud Resource Manager APIcompute.googleapis.com – Rozhraní API výpočetního modulustorage.googleapis.com – Rozhraní API cloudového úložištěcontainer.googleapis.com – Rozhraní API modulu Kubernetesk8s.io – Rozhraní API Kubernetescloudsql.googleapis.com – Cloudové rozhraní SQL APIbigquery.googleapis.com – Rozhraní API BigQuerybigquerydatatransfer.googleapis.com – Rozhraní API služby přenosu dat BigQuerycloudfunctions.googleapis.com – Rozhraní API cloudových funkcíappengine.googleapis.com – Rozhraní API modulu aplikacídns.googleapis.com – Cloud DNS APIbigquerydatapolicy.googleapis.com – Rozhraní API zásad dat BigQueryfirestore.googleapis.com – Rozhraní API služby Firestoredataproc.googleapis.com – Rozhraní API datovéhoprokuosconfig.googleapis.com – Rozhraní API pro konfiguraci operačního systémucloudkms.googleapis.com – Cloud KMS APIsecretmanager.googleapis.com – Rozhraní API služby Secret ManagerUdálosti musí mít platnou hodnotu: - PrincipalEmail – Uživatel nebo účet služby, který volal rozhraní API- MethodName – Konkrétní metoda rozhraní Google API s názvem- Hlavní e-mail ve user@domain.com formátu. |
| Okta CL (Preview) | Jeden Sign-On Okta (pomocí Azure Functions) | Okta_CL, OktaV2_CL | Ověřování, vícefaktorové ověřování (MFA) a události relace, včetně:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startUdálosti musí mít platné ID uživatele ( actor_id_s). |
| Události zabezpečení |
Zabezpečení Windows události přes AMA Windows Forwarded Events |
WindowsEvent SecurityEvent |
4624: Účet byl úspěšně přihlášen 4625: Účet se nepodařilo přihlásit 4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů. 4672: Nové přihlášení má přiřazené zvláštní oprávnění 4688: Byl vytvořen nový proces |
| Protokoly přihlášení | Microsoft Entra ID | Protokoly přihlášení | Všechny události přihlášení |
Rozšiřování UEBA
Tato část popisuje rozšíření, které UEBA přidává do Microsoft Sentinel entit, které můžete použít k zaměření a zostření vyšetřování incidentů zabezpečení. Tato rozšíření se zobrazují na stránkách entit a najdete je v následujících tabulkách Log Analytics, jejichž obsah a schéma jsou uvedené níže:
V tabulce BehaviorAnalytics se ukládají výstupní informace UEBA.
Následující tři dynamická pole z tabulky BehaviorAnalytics jsou popsána v části rozšíření dynamických polí entit níže.
Pole UsersInsights a DevicesInsights obsahují informace o entitách ze zdrojů služba Active Directory / Microsoft Entra ID a Microsoft Threat Intelligence.
Pole ActivityInsights obsahuje informace o entitách na základě profilů chování vytvořených analýzou chování entit Microsoft Sentinel.
Aktivity uživatelů se analyzují na základě směrného plánu, který se při každém použití dynamicky kompiluje. Každá aktivita má své vlastní definované období zpětného vyhledávání, ze kterého se odvozuje dynamický směrný plán. Období zpětného vyhledávání je zadané ve sloupci Směrný plán v této tabulce.
V tabulce IdentityInfo se ukládají informace o identitě synchronizované s rozhraním UEBA z Microsoft Entra ID (a z místní Active Directory prostřednictvím Microsoft Defender for Identity).
Tabulka BehaviorAnalytics
Následující tabulka popisuje data analýzy chování zobrazená na stránce podrobností jednotlivých entit v Microsoft Sentinel.
| :----- | Typ | Popis |
|---|---|---|
| Id tenanta | řetězec | Jedinečné číslo ID tenanta. |
| Id zdrojového záznamu | řetězec | Jedinečné identifikační číslo události EBA. |
| TimeGenerated | Datetime | Časové razítko výskytu aktivity. |
| TimeProcessed | Datetime | Časové razítko zpracování činnosti orgánem EBA. |
| Typ aktivity | řetězec | Kategorie aktivity na vysoké úrovni. |
| ActionType | řetězec | Normalizovaný název aktivity |
| Username | řetězec | Uživatelské jméno uživatele, který aktivitu inicioval. |
| Userprincipalname | řetězec | Úplné uživatelské jméno uživatele, který aktivitu inicioval. |
| Zdroj událostí | řetězec | Zdroj dat, který poskytl původní událost. |
| SourceIPAddress | řetězec | IP adresa, ze které byla aktivita zahájena. |
| SourceIPLocation | řetězec | Země nebo oblast, ze které byla aktivita zahájena, rozšířená o IP adresu. |
| SourceDevice | řetězec | Název hostitele zařízení, které aktivitu iniciovalo. |
| DestinationIPAddress | řetězec | IP adresa cíle aktivity. |
| DestinationIPLocation | řetězec | Země/oblast cíle aktivity rozšířená o IP adresu. |
| Cílová zařízení | řetězec | Název cílového zařízení. |
| UsersInsights | Dynamické | Kontextové obohacení zúčastněných uživatelů (podrobnosti najdete níže). |
| DevicesInsights | Dynamické | Kontextové obohacení zapojených zařízení (podrobnosti jsou uvedeny níže). |
| ActivityInsights | Dynamické | Kontextová analýza aktivity na základě naší profilace (podrobnosti najdete níže). |
| InvestigationPriority | Int | Skóre anomálií, mezi 0–10 (0 = benigní, 10 = vysoce neobvyklé). Toto skóre kvantifikuje stupeň odchylky od očekávaného chování. Vyšší skóre značí větší odchylku od směrného plánu a s větší pravděpodobností značí skutečné anomálie. Nižší skóre můžou být stále neobvyklá, ale s menší pravděpodobností budou významná nebo můžou být užitečná. |
Dynamická pole rozšiřování entit
Poznámka
Sloupec Enrichment name (Název rozšíření ) v tabulkách v této části zobrazuje dva řádky informací.
- První, tučným písmem, je "popisný název" rozšiřování.
- Druhý (v kurzívě a závorkách) je název pole rozšiřování uloženého v tabulce Analýza chování.
Pole UsersInsights
Následující tabulka popisuje rozšíření uvedená v dynamickém poli UsersInsights v tabulce BehaviorAnalytics:
| Název rozšíření | Popis | Ukázková hodnota |
|---|---|---|
|
Zobrazovaný název účtu (AccountDisplayName) |
Zobrazované jméno účtu uživatele | Správa, Hayden Cook |
|
Doména účtu (Doména účtu) |
Název domény účtu uživatele. | |
|
ID objektu účtu (AccountObjectID) |
ID objektu účtu uživatele. | aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb |
|
Poloměr výbuchu (BlastRadius) |
Poloměr výbuchu se počítá na základě několika faktorů: pozice uživatele ve stromu organizace a Microsoft Entra rolí a oprávnění uživatele. Uživatel musí mít v Microsoft Entra ID vyplněnou vlastnost Správce, aby se funkce BlastRadius vypočítala. | Nízká, Střední, Vysoká |
|
Je neaktivní účet (IsDormantAccount) |
Účet se posledních 180 dní nepoužíval. | Pravda, nepravda |
|
Je místní správce? (IsLocalAdmin) |
Účet má oprávnění místního správce. | Pravda, nepravda |
|
Je nový účet (IsNewAccount) |
Účet se vytvořil během posledních 30 dnů. | Pravda, nepravda |
|
Místní SID (OnPremisesSID) |
Místní identifikátor SID uživatele související s akcí | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights field
Následující tabulka popisuje rozšíření uvedená v dynamickém poli DevicesInsights v tabulce BehaviorAnalytics:
| Název rozšíření | Popis | Ukázková hodnota |
|---|---|---|
|
Prohlížeče (Prohlížeč) |
Prohlížeč použitý v akci. | Microsoft Edge, Chrome |
|
Řada zařízení (DeviceFamily) |
Rodina zařízení použitá v akci | Windows |
|
Typ zařízení (DeviceType) |
Typ klientského zařízení použitý v akci | Plochy |
|
ISP (ISP) |
Poskytovatel internetových služeb použitý v akci. | |
|
Operační systém (OperatingSystem) |
Operační systém použitý v akci. | Windows 10 |
|
Popis indikátoru informací o hrozbách (ThreatIntelIndicatorDescription) |
Popis zjištěného indikátoru hrozby vyřešeného z IP adresy použité v akci | Hostitel je členem botnetu: azorult |
|
Typ indikátoru informací o hrozbě (ThreatIntelIndicatorType) |
Typ indikátoru hrozby vyřešený z IP adresy použité v akci. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Uživatelský agent (UserAgent) |
Uživatelský agent použitý v akci. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Řada uživatelských agentů (UserAgentFamily) |
Řada uživatelských agentů použitá v akci. | Chrome, Microsoft Edge, Firefox |
Pole ActivityInsights
Následující tabulky popisují rozšíření uvedená v dynamickém poli ActivityInsights v tabulce BehaviorAnalytics:
Provedená akce
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
Při prvním provedení akce uživatelem (FirstTimeUserPerformedAction) |
180 | Akce byla provedena poprvé uživatelem. | Pravda, nepravda |
|
Akce, které uživatel provádí neobvykle (ActionUncommonlyPerformedByUser) |
10 | Akce se běžně neprovádí uživatelem. | Pravda, nepravda |
|
Akce mezi partnerskými partnery se provádějí neobvykle (ActionUncommonlyPerformedAmongPeers) |
180 | Tato akce se mezi partnerskými partnery uživatele běžně neprovádí. | Pravda, nepravda |
|
První akce provedená v tenantovi (FirstTimeActionPerformedInTenant) |
180 | Akce byla provedena poprvé kýmkoli v organizaci. | Pravda, nepravda |
|
Akce, která se v tenantovi provádí méně často (ActionUncommonlyPerformedInTenant) |
180 | Akce se v organizaci běžně neprovádí. | Pravda, nepravda |
Použitá aplikace
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První použití aplikace uživatelem (FirstTimeUserUsedApp) |
180 | Aplikace byla poprvé použita uživatelem. | Pravda, nepravda |
|
Aplikace běžně používaná uživatelem (AppUncommonlyUsedByUser) |
10 | Aplikace není běžně používána uživatelem. | Pravda, nepravda |
|
Aplikace, která se mezi partnerskými partnery často používá (AppUncommonlyUsedAmongPeers) |
180 | Aplikace se mezi partnerskými uživateli běžně nepoužívá. | Pravda, nepravda |
|
První aplikace zjištěná v tenantovi (FirstTimeAppObservedInTenant) |
180 | Aplikace byla v organizaci poprvé pozorována. | Pravda, nepravda |
|
Aplikace se v tenantovi často používá (AppUncommonlyUsedInTenant) |
180 | Aplikace se v organizaci běžně nepoužívá. | Pravda, nepravda |
Použitý prohlížeč
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První připojení uživatele přes prohlížeč (FirstTimeUserConnectedViaBrowser) |
30 | Uživatel poprvé pozoroval prohlížeč. | Pravda, nepravda |
|
Prohlížeč často používaný uživatelem (BrowserUncommonlyUsedByUser) |
10 | Prohlížeč uživatel běžně nepoužívá. | Pravda, nepravda |
|
Prohlížeč se mezi partnerskými partnery často používá (BrowserUncommonlyUsedAmongPeers) |
30 | Prohlížeč se mezi partnerskými uživateli běžně nepoužívá. | Pravda, nepravda |
|
První zobrazení prohlížeče v tenantovi (FirstTimeBrowserObservedInTenant) |
30 | Prohlížeč byl v organizaci poprvé pozorován. | Pravda, nepravda |
|
Prohlížeč se v tenantovi často používá (BrowserUncommonlyUsedInTenant) |
30 | Prohlížeč se v organizaci běžně nepoužívá. | Pravda, nepravda |
Země/oblast připojená z
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První uživatel připojený ze země (FirstTimeUserConnectedFromCountry) |
90 | Geografické umístění, které se vyřešilo z IP adresy, bylo poprvé připojeno uživatelem. | Pravda, nepravda |
|
Země neobvykle připojená uživatelem (CountryUncommonlyConnectedFromByUser) |
10 | Geografické umístění, které se překládá z IP adresy, není běžně připojeno uživatelem. | Pravda, nepravda |
|
Země neobvykle propojená mezi partnerskými partnery (CountryUncommonlyConnectedFromAmongPeers) |
90 | Geografické umístění, které se překládá z IP adresy, není běžně připojené mezi partnerskými partnery uživatele. | Pravda, nepravda |
|
První připojení ze země zjištěné v tenantovi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Země nebo oblast byla poprvé připojena kýmkoli v organizaci. | Pravda, nepravda |
|
Země neobvykle připojená z v tenantovi (CountryUncommonlyConnectedFromInTenant) |
90 | Geografické umístění, které se vyřešilo z IP adresy, není běžně připojené z organizace. | Pravda, nepravda |
Zařízení použité k připojení
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První připojení uživatele ze zařízení (FirstTimeUserConnectedFromDevice) |
30 | Ze zdrojového zařízení se poprvé připojil uživatel. | Pravda, nepravda |
|
Zařízení často používané uživatelem (DeviceUncommonlyUsedByUser) |
10 | Zařízení uživatel běžně nepoužívá. | Pravda, nepravda |
|
Zařízení se mezi partnerskými partnery často používá (DeviceUncommonlyUsedAmongPeers) |
180 | Zařízení se mezi partnerskými uživateli běžně nepoužívá. | Pravda, nepravda |
|
První pozorování zařízení v tenantovi (FirstTimeDeviceObservedInTenant) |
30 | Zařízení bylo v organizaci poprvé pozorováno. | Pravda, nepravda |
|
Zařízení se v tenantovi často používá (DeviceUncommonlyUsedInTenant) |
180 | Zařízení se v organizaci běžně nepoužívá. | Pravda, nepravda |
Další zařízení
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
Při prvním přihlášení uživatele k zařízení (FirstTimeUserLoggedOnToDevice) |
180 | K cílovému zařízení se uživatel připojil poprvé. | Pravda, nepravda |
|
Řada zařízení se v tenantovi často používá (DeviceFamilyUncommonlyUsedInTenant) |
30 | Řada zařízení se v organizaci běžně nepoužívá. | Pravda, nepravda |
Poskytovatel internetových služeb použitý k připojení
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První připojení uživatele přes isp (FirstTimeUserConnectedViaISP) |
30 | Tento isp byl poprvé pozorován uživatelem. | Pravda, nepravda |
|
Uživatelem často používaného isp (ISPUncommonlyUsedByUser) |
10 | Tento isp není běžně používán uživatelem. | Pravda, nepravda |
|
Mezi partnerskými partnery se často používá isp (ISPUncommonlyUsedAmongPeers) |
30 | Tento isp se mezi partnerskými partnery uživatele běžně nepoužívá. | Pravda, nepravda |
|
První připojení přes isp v tenantovi (FirstTimeConnectionViaISPInTenant) |
30 | Tento isp byl v organizaci pozorován poprvé. | Pravda, nepravda |
|
V tenantovi se často používá isp (ISPUncommonlyUsedInTenant) |
30 | Tento isp se v organizaci běžně nepoužívá. | Pravda, nepravda |
Přístup k prostředku
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
První přístup uživatele k prostředku (FirstTimeUserAccessedResource) |
180 | Uživatel poprvé získal přístup k prostředku. | Pravda, nepravda |
|
Prostředek, ke který uživatel nezřídka přistupuje (ResourceUncommonlyAccessedByUser) |
10 | Uživatel k prostředku běžně nepřistupuje. | Pravda, nepravda |
|
Prostředek, ke který se mezi partnerskými partnery často přistupuje (ResourceUncommonlyAccessedAmongPeers) |
180 | K prostředku se běžně nepřístupí mezi partnerskými partnery uživatele. | Pravda, nepravda |
|
První přístup k prostředku v tenantovi (FirstTimeResourceAccessedInTenant) |
180 | K prostředku poprvé získal přístup kdokoli v organizaci. | Pravda, nepravda |
|
Prostředek v tenantovi se běžně využívá (ResourceUncommonlyAccessedInTenant) |
180 | Prostředek není v organizaci běžně přístupný. | Pravda, nepravda |
Různé
| Název rozšíření | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
|
Čas posledního provedení akce uživatelem (LastTimeUserPerformedAction) |
180 | Čas, kdy uživatel naposledy provedl stejnou akci. | <Časové razítko> |
|
Podobná akce se v minulosti neprováděla. (SimilarActionWasn'tPerformedInThePast) |
30 | Uživatel neprováděl žádnou akci ve stejném poskytovateli prostředků. | Pravda, nepravda |
|
Umístění zdrojové IP adresy (SourceIPLocation) |
N/A | Země nebo oblast přeložená ze zdrojové IP adresy akce. | [Surrey, Anglie] |
|
Neobvykle velký objem operací (UncommonHighVolumeOfOperations) |
7 | Uživatel provedl nárůst podobných operací v rámci stejného poskytovatele. | Pravda, nepravda |
|
Neobvyklý počet Microsoft Entra selhání podmíněného přístupu (UnusualNumberOfAADConditionalAccessFailures) |
5 | Neobvyklý počet uživatelů se nepodařilo ověřit kvůli podmíněnému přístupu | Pravda, nepravda |
|
Neobvyklý počet přidaných zařízení (UnusualNumberOfDevicesAdded) |
5 | Uživatel přidal neobvyklý počet zařízení. | Pravda, nepravda |
|
Neobvyklý počet odstraněných zařízení (UnusualNumberOfDevicesDeleted) |
5 | Uživatel odstranil neobvyklý počet zařízení. | Pravda, nepravda |
|
Neobvyklý počet uživatelů přidaných do skupiny (UnusualNumberOfUsersAddedToGroup) |
5 | Uživatel přidal do skupiny neobvyklý počet uživatelů. | Pravda, nepravda |
Tabulka IdentityInfo
Po povolení a konfiguraci UEBA pro pracovní prostor Microsoft Sentinel se uživatelská data od zprostředkovatelů identity Microsoftu synchronizují do tabulky IdentityInfo v Log Analytics pro použití v Microsoft Sentinel.
Tito zprostředkovatelé identity jsou buď jeden nebo oba z následujících, v závislosti na tom, které jste vybrali při konfiguraci UEBA:
- Microsoft Entra ID (cloudové)
- Microsoft služba Active Directory (místní, vyžaduje Microsoft Defender for Identity))
Tabulku IdentityInfo můžete dotazovat v analytických pravidlech, dotazech proaktivního vyhledávání a sešitech a vylepšit tak analýzu tak, aby vyhovovala vašim případům použití, a snížit počet falešně pozitivních výsledků.
I když počáteční synchronizace může trvat několik dní, po úplné synchronizaci dat:
Každých 14 dní se Microsoft Sentinel znovu synchronizuje s celou Microsoft Entra ID (a případně i s vaším místní Active Directory), aby se zajistilo, že se zastaralé záznamy plně aktualizují.
Kromě těchto pravidelných úplných synchronizací se při každé změně profilů uživatelů, skupin a předdefinovaných rolí v Microsoft Entra ID tyto záznamy uživatelů znovu ingestují a aktualizují v tabulce IdentityInfo během 15 až 30 minut. Tento příjem dat se účtuje podle pravidelných sazeb. Příklady:
Atribut uživatele, například zobrazované jméno, pracovní pozice nebo e-mailová adresa, byl změněn. Nový záznam pro tohoto uživatele se ingestuje do tabulky IdentityInfo a příslušná pole se aktualizují.
Skupina A obsahuje 100 uživatelů. 5 uživatelů je přidáno do skupiny nebo odebráno ze skupiny. V tomto případě se těchto pět záznamů uživatelů znovu ingestuje a jejich pole GroupMembership se aktualizují.
Skupina A obsahuje 100 uživatelů. Do skupiny A se přidá deset uživatelů. Do skupiny A se také přidají skupiny A1 a A2, z nichž každá má 10 uživatelů. V tomto případě se znovu ingestuje 30 záznamů uživatelů a aktualizují se jejich pole GroupMembership . K tomu dochází, protože členství ve skupinách je přechodné, takže změny skupin ovlivní všechny jejich podskupiny.
Skupina B (s 50 uživateli) se přejmenuje na Group BeGood. V tomto případě se znovu ingestuje 50 záznamů uživatelů a aktualizují se jejich pole GroupMembership . Pokud v této skupině existují podskupiny, totéž se stane u záznamů všech členů.
Výchozí doba uchovávání v tabulce IdentityInfo je 30 dnů.
Omezení
Pole AssignedRoles podporuje pouze předdefinované role.
Pole GroupMembership podporuje výpis až 500 skupin na uživatele, včetně podskupin. Pokud je uživatel členem více než 500 skupin, synchronizuje se s tabulkou IdentityInfo pouze prvních 500. Skupiny se ale nevyhodnocují v žádném konkrétním pořadí, takže při každé nové synchronizaci (každých 14 dní) se může na záznam uživatele aktualizovat jiná sada skupin.
Při odstranění uživatele se záznam uživatele neodstraní okamžitě z tabulky IdentityInfo . Důvodem je to, že jedním z účelů této tabulky je auditování změn v záznamech uživatelů. Proto chceme, aby tato tabulka měla záznam o odstranění uživatele, k čemuž může dojít pouze v případě, že záznam uživatele v tabulce IdentityInfo stále existuje, i když je odstraněn skutečný uživatel (například v Entra ID).
Odstraněné uživatele je možné identifikovat podle přítomnosti hodnoty v
deletedDateTimepoli. Pokud tedy potřebujete dotaz, který vám zobrazí seznam uživatelů, můžete odfiltrovat odstraněné uživatele přidáním| where IsEmpty(deletedDateTime)do dotazu.V určitém časovém intervalu po odstranění uživatele se záznam uživatele nakonec odebere také z tabulky IdentityInfo .
Při odstranění skupiny nebo změně názvu skupiny s více než 100 členy se záznamy uživatelů členů této skupiny neaktualizují. Pokud dojde k jiné změně, která způsobí aktualizaci jednoho ze záznamů těchto uživatelů, budou v tomto okamžiku zahrnuty aktualizované informace o skupině.
Jiné verze tabulky IdentityInfo
Existuje několik verzí tabulky IdentityInfo :
Verze schématu Log Analytics, která je popsána v tomto článku, slouží Microsoft Sentinel v Azure Portal. Je k dispozici zákazníkům, kteří povolili UEBA.
Verze schématu rozšířeného vyhledávání slouží portálu Microsoft Defender prostřednictvím Microsoft Defender for Identity. Je k dispozici zákazníkům Microsoft Defender XDR, ať už s Microsoft Sentinel nebo bez, a zákazníkům Microsoft Sentinel samostatně na portálu Defender.
Pokud chcete mít přístup k této tabulce, není nutné povolit UEBA. U zákazníků, kteří nemají povolené rozhraní UEBA, ale pole naplněná daty UEBA nejsou viditelná nebo dostupná.
Další informace najdete v dokumentaci k verzi rozšířeného proaktivního vyhledávání této tabulky.
Od května 2025 začnou zákazníci Microsoft Sentinel na portálu Microsoft Defenders povoleným rozhraním UEBApoužívat novou verziverze rozšířeného proaktivního vyhledávání. Tato nová verze obsahuje všechna pole UEBA z verze Log Analytics i některá nová pole a označuje se jako sjednocená verze nebo sjednocená tabulka IdentityInfo.
Zákazníci portálu Defender bez povoleného rozhraní UEBA nebo bez Microsoft Sentinel nadále používají předchozí verzi rozšířené verze proaktivního vyhledávání bez polí generovaných rozhraním UEBA.
Další informace o sjednocené verzi najdete v tématu IdentityInfo v dokumentaci rozšířeného proaktivního vyhledávání.
Důležité
Když přejdete na portál Defender, stane se z tabulky nativní tabulka Defenderu, IdentityInfo která nepodporuje řízení přístupu na základě role (Access Control na úrovni tabulky). Pokud vaše organizace k omezení přístupu k tabulce v Azure Portal používá řízení přístupu na IdentityInfo úrovni tabulky, po přechodu na portál Defender už nebude toto řízení přístupu dostupné.
Schématu
Tabulka na následující kartě Schéma Log Analytics popisuje data identit uživatelů zahrnutá v tabulce IdentityInfo v Log Analytics v Azure Portal.
Pokud nasazujete Microsoft Sentinel na portál Defender, vyberte kartu Porovnat se sjednoceným schématem a zobrazte změny, které by mohly ovlivnit dotazy v pravidlech a vyhledáváních hrozeb.
| Název pole | Typ | Popis |
|---|---|---|
| AccountCloudSID | řetězec | Identifikátor zabezpečení účtu Microsoft Entra. |
| AccountCreationTime | Datetime | Datum vytvoření uživatelského účtu (UTC). |
| AccountDisplayName | řetězec | Zobrazovaný název uživatelského účtu. |
| Doména účtu | řetězec | Název domény uživatelského účtu. |
| AccountName | řetězec | Uživatelské jméno uživatelského účtu. |
| AccountObjectId | řetězec | ID Microsoft Entra objektu pro uživatelský účet. |
| Id účtu | řetězec | Místní identifikátor zabezpečení uživatelského účtu. |
| AccountTenantId | řetězec | ID Microsoft Entra tenanta uživatelského účtu. |
| AccountUPN | řetězec | Hlavní název uživatele uživatelského účtu. |
| DalšímailAddresses | Dynamické | Další e-mailové adresy uživatele |
| Přiřazené role | Dynamické | Microsoft Entra rolí, ke kterým je uživatelský účet přiřazen. Podporují se jenom předdefinované role. |
| BlastRadius | řetězec | Výpočet založený na pozici uživatele ve stromu organizace a Microsoft Entra rolí a oprávnění uživatele. Možné hodnoty: Nízká, Střední, Vysoká |
| Změnit zdroj | řetězec | Zdroj poslední změny entity. Možné hodnoty: |
| Město | řetězec | Město uživatelského účtu. |
| Companyname | řetězec | Název společnosti, do které uživatel patří. |
| Země | řetězec | Země nebo oblast uživatelského účtu. |
| DeletedDateTime | Datetime | Datum a čas odstranění uživatele. |
| Department | řetězec | Oddělení uživatelského účtu. |
| Employeeid | řetězec | Identifikátor zaměstnance přiřazený uživateli organizací. |
| GivenName | řetězec | Zadaný název uživatelského účtu. |
| GroupMembership | Dynamické | Microsoft Entra ID skupin, ve kterých je uživatelský účet členem. |
| IsAccountEnabled | Bool | Údaj o tom, jestli je uživatelský účet povolený v Microsoft Entra ID, nebo ne. |
| JobTitle | řetězec | Pracovní pozice uživatelského účtu. |
| Mailaddress | řetězec | Primární e-mailová adresa uživatelského účtu. |
| Správce | řetězec | Alias správce uživatelského účtu. |
| OnPremisesDistinguishedName | řetězec | Microsoft Entra ID rozlišující název (DN). Rozlišující název je posloupnost relativních rozlišujících názvů (RDN) spojených čárkou. |
| Phone | řetězec | Telefonní číslo uživatelského účtu. |
| Úroveň rizika | řetězec | Microsoft Entra ID úroveň rizika uživatelského účtu. Možné hodnoty: |
| RiskLevelDetails | řetězec | Podrobnosti týkající se Microsoft Entra ID úrovně rizika |
| RiskState | řetězec | Označení, jestli je účet nyní ohrožen nebo jestli bylo riziko napraveno. |
| SourceSystem | řetězec | Systém, ve kterém je uživatel spravovaný. Možné hodnoty: |
| Stav | řetězec | Geografický stav uživatelského účtu. |
| Streetaddress | řetězec | Adresa kanceláře uživatelského účtu. |
| Příjmení | řetězec | Příjmení uživatele. Účet. |
| Id tenanta | řetězec | ID tenanta uživatele |
| TimeGenerated | Datetime | Čas vygenerování události (UTC). |
| Typ | řetězec | Název tabulky. |
| UserAccountControl | Dynamické | Atributy zabezpečení uživatelského účtu v doméně AD. Možné hodnoty (mohou obsahovat více než jednu): |
| Userstate | řetězec | Aktuální stav uživatelského účtu v Microsoft Entra ID. Možné hodnoty: |
| UserStateChangedOn | Datetime | Datum poslední změny stavu účtu (UTC). |
| Typ uživatele | řetězec | Typ uživatele |
Následující pole, která existují ve schématu Log Analytics, by se měla ignorovat, protože je Microsoft Sentinel nepoužívá ani nepodporuje:
- Aplikace
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Značky
- UACFlags