Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje seznam vstupních zdrojů dat pro službu Analýza chování uživatelů a entit v Microsoft Sentinelu. Popisuje také rozšiřování, které UEBA přidává k entitám, a poskytuje potřebný kontext pro výstrahy a incidenty.
Important
Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.
Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.
Zdroje dat UEBA
Jedná se o zdroje dat, ze kterých modul UEBA shromažďuje a analyzuje data za účelem trénování modelů ML a nastavení standardních hodnot chování pro uživatele, zařízení a další entity. UEBA pak prohlédne data z těchto zdrojů a vyhledá anomálie a gleanské přehledy.
| Zdroj dat | Connector | Tabulka Log Analytics | Analyzované kategorie událostí |
|---|---|---|---|
| Protokoly přihlašování spravované identity AAD (Preview) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Všechny události přihlášení spravované identity |
| Protokoly přihlašování instančního objektu AAD (Preview) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Všechny události přihlášení instančního objektu |
| Protokoly auditu | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (Náhled) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Události přihlášení konzoly. Identifikovaný uživatelem EventName = "ConsoleLogin" a EventSource = "signin.amazonaws.com". Události musí mít platnou UserIdentityPrincipalId. |
| Aktivita Azure | Aktivita Azure | AzureActivity | Authorization AzureActiveDirectory Billing Compute Spotřeba KeyVault Devices Network Resources Intune Logic Sql Storage |
| Události přihlášení zařízení (Preview) | Microsoft Defender XDR | DeviceLogonEvents | Všechny události přihlášení zařízení |
| Protokoly auditu GCP (Preview) | Protokoly auditu GCP pub/sub audit | GCPAuditLogs |
apigee.googleapis.com – API Management Platformiam.googleapis.com – Služba Správy identit a přístupu (IAM)iamcredentials.googleapis.com – Rozhraní API pro přihlašovací údaje účtu služby IAMcloudresourcemanager.googleapis.com – Rozhraní API Cloud Resource Managerucompute.googleapis.com – Rozhraní API výpočetního strojestorage.googleapis.com – Rozhraní API cloudového úložištěcontainer.googleapis.com – Rozhraní API modulu Kubernetesk8s.io – Rozhraní API Kubernetescloudsql.googleapis.com – Cloudové rozhraní SQL APIbigquery.googleapis.com – Rozhraní API BigQuerybigquerydatatransfer.googleapis.com – Rozhraní API služby přenosu dat BigQuerycloudfunctions.googleapis.com – Rozhraní API cloudových funkcíappengine.googleapis.com – Rozhraní API služby App Enginedns.googleapis.com – Cloudové rozhraní DNS APIbigquerydatapolicy.googleapis.com – Rozhraní API zásad pro data BigQueryfirestore.googleapis.com – Rozhraní API Firestoredataproc.googleapis.com – Rozhraní API pro dataosconfig.googleapis.com – Rozhraní API konfigurace operačního systémucloudkms.googleapis.com – Rozhraní API Služby správy klíčů v cloudusecretmanager.googleapis.com – Rozhraní API pro Secret ManagerUdálosti musí mít platné: - PrincipalEmail – Účet uživatele nebo služby, který volal rozhraní API- MethodName – Konkrétní metoda rozhraní API Google volaná- Hlavní e-mail ve user@domain.com formátu. |
| Okta CL (Náhled) | Jednoúčelové Sign-On Okta (pomocí Azure Functions) | Okta_CL | Ověřování, vícefaktorové ověřování (MFA) a události relací, včetně:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startUdálosti musí mít platné ID uživatele ( actor_id_s). |
| Události zabezpečení |
Zabezpečení Windows události prostřednictvím AMA Události přeposlané systémem Windows |
WindowsEvent SecurityEvent |
4624: Účet byl úspěšně přihlášen 4625: Účet se nepodařilo přihlásit 4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů 4672: Zvláštní oprávnění přiřazená k novému přihlášení 4688: Byl vytvořen nový proces |
| Protokoly přihlášení | Microsoft Entra ID | SigninLogs | Všechny události přihlášení |
Obohacení UEBA
Tato část popisuje rozšiřování UEBA přidává do entit Microsoft Sentinelu, které můžete použít k zaměření a zostření vyšetřování incidentů zabezpečení. Tyto rozšiřování se zobrazují na stránkách entit a najdete je v následujících tabulkách Log Analytics, jejich obsah a schéma jsou uvedené níže:
V tabulce BehaviorAnalytics se ukládají výstupní informace jazyka UEBA.
Následující tři dynamická pole z tabulky BehaviorAnalytics jsou popsána v části o rozšiřování dynamických polí entity níže.
Pole UsersInsights a DevicesInsights obsahují informace o entitách ze služby Active Directory / Microsoft Entra ID a zdrojů Microsoft Threat Intelligence.
Pole ActivityInsights obsahuje informace o entitách na základě profilů chování vytvořených analýzou chování entit služby Microsoft Sentinel.
Aktivity uživatelů se analyzují podle směrného plánu, který se dynamicky kompiluje při každém použití. Každá aktivita má vlastní definovanou dobu zpětného vyhledávání, ze které je odvozen dynamický směrný plán. Období zpětného vyhledávání je zadané ve sloupci Směrný plán v této tabulce.
Tabulka IdentityInfo je místo, kde jsou uložené informace o identitě synchronizované s UEBA z ID Microsoft Entra (a z místní služby Active Directory přes Microsoft Defender for Identity).
Tabulka BehaviorAnalytics
Následující tabulka popisuje data analýzy chování zobrazená na každé stránce podrobností entity v Microsoft Sentinelu.
| Field | Typ | Description |
|---|---|---|
| TenantId | řetězec | Jedinečný počet ID tenanta. |
| SourceRecordId | řetězec | Jedinečné identifikační číslo události EBA. |
| TimeGenerated | datetime | Časové razítko výskytu aktivity. |
| TimeProcessed | datetime | Časové razítko zpracování činnosti modulem EBA. |
| ActivityType | řetězec | Kategorie aktivity vysoké úrovně. |
| ActionType | řetězec | Normalizovaný název aktivity. |
| UserName | řetězec | Uživatelské jméno uživatele, který aktivitu inicioval. |
| UserPrincipalName | řetězec | Úplné uživatelské jméno uživatele, který aktivitu zahájil. |
| EventSource | řetězec | Zdroj dat, který poskytl původní událost. |
| SourceIPAddress | řetězec | IP adresa, ze které byla aktivita zahájena. |
| SourceIPLocation | řetězec | Země/oblast, ze které byla aktivita zahájena, rozšířená z IP adresy. |
| SourceDevice | řetězec | Název hostitele zařízení, které aktivitu iniciovalo. |
| DestinationIPAddress | řetězec | IP adresa cíle aktivity. |
| DestinationIPLocation | řetězec | Země/oblast cíle aktivity, rozšířená z IP adresy. |
| DestinationDevice | řetězec | Název cílového zařízení. |
| UsersInsights | dynamic | Kontextové rozšiřování zahrnutých uživatelů (podrobnosti najdete níže). |
| DevicesInsights | dynamic | Kontextové rozšiřování zahrnutých zařízení (podrobnosti najdete níže). |
| ActivityInsights | dynamic | Kontextová analýza aktivity na základě naší profilace (podrobnosti níže). |
| InvestigationPriority | int | Skóre anomálií v rozmezí od 0 do 10 (0=neškodné, 10=velmi neobvyklé). Toto skóre kvantifikuje stupeň odchylky od očekávaného chování. Vyšší skóre označují větší odchylku od směrného plánu a pravděpodobnější jsou skutečné anomálie. Nižší skóre můžou být stále neobvyklé, ale méně pravděpodobné jsou významné nebo použitelné. |
Rozšíření entit – dynamická pole
Note
Sloupec Název rozšiřování v tabulkách v této části zobrazuje dva řádky informací.
- První, tučným písmem, je "popisný název" rozšiřování.
- Druhá (kurzíva a závorky) je název pole rozšiřování, které je uložené v tabulce Behavior Analytics.
Pole UsersInsights
Následující tabulka popisuje rozšíření doporučená v dynamickém poli UsersInsights v tabulce BehaviorAnalytics:
| Název rozšiřování | Description | Ukázková hodnota |
|---|---|---|
|
Zobrazovaný název účtu (AccountDisplayName) |
Zobrazovaný název účtu uživatele. | Administrativa, Hayden Cook |
|
Doména účtu (AccountDomain) |
Název domény účtu uživatele. | |
|
ID objektu účtu (AccountObjectID) |
ID objektu účtu uživatele. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Poloměr výbuchu (BlastRadius) |
Poloměr výbuchu se počítá na základě několika faktorů: pozice uživatele ve stromu organizace a role a oprávnění uživatele Microsoft Entra. Aby se mohl vypočítat, musí mít uživatel vlastnost Manager vyplněnou v Microsoft Entra ID pro BlastRadius . | Nízká, Střední, Vysoká |
|
Je neaktivní účet (IsDormantAccount) |
Účet se během posledních 180 dnů nepoužil. | Pravda, Nepravda |
|
Je místní správce (IsLocalAdmin) |
Účet má oprávnění místního správce. | Pravda, Nepravda |
|
Je nový účet (IsNewAccount) |
Účet byl vytvořen během posledních 30 dnů. | Pravda, Nepravda |
|
Místní identifikátor SID (OnPremisesSID) |
Místní identifikátor SID uživatele související s akcí. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Pole DevicesInsights
Následující tabulka popisuje rozšíření doporučená v dynamickém poli DevicesInsights v tabulce BehaviorAnalytics:
| Název rozšiřování | Description | Ukázková hodnota |
|---|---|---|
|
Browser (Browser) |
Prohlížeč použitý v akci. | Microsoft Edge, Chrome |
|
Řada zařízení (DeviceFamily) |
Řada zařízení použitá v akci. | Windows |
|
Typ zařízení (DeviceType) |
Typ klientského zařízení použitý v akci | Desktop |
|
ISP (ISP) |
Poskytovatel internetových služeb použitý v akci. | |
|
Operační systém (OperatingSystem) |
Operační systém použitý v akci. | Systém Windows 10 |
|
Popis indikátoru informací o hrozbě (ThreatIntelIndicatorDescription) |
Popis zjištěného indikátoru hrozby vyřešeného z IP adresy použité v akci. | Hostitel je členem botnetu: azorult |
|
Typ ukazatele intel hrozby (ThreatIntelIndicatorType) |
Typ indikátoru hrozby vyřešený z IP adresy použité v akci. | Botnet, C2, CryptoMining, Darknet, Ddos, MalliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Uživatelský agent (UserAgent) |
Uživatelský agent použitý v akci. | Klientská knihovna Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Řada uživatelských agentů (UserAgentFamily) |
Řada uživatelských agentů použitá v akci. | Chrome, Microsoft Edge, Firefox |
Pole ActivityInsights
Následující tabulky popisují rozšíření doporučená v dynamickém poli ActivityInsights v tabulce BehaviorAnalytics:
Provedená akce
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Akce provedená uživatelem při prvním spuštění (FirstTimeUserPerformedAction) |
180 | Akce byla provedena poprvé uživatelem. | Pravda, Nepravda |
|
Méně časté akce prováděné uživatelem (ActionUncommonlyPerformedByUser) |
10 | Akce není běžně provedena uživatelem. | Pravda, Nepravda |
|
Méně časté akce prováděné mezi partnerskými účastníky (ActionUncommonlyPerformedAmongPeers) |
180 | Tato akce se běžně neprovádí mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První akce provedená v tenantovi (FirstTimeActionPerformedInTenant) |
180 | Akce byla provedena poprvé kýmkoli v organizaci. | Pravda, Nepravda |
|
Méně časté akce prováděné v tenantovi (ActionUncommonlyPerformedInTenant) |
180 | Tato akce se v organizaci běžně neprovádí. | Pravda, Nepravda |
Použitá aplikace
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
První použití aplikace uživatelem (FirstTimeUserUsedApp) |
180 | Aplikace byla poprvé použita uživatelem. | Pravda, Nepravda |
|
Méně časté používání aplikace uživatelem (AppUncommonlyUsedByUser) |
10 | Uživatel aplikaci běžně nepoužívá. | Pravda, Nepravda |
|
Aplikace se mezi partnerskými partnery běžně používá (AppUncommonlyUsedAmongPeers) |
180 | Aplikace se běžně nepoužívá mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První zjištěná aplikace v tenantovi (FirstTimeAppObservedInTenant) |
180 | Aplikace byla pozorována poprvé v organizaci. | Pravda, Nepravda |
|
Aplikace se v tenantovi běžně používá (AppUncommonlyUsedInTenant) |
180 | Aplikace se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Použitý prohlížeč
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním připojení uživatele přes prohlížeč (FirstTimeUserConnectedViaBrowser) |
30 | Prohlížeč poprvé zaznamenal uživatel. | Pravda, Nepravda |
|
Prohlížeč běžně používaný uživatelem (BrowserUncommonlyUsedByUser) |
10 | Prohlížeč běžně nepoužívá uživatel. | Pravda, Nepravda |
|
Prohlížeč se mezi partnerskými partnery běžně používá (BrowserUncommonlyUsedAmongPeers) |
30 | Prohlížeč se běžně nepoužívá mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První zobrazení prohlížeče v tenantovi (FirstTimeBrowserObservedInTenant) |
30 | Prohlížeč byl pozorován poprvé v organizaci. | Pravda, Nepravda |
|
Prohlížeč se v tenantovi běžně používá (BrowserUncommonlyUsedInTenant) |
30 | Prohlížeč se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Země/oblast připojená z
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním připojení uživatele ze země (FirstTimeUserConnectedFromCountry) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, bylo poprvé připojeno uživatelem. | Pravda, Nepravda |
|
Země méně časté spojení od uživatele (CountryUncommonlyConnectedFromByUser) |
10 | Geografické umístění, jak je vyřešeno z IP adresy, není běžně připojeno uživatelem. | Pravda, Nepravda |
|
Země neobvykle propojená z partnerských vztahů (CountryUncommonlyConnectedFromAmongPeers) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, se běžně nepřipojí mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První připojení ze země zjištěné v tenantovi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Země/oblast byla poprvé propojena kýmkoli v organizaci. | Pravda, Nepravda |
|
Země méně často připojená z tenanta (CountryUncommonlyConnectedFromInTenant) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, se v organizaci běžně nepřipojí. | Pravda, Nepravda |
Zařízení používané k připojení
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním připojení uživatele ze zařízení (FirstTimeUserConnectedFromDevice) |
30 | Zdrojové zařízení bylo poprvé připojeno uživatelem. | Pravda, Nepravda |
|
Zařízení, které uživatel používá méně často (DeviceUncommonlyUsedByUser) |
10 | Zařízení běžně nepoužívá uživatel. | Pravda, Nepravda |
|
Zařízení se běžně používá mezi partnerskými vztahy (DeviceUncommonlyUsedAmongPeers) |
180 | Zařízení se běžně nepoužívá mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První pozorování zařízení v tenantovi (FirstTimeDeviceObservedInTenant) |
30 | Zařízení bylo pozorováno poprvé v organizaci. | Pravda, Nepravda |
|
Méně časté použití zařízení v tenantovi (DeviceUncommonlyUsedInTenant) |
180 | Zařízení se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Jiné zařízení
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním přihlášení uživatele k zařízení (FirstTimeUserLoggedOnToDevice) |
180 | Cílové zařízení bylo poprvé připojeno uživatelem. | Pravda, Nepravda |
|
Řada zařízení se v tenantovi běžně používá (DeviceFamilyUncommonlyUsedInTenant) |
30 | Řada zařízení se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Poskytovatel internetových služeb používaný k připojení
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním připojení uživatele přes isP (FirstTimeUserConnectedViaISP) |
30 | IsP byl poprvé zjištěn uživatelem. | Pravda, Nepravda |
|
IsP uncommonly used by user (ISPUncommonlyUsedByUser) |
10 | IsP se běžně nepoužívá uživatelem. | Pravda, Nepravda |
|
IsP se mezi partnerskými partnery běžně používá (ISPUncommonlyUsedAmongPeers) |
30 | IsP se běžně nepoužívá mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
První připojení přes isP v tenantovi (FirstTimeConnectionViaISPInTenant) |
30 | IsP byl poprvé pozorován v organizaci. | Pravda, Nepravda |
|
IsP se v tenantovi běžně používá (ISPUncommonlyUsedInTenant) |
30 | IsP se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Přístup k prostředku
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Při prvním přístupu uživatele k prostředku (FirstTimeUserAccessedResource) |
180 | K prostředku se uživatel poprvé dostal. | Pravda, Nepravda |
|
Prostředek, ke který uživatel přistupuje méně často (ResourceUncommonlyAccessedByUser) |
10 | K prostředku obvykle uživatel nemá přístup. | Pravda, Nepravda |
|
Méně časté přístupy k prostředkům mezi partnerskými partnery (ResourceUncommonlyAccessedAmongPeers) |
180 | K prostředku se běžně nepřistupuje mezi partnerskými vztahy uživatelů. | Pravda, Nepravda |
|
Při prvním přístupu k prostředku v tenantovi (FirstTimeResourceAccessedInTenant) |
180 | K prostředku se poprvé dostal někdo z organizace. | Pravda, Nepravda |
|
Méně často přístupný prostředek v tenantovi (ResourceUncommonlyAccessedInTenant) |
180 | K prostředku se v organizaci běžně nepoužívá. | Pravda, Nepravda |
Miscellaneous
| Název rozšiřování | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
|
Čas, kdy uživatel naposledy provedl akci (LastTimeUserPerformedAction) |
180 | Čas, kdy uživatel naposledy provedl stejnou akci | <Časová značka> |
|
Podobná akce nebyla provedena v minulosti. (SimilarActionWasn'tPerformedInThePast) |
30 | Uživatel neprováděl žádnou akci ve stejném poskytovateli prostředků. | Pravda, Nepravda |
|
Umístění zdrojové IP adresy (SourceIPLocation) |
N/A | Země/oblast se přeložila ze zdrojové IP adresy akce. | [Surrey, Anglie] |
|
Méně časté velké objemy operací (UncommonHighVolumeOfOperations) |
7 | Uživatel provedl nárůst podobných operací v rámci stejného poskytovatele. | Pravda, Nepravda |
|
Neobvyklý počet selhání podmíněného přístupu Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Neobvyklý počet uživatelů se nepodařilo ověřit kvůli podmíněnému přístupu. | Pravda, Nepravda |
|
Neobvyklý počet přidaných zařízení (UnusualNumberOfDevicesAdded) |
5 | Uživatel přidal neobvyklý počet zařízení. | Pravda, Nepravda |
|
Neobvyklý počet odstraněných zařízení (UnusualNumberOfDevicesDeleted) |
5 | Uživatel odstranil neobvyklý počet zařízení. | Pravda, Nepravda |
|
Neobvyklý počet uživatelů přidaných do skupiny (UnusualNumberOfUsersAddedToGroup) |
5 | Uživatel přidal do skupiny neobvyklý počet uživatelů. | Pravda, Nepravda |
Tabulka IdentityInfo
Po povolení a konfiguraci UEBA pro pracovní prostor Microsoft Sentinelu se uživatelská data z vašich zprostředkovatelů identity Microsoftu synchronizují do tabulky IdentityInfo v Log Analytics pro použití v Microsoft Sentinelu.
Tito zprostředkovatelé identity jsou buď nebo obě následující, v závislosti na tom, které jste vybrali při konfiguraci UEBA:
- Microsoft Entra ID (cloudové)
- Microsoft Active Directory (místní, vyžaduje Microsoft Defender for Identity))
Tabulku IdentityInfo můžete dotazovat v analytických pravidlech, dotazech proaktivního vyhledávání a sešitech, což vylepšuje analýzu tak, aby vyhovovala vašim případům použití a snížila počet falešně pozitivních výsledků.
I když počáteční synchronizace může trvat několik dní, po úplné synchronizaci dat:
Každých 14 dní se Microsoft Sentinel znovu synchronizuje s celým ID Microsoft Entra (a místní službou Active Directory, pokud je to možné), aby se zajistilo, že zastaralé záznamy jsou plně aktualizované.
Kromě těchto běžných úplných synchronizací se při každé změně profilů uživatelů, skupin a předdefinovaných rolí v MICROSOFT Entra ID přeinestují a aktualizují příslušné záznamy uživatelů v tabulce IdentityInfo do 15 až 30 minut. Tento příjem dat se účtuje podle pravidelných sazeb. Například:
Změnil se atribut uživatele, například zobrazované jméno, pracovní pozice nebo e-mailová adresa. Do tabulky IdentityInfo se ingestuje nový záznam pro tohoto uživatele s aktualizovanými příslušnými poli.
Skupina A má v ní 100 uživatelů. Do skupiny se přidá 5 uživatelů nebo se z této skupiny odebere. V tomto případě se těchto pět uživatelských záznamů znovu ingestuje a jejich pole GroupMembership se aktualizují.
Skupina A má v ní 100 uživatelů. Do skupiny A se přidá deset uživatelů. Do skupiny A se také přidají skupiny A1 a A2 s 10 uživateli. V tomto případě se znovu ingestují 30 uživatelských záznamů a aktualizují se jejich pole GroupMembership . K tomu dochází, protože členství ve skupinách je přechodné, takže změny skupin ovlivní všechny jejich podskupiny.
Skupina B (s 50 uživateli) se přejmenuje na Group BeGood. V tomto případě se ingestuje 50 uživatelských záznamů a aktualizuje se jejich pole GroupMembership . Pokud jsou v této skupině podskupiny, totéž platí pro všechny záznamy členů.
Výchozí doba uchovávání v tabulce IdentityInfo je 30 dnů.
Limitations
Pole AssignedRoles podporuje pouze předdefinované role.
Pole GroupMembership podporuje výpis až 500 skupin na uživatele, včetně podskupin. Pokud je uživatel členem více než 500 skupin, synchronizuje se s tabulkou IdentityInfo pouze prvních 500. Skupiny se ale nevyhodnocují v žádném konkrétním pořadí, takže při každé nové synchronizaci (každých 14 dnů) je možné, že se na záznam uživatele aktualizuje jiná sada skupin.
Když se uživatel odstraní, záznam daného uživatele se okamžitě neodstraní z tabulky IdentityInfo . Důvodem je, že jedním z účelů této tabulky je auditování změn záznamů uživatelů. Proto chceme, aby tato tabulka měla záznam odstraněného uživatele, ke kterému může dojít, pouze pokud záznam uživatele v tabulce IdentityInfo stále existuje, i když je skutečný uživatel (řekněme v ID Entra) odstraněn.
Odstranění uživatelé můžou být identifikováni přítomností hodnoty v
deletedDateTimepoli. Pokud tedy potřebujete dotaz k zobrazení seznamu uživatelů, můžete odstraněné uživatele vyfiltrovat přidáním| where IsEmpty(deletedDateTime)do dotazu.V určitém časovém intervalu po odstranění uživatele se záznam uživatele nakonec odebere z tabulky IdentityInfo .
Když dojde k odstranění skupiny nebo pokud se skupina s více než 100 členy změní její název, záznamy členů této skupiny se neaktualizují. Pokud jiná změna způsobí aktualizaci jednoho ze záznamů těchto uživatelů, budou aktualizované informace o skupině zahrnuty v tomto okamžiku.
Další verze tabulky IdentityInfo
Tabulka IdentityInfo má několik verzí:
Verze schématu Log Analytics , která je popsána v tomto článku, slouží službě Microsoft Sentinel na webu Azure Portal. Je k dispozici pro zákazníky, kteří povolili UEBA.
Verze rozšířeného schématu proaktivního vyhledávání slouží portálu Microsoft Defenderu prostřednictvím programu Microsoft Defender for Identity. Je k dispozici pro zákazníky XDR v programu Microsoft Defender, se službou Microsoft Sentinel nebo bez ní a pro zákazníky Microsoft Sentinelu samostatně na portálu Defender.
Pro přístup k této tabulce nemusí být UEBA povolené. Pro zákazníky bez povolení UEBA ale pole naplněná daty UEBA nejsou viditelná nebo dostupná.
Další informace najdete v dokumentaci k verzi rozšířeného proaktivního vyhledávání této tabulky.
Od května 2025 začnou zákazníci Microsoft Sentinelu na portálu Microsoft Defenders povoleným UEBApoužívat novou verzirozšířeného proaktivního vyhledávání . Tato nová verze zahrnuje všechna pole UEBA z verze Log Analytics i některá nová pole a označuje se jako jednotná verze nebo sjednocená tabulka IdentityInfo.
Zákazníci portálu Defender bez povoleného UEBA nebo bez Microsoft Sentinelu nadále používají předchozí verzi rozšířeného proaktivního vyhledávání bez polí generovaných UEBA.
Další informace o sjednocené verzi naleznete v tématu IdentityInfo v dokumentaci k rozšířenému proaktivnímu vyhledávání.
Important
Když přejdete na portál Defenderu, IdentityInfo stane se z tabulky nativní tabulka Defenderu, která nepodporuje řízení přístupu na úrovni tabulky (Role-Based řízení přístupu). Pokud vaše organizace používá řízení přístupu na úrovni tabulky k omezení přístupu k IdentityInfo tabulce na webu Azure Portal, nebude toto řízení přístupu po přechodu na portál Defender k dispozici.
Schema
Tabulka na následující kartě Schéma Log Analytics popisuje data identity uživatele zahrnutá v tabulce IdentityInfo v Log Analytics na webu Azure Portal.
Pokud nasazujete Microsoft Sentinel na portál Defenderu, vyberte kartu Porovnat s jednotným schématem a zobrazte změny, které by mohly potenciálně ovlivnit dotazy v pravidlech detekce hrozeb a proaktivní vyhledávání.
| Název pole | Typ | Description |
|---|---|---|
| AccountCloudSID | řetězec | Identifikátor zabezpečení Microsoft Entra účtu. |
| AccountCreationTime | datetime | Datum vytvoření uživatelského účtu (UTC). |
| AccountDisplayName | řetězec | Zobrazované jméno uživatelského účtu. |
| AccountDomain | řetězec | Název domény uživatelského účtu. |
| AccountName | řetězec | Uživatelské jméno uživatelského účtu. |
| AccountObjectId | řetězec | ID objektu Microsoft Entra pro uživatelský účet. |
| AccountSID | řetězec | Identifikátor místního zabezpečení uživatelského účtu. |
| AccountTenantId | řetězec | ID tenanta Microsoft Entra uživatelského účtu. |
| AccountUPN | řetězec | Hlavní název uživatele uživatelského účtu. |
| AdditionalMailAddresses | dynamic | Další e-mailové adresy uživatele |
| AssignedRoles | dynamic | Uživatelskému účtu se přiřadí role Microsoft Entra. Podporují se jenom předdefinované role. |
| BlastRadius | řetězec | Výpočet na základě pozice uživatele ve stromu organizace a rolí a oprávnění Microsoft Entra uživatele. Možné hodnoty: Nízká, Střední, Vysoká |
| ChangeSource | řetězec | Zdroj nejnovější změny entity. Možné hodnoty: |
| City | řetězec | Město uživatelského účtu. |
| CompanyName | řetězec | Název společnosti, do které uživatel patří. |
| Country | řetězec | Země/oblast uživatelského účtu. |
| DeletedDateTime | datetime | Datum a čas odstranění uživatele |
| Department | řetězec | Oddělení uživatelského účtu. |
| EmployeeId | řetězec | Identifikátor zaměstnance přiřazený uživateli organizací. |
| GivenName | řetězec | Zadané jméno uživatelského účtu. |
| GroupMembership | dynamic | Skupiny ID Microsoft Entra, ve kterých je uživatelský účet členem. |
| IsAccountEnabled | bool | Údaj o tom, jestli je uživatelský účet povolený v MICROSOFT Entra ID, nebo ne. |
| JobTitle | řetězec | Pracovní pozice uživatelského účtu. |
| MailAddress | řetězec | Primární e-mailová adresa uživatelského účtu. |
| Manager | řetězec | Alias správce uživatelského účtu. |
| OnPremisesDistinguishedName | řetězec | Rozlišující název ID Microsoft Entra (DN). Rozlišující název je posloupnost relativních rozlišujících názvů (RDN), která je propojená čárkou. |
| Phone | řetězec | Telefonní číslo uživatelského účtu. |
| RiskLevel | řetězec | Úroveň rizika Microsoft Entra ID uživatelského účtu. Možné hodnoty: |
| RiskLevelDetails | řetězec | Podrobnosti týkající se úrovně rizika Microsoft Entra ID |
| RiskState | řetězec | Indikuje, jestli je účet ohrožen nyní nebo jestli se riziko opravilo. |
| SourceSystem | řetězec | Systém, ve kterém je uživatel spravován. Možné hodnoty: |
| State | řetězec | Zeměpisný stav uživatelského účtu. |
| StreetAddress | řetězec | Adresa poštovní ulice kanceláře uživatelského účtu. |
| Surname | řetězec | Přezdívka uživatele account. |
| TenantId | řetězec | ID tenanta uživatele. |
| TimeGenerated | datetime | Čas vygenerování události (UTC). |
| Type | řetězec | Název tabulky. |
| UserAccountControl | dynamic | Atributy zabezpečení uživatelského účtu v doméně AD. Možné hodnoty (mohou obsahovat více než jednu): |
| UserState | řetězec | Aktuální stav uživatelského účtu v MICROSOFT Entra ID. Možné hodnoty: |
| UserStateChangedOn | datetime | Datum poslední změny stavu účtu (UTC). |
| UserType | řetězec | Typ uživatele. |
Následující pole, i když existují ve schématu Log Analytics, by se měla ignorovat, protože microsoft Sentinel je nepoužívá ani nepodporuje:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags