Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Artikel werden die Eingabedatenquellen für den Dienst User and Entity Behavior Analytics in Microsoft Sentinel aufgelistet. Außerdem werden die Anreicherungen beschrieben, die UEBA Entitäten hinzufügt und den erforderlichen Kontext für Warnungen und Vorfälle bereitstellt.
Wichtig
Nach dem 31. März 2027 werden Microsoft Sentinel im Azure-Portal nicht mehr unterstützt und sind nur im Microsoft Defender-Portal verfügbar. Alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, werden zum Defender-Portal umgeleitet und verwenden Microsoft Sentinel nur im Defender-Portal.
Wenn Sie weiterhin Microsoft Sentinel im Azure-Portal verwenden, empfehlen wir Ihnen, den Übergang zum Defender-Portal zu planen, um einen reibungslosen Übergang zu gewährleisten und die von Microsoft Defender angebotenen einheitlichen Sicherheitsvorgänge in vollem Umfang zu nutzen.
UEBA-Datenquellen
Dies sind die Datenquellen, aus denen die UEBA-Engine Daten sammelt und analysiert, um ihre ML-Modelle zu trainieren und Verhaltensbaselines für Benutzer, Geräte und andere Entitäten festzulegen. UEBA untersucht dann Daten aus diesen Quellen, um Anomalien zu finden und Erkenntnisse zu gewinnen.
| Datenquelle | Connector | Log Analytics-Tabelle | Analysierte Ereigniskategorien |
|---|---|---|---|
| Anmeldeprotokolle für verwaltete AAD-Identitäten (Vorschau) | Microsoft Entra-ID | AADManagedIdentitySignInLogs | Alle Anmeldeereignisse für verwaltete Identitäten |
| AAD-Dienstprinzipal-Anmeldeprotokolle (Vorschau) | Microsoft Entra-ID | AADServicePrincipalSignInLogs | Alle Anmeldeereignisse des Dienstprinzipals |
| Überwachungsprotokolle | Microsoft Entra-ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Gerät RoleManagement UserManagementCategory |
| AWS CloudTrail (Vorschau) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsolenanmeldungsereignisse. Identifiziert durch EventName = "ConsoleLogin" und EventSource = "signin.amazonaws.com". Ereignisse müssen einen gültigen UserIdentityPrincipalIdaufweisen. |
| Azure-Aktivität | Azure-Aktivität | AzureActivity | Authorization AzureActiveDirectory Abrechnung Compute Verbrauch KeyVault Geräte Netzwerk Ressourcen Intune Logik Sql Speicher |
| Geräteanmeldungsereignisse (Vorschau) | Microsoft Defender XDR | DeviceLogonEvents | Alle Geräteanmeldungsereignisse |
| GCP-Überwachungsprotokolle (Vorschau) | GCP Pub/Sub-Überwachungsprotokolle | GCPAuditLogs |
apigee.googleapis.com– API Management Plattformiam.googleapis.com – Iam-Dienst (Identity and Access Management, Identitäts- und Zugriffsverwaltung)iamcredentials.googleapis.com – IAM-Dienstkonto-Anmeldeinformationen-APIcloudresourcemanager.googleapis.com– Cloud Resource Manager-APIcompute.googleapis.com – Compute-Engine-APIstorage.googleapis.com – Cloud Storage-APIcontainer.googleapis.com – Kubernetes-Engine-APIk8s.io – Kubernetes-APIcloudsql.googleapis.com – CLOUD-SQL-APIbigquery.googleapis.com – BigQuery-APIbigquerydatatransfer.googleapis.com – BigQuery Data Transfer Service-APIcloudfunctions.googleapis.com – Cloud Functions-APIappengine.googleapis.com – App Engine-APIdns.googleapis.com – Cloud-DNS-APIbigquerydatapolicy.googleapis.com – BigQuery Data-Richtlinien-APIfirestore.googleapis.com – Firestore-APIdataproc.googleapis.com – Dataproc-APIosconfig.googleapis.com – Betriebssystemkonfigurations-APIcloudkms.googleapis.com – Cloud-KMS-APIsecretmanager.googleapis.com – Secret Manager-APIEreignisse müssen gültig sein: - PrincipalEmail – Das Benutzer- oder Dienstkonto, das die API aufgerufen hat- MethodName – Die spezifische Google-API-Methode namens– Prinzipal-E-Mail, im user@domain.com Format. |
| Okta CL (Vorschau) | Okta Single Sign-On (mit Azure Functions) | Okta_CL | Authentifizierung, mehrstufige Authentifizierung (MFA) und Sitzungsereignisse, einschließlich:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startEreignisse müssen über eine gültige Benutzer-ID () verfügen actor_id_s. |
| Sicherheitsereignisse |
Windows-Sicherheit-Ereignisse über AMA Weitergeleitete Windows-Ereignisse |
WindowsEvent SecurityEvent |
4624: Ein Konto wurde erfolgreich angemeldet 4625: Konto konnte sich nicht anmelden 4648: Anmeldeversuch mit expliziten Anmeldeinformationen 4672: Neue Anmeldung mit besonderen Berechtigungen 4688: Ein neuer Prozess wurde erstellt |
| Anmeldeprotokolle | Microsoft Entra-ID | SigninLogs | Alle Anmeldeereignisse |
UEBA-Anreicherungen
In diesem Abschnitt werden die Anreicherungen beschrieben, die UEBA zu Microsoft Sentinel Entitäten hinzufügt, die Sie verwenden können, um Ihre Untersuchungen zu Sicherheitsvorfällen zu fokussieren und zu verbessern. Diese Anreicherungen werden auf Entitätsseiten angezeigt und befinden sich in den folgenden Log Analytics-Tabellen, deren Inhalt und Schema unten aufgeführt sind:
In der Tabelle BehaviorAnalytics werden die Ausgabeinformationen von UEBA gespeichert.
Die folgenden drei dynamischen Felder aus der BehaviorAnalytics-Tabelle werden unten im Abschnitt dynamische Felder für Entitätsanreicherungen beschrieben.
Die Felder UsersInsights und DevicesInsights enthalten Entitätsinformationen aus Active Directory/Microsoft Entra ID- und Microsoft Threat Intelligence-Quellen.
Das Feld ActivityInsights enthält Entitätsinformationen, die auf den Verhaltensprofilen basieren, die von Microsoft Sentinel Entitätsverhaltensanalysen erstellt wurden.
Benutzeraktivitäten werden anhand einer Baseline analysiert, die bei jeder Verwendung dynamisch kompiliert wird. Jede Aktivität verfügt über einen eigenen definierten Lookbackzeitraum, aus dem die dynamische Baseline abgeleitet wird. Der Lookbackzeitraum wird in der Spalte Baseline in dieser Tabelle angegeben.
In der IdentityInfo-Tabelle werden Identitätsinformationen gespeichert, die von Microsoft Entra ID (und von lokales Active Directory über Microsoft Defender for Identity) mit UEBA synchronisiert werden.
BehaviorAnalytics-Tabelle
In der folgenden Tabelle werden die Verhaltensanalysedaten beschrieben, die auf jeder Entitätsdetailseite in Microsoft Sentinel angezeigt werden.
| Feld | Typ | Beschreibung |
|---|---|---|
| TenantId | string | Die eindeutige ID-Nummer des Mandanten. |
| SourceRecordId | string | Die eindeutige ID-Nummer des EBA-Ereignisses. |
| TimeGenerated | Datum/Uhrzeit | Der Zeitstempel des Vorkommens der Aktivität. |
| TimeProcessed | Datum/Uhrzeit | Der Zeitstempel der Verarbeitung der Aktivität durch die EBA-Engine. |
| ActivityType | string | Die allgemeine Kategorie der Aktivität. |
| ActionType | string | Der normalisierte Name der Aktivität. |
| UserName | string | Der Benutzername des Benutzers, der die Aktivität initiiert hat. |
| UserPrincipalName | string | Der vollständige Benutzername des Benutzers, der die Aktivität initiiert hat. |
| EventSource | string | Die Datenquelle, die das ursprüngliche Ereignis bereitgestellt hat. |
| SourceIPAddress | string | Die IP-Adresse, von der aus die Aktivität initiiert wurde. |
| SourceIPLocation | string | Das Land/die Region, von dem/der die Aktivität initiiert wurde, angereichert durch die IP-Adresse. |
| SourceDevice | string | Der Hostname des Geräts, das die Aktivität initiiert hat. |
| DestinationIPAddress | string | Die IP-Adresse des Ziels der Aktivität. |
| DestinationIPLocation | string | Das Land/die Region des Ziels der Aktivität, angereichert von der IP-Adresse. |
| DestinationDevice | string | Der Name des Zielgeräts. |
| UsersInsights | Dynamische | Die kontextbezogenen Anreicherungen der beteiligten Benutzer (Details unten). |
| DevicesInsights | Dynamische | Die kontextbezogenen Anreicherungen der beteiligten Geräte (Details unten). |
| ActivityInsights | Dynamische | Die kontextbezogene Analyse der Aktivität basierend auf unserer Profilerstellung (Details unten). |
| InvestigationPriority | int | Die Anomaliebewertung, zwischen 0 und 10 (0 = gutartig, 10 = hochgradig anomale). Dieser Score quantifiziert den Grad der Abweichung vom erwarteten Verhalten. Höhere Bewertungen deuten auf eine größere Abweichung von der Baseline hin und weisen wahrscheinlicher auf echte Anomalien hin. Niedrigere Bewertungen können immer noch anomale Werte sein, sind aber weniger wahrscheinlich signifikant oder umsetzbar. |
Dynamische Felder für Entitätsanreicherungen
Hinweis
In der Spalte Anreicherungsname in den Tabellen in diesem Abschnitt werden zwei Zeilen mit Informationen angezeigt.
- Der erste fett formatierte ist der "Anzeigename" der Anreicherung.
- Der zweite (kursiv und in Klammern) ist der Feldname der Anreicherung, wie er in der Verhaltensanalyse-Tabelle gespeichert ist.
UsersInsights-Feld
In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld UsersInsights in der BehaviorAnalytics-Tabelle enthalten sind:
| Anreicherungsname | Beschreibung | Beispielwert |
|---|---|---|
|
Kontoanzeigename (AccountDisplayName) |
Der Kontoanzeigename des Benutzers. | Admin, Hayden Cook |
|
Kontodomäne (AccountDomain) |
Der Kontodomänenname des Benutzers. | |
|
Kontoobjekt-ID (AccountObjectID) |
Die Kontoobjekt-ID des Benutzers. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Strahlradius (BlastRadius) |
Der Strahlradius wird basierend auf mehreren Faktoren berechnet: der Position des Benutzers in der Organisationsstruktur und der Microsoft Entra Rollen und Berechtigungen des Benutzers. Der Benutzer muss die Manager-Eigenschaft in Microsoft Entra ID aufgefüllt haben, damit BlastRadius berechnet werden kann. | Niedrig, Mittel, Hoch |
|
Ruhendes Konto (IsDormantAccount) |
Das Konto wurde in den letzten 180 Tagen nicht verwendet. | True, False |
|
Ist ein lokaler Administrator? (IsLocalAdmin) |
Das Konto verfügt über lokale Administratorrechte. | True, False |
|
Ist ein neues Konto? (IsNewAccount) |
Das Konto wurde innerhalb der letzten 30 Tage erstellt. | True, False |
|
Lokale SID (OnPremisessID) |
Die lokale SID des Benutzers im Zusammenhang mit der Aktion. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights-Feld
In der folgenden Tabelle werden die Anreicherungen beschrieben, die im dynamischen Feld DevicesInsights in der BehaviorAnalytics-Tabelle enthalten sind:
| Anreicherungsname | Beschreibung | Beispielwert |
|---|---|---|
|
Browser (Browser) |
Der in der Aktion verwendete Browser. | Microsoft Edge, Chrome |
|
Gerätefamilie (DeviceFamily) |
Die in der Aktion verwendete Gerätefamilie. | Windows |
|
Gerätetyp (DeviceType) |
Der in der Aktion verwendete Clientgerätetyp | Desktop |
|
ISP (ISP) |
Der in der Aktion verwendete Internetdienstanbieter. | |
|
Betriebssystem (OperatingSystem) |
Das in der Aktion verwendete Betriebssystem. | Windows 10 |
|
Beschreibung des Bedrohungs-Intel-Indikators (ThreatIntelIndicatorDescription) |
Beschreibung des beobachteten Bedrohungsindikators, der von der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Host ist Mitglied des Botnets: azorult |
|
Bedrohungs-Intel-Indikatortyp (ThreatIntelIndicatorType) |
Der Typ des Bedrohungsindikators, der von der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Benutzer-Agent (UserAgent) |
Der in der Aktion verwendete Benutzer-Agent. | Microsoft Azure Graph-Clientbibliothek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Benutzer-Agent-Familie (UserAgentFamily) |
Die in der Aktion verwendete Benutzer-Agent-Familie. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-Feld
In den folgenden Tabellen werden die Anreicherungen beschrieben, die im dynamischen Feld ActivityInsights in der BehaviorAnalytics-Tabelle enthalten sind:
Ausgeführte Aktion
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Benutzeraktion (FirstTimeUserPerformedAction) |
180 | Die Aktion wurde zum ersten Mal vom Benutzer ausgeführt. | True, False |
|
Aktion, die ungewöhnlich vom Benutzer ausgeführt wird (ActionUncommonlyPerformedByUser) |
10 | Die Aktion wird nicht häufig vom Benutzer ausgeführt. | True, False |
|
Aktion, die ungewöhnlich unter Peers ausgeführt wird (ActionUncommonlyPerformedAmongPeers) |
180 | Die Aktion wird in der Regel nicht unter den Peers des Benutzers ausgeführt. | True, False |
|
Erstmalig ausgeführte Aktion im Mandanten (FirstTimeActionPerformedInTenant) |
180 | Die Aktion wurde zum ersten Mal von jeder Person im organization ausgeführt. | True, False |
|
Aktion, die ungewöhnlicherweise im Mandanten ausgeführt wird (ActionUncommonlyPerformedInTenant) |
180 | Die Aktion wird in der Regel nicht im organization ausgeführt. | True, False |
Verwendete App
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Verwendung der App durch den Benutzer (FirstTimeUserUsedApp) |
180 | Die App wurde zum ersten Mal vom Benutzer verwendet. | True, False |
|
App, die selten vom Benutzer verwendet wird (AppUncommonlyUsedByUser) |
10 | Die App wird nicht häufig vom Benutzer verwendet. | True, False |
|
App wird selten unter Peers verwendet (AppUncommonlyUsedAmongPeers) |
180 | Die App wird nicht häufig unter Den Peers des Benutzers verwendet. | True, False |
|
Erstmalige App-Beobachtung im Mandanten (FirstTimeAppObservedInTenant) |
180 | Die App wurde zum ersten Mal in der organization beobachtet. | True, False |
|
App, die selten im Mandanten verwendet wird (AppUncommonlyUsedInTenant) |
180 | Die App wird in der organization nicht häufig verwendet. | True, False |
Verwendeter Browser
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers über den Browser (FirstTimeUserConnectedViaBrowser) |
30 | Der Browser wurde zum ersten Mal vom Benutzer beobachtet. | True, False |
|
Browser, der ungewöhnlich vom Benutzer verwendet wird (BrowserUncommonlyUsedByUser) |
10 | Der Browser wird nicht häufig vom Benutzer verwendet. | True, False |
|
Browser, der selten unter Peers verwendet wird (BrowserUncommonlyUsedAmongPeers) |
30 | Der Browser wird unter den Peers des Benutzers nicht häufig verwendet. | True, False |
|
Erstmaliger Browser im Mandanten beobachtet (FirstTimeBrowserObservedInTenant) |
30 | Der Browser wurde zum ersten Mal in der organization beobachtet. | True, False |
|
Browser, der selten im Mandanten verwendet wird (BrowserUncommonlyUsedInTenant) |
30 | Der Browser wird im organization nicht häufig verwendet. | True, False |
Land/Region, von dem aus verbunden ist
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers aus dem Land (FirstTimeUserConnectedFromCountry) |
90 | Der geografische Standort, wie von der IP-Adresse aufgelöst, wurde zum ersten Mal vom Benutzer verbunden. | True, False |
|
Land, das ungewöhnlich vom Benutzer aus verbunden ist (CountryUncommonlyConnectedFromByUser) |
10 | Der geografische Standort, wie er von der IP-Adresse aufgelöst wird, wird häufig nicht vom Benutzer aus verbunden. | True, False |
|
Land, das ungewöhnlicherweise zwischen Peers verbunden ist (CountryUncommonlyConnectedFromAmongPeers) |
90 | Der geografische Standort, wie er von der IP-Adresse aufgelöst wird, ist in der Regel nicht von den Peers des Benutzers aus verbunden. | True, False |
|
Erstmalige Verbindung aus dem Land, das im Mandanten beobachtet wird (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Das Land/die Region wurde zum ersten Mal von jeder Person in der organization verbunden. | True, False |
|
Land, das ungewöhnlicherweise von im Mandanten verbunden ist (CountryUncommonlyConnectedFromInTenant) |
90 | Der geografische Standort, wie er von der IP-Adresse aufgelöst wird, ist in der Regel nicht im organization verbunden. | True, False |
Gerät, das zum Herstellen einer Verbindung verwendet wird
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers vom Gerät aus (FirstTimeUserConnectedFromDevice) |
30 | Das Quellgerät wurde vom Benutzer zum ersten Mal verbunden. | True, False |
|
Gerät, das selten vom Benutzer verwendet wird (DeviceUncommonlyUsedByUser) |
10 | Das Gerät wird nicht häufig vom Benutzer verwendet. | True, False |
|
Gerät, das selten unter Peers verwendet wird (DeviceUncommonlyUsedAmongPeers) |
180 | Das Gerät wird nicht häufig unter den Peers des Benutzers verwendet. | True, False |
|
Erstmaliges Beobachten des Geräts im Mandanten (FirstTimeDeviceObservedInTenant) |
30 | Das Gerät wurde zum ersten Mal in der organization beobachtet. | True, False |
|
Gerät, das selten im Mandanten verwendet wird (DeviceUncommonlyUsedInTenant) |
180 | Das Gerät wird nicht häufig im organization verwendet. | True, False |
Andere gerätebezogene Geräte
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Anmeldung des Benutzers am Gerät (FirstTimeUserLoggedOnToDevice) |
180 | Das Zielgerät wurde vom Benutzer zum ersten Mal mit verbunden. | True, False |
|
Gerätefamilie, die selten im Mandanten verwendet wird (DeviceFamilyUncommonlyUsedInTenant) |
30 | Die Gerätefamilie wird in der organization nicht häufig verwendet. | True, False |
Internetdienstanbieter, der zum Herstellen einer Verbindung verwendet wird
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers über ISP (FirstTimeUserConnectedViaISP) |
30 | Der ISP wurde zum ersten Mal vom Benutzer beobachtet. | True, False |
|
ISP wird selten vom Benutzer verwendet (ISPUncommonlyUsedByUser) |
10 | Der ISP wird nicht häufig vom Benutzer verwendet. | True, False |
|
ISP wird selten unter Peers verwendet (ISPUncommonlyUsedAmongPeers) |
30 | Der ISP wird nicht häufig unter den Peers des Benutzers verwendet. | True, False |
|
Erstmalige Verbindung über ISP im Mandanten (FirstTimeConnectionViaISPInTenant) |
30 | Der ISP wurde zum ersten Mal in der organization beobachtet. | True, False |
|
ISP wird selten im Mandanten verwendet (ISPUncommonlyUsedInTenant) |
30 | Der ISP wird nicht häufig im organization verwendet. | True, False |
Zugriff auf Ressource
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Erstmaliger Zugriff des Benutzers auf Die Ressource (FirstTimeUserAccessedResource) |
180 | Der Benutzer hat zum ersten Mal auf die Ressource zugegriffen. | True, False |
|
Ressource, auf die der Benutzer ungewöhnlicherweise zugreift (ResourceUncommonlyAccessedByUser) |
10 | Auf die Ressource kann der Benutzer nicht häufig zugreifen. | True, False |
|
Ressource, auf die selten zwischen Peers zugegriffen wird (ResourceUncommonlyAccessedAmongPeers) |
180 | Auf die Ressource wird häufig von Peers des Benutzers zugegriffen. | True, False |
|
Erstmaliger Zugriff auf Ressource im Mandanten (FirstTimeResourceAccessedInTenant) |
180 | Auf die Ressource wurde zum ersten Mal von jeder Person im organization zugegriffen. | True, False |
|
Ressource, auf die im Mandanten ungewöhnlich zugegriffen wird (ResourceUncommonlyAccessedInTenant) |
180 | Auf die Ressource wird im organization nicht häufig zugegriffen. | True, False |
Sonstiges
| Anreicherungsname | Baseline (Tage) | Beschreibung | Beispielwert |
|---|---|---|---|
|
Zeitpunkt der letzten Aktion durch den Benutzer (LastTimeUserPerformedAction) |
180 | Das letzte Mal, wenn der Benutzer die gleiche Aktion ausgeführt hat. | <Zeitstempel> |
|
Eine ähnliche Aktion wurde in der Vergangenheit nicht ausgeführt (SimilarActionWasn'tPerformedInThePast) |
30 | Der Benutzer hat keine Aktion im gleichen Ressourcenanbieter ausgeführt. | True, False |
|
Quell-IP-Speicherort (SourceIPLocation) |
N/V | Das Land/die Region, das aus der Quell-IP-Adresse der Aktion aufgelöst wurde. | [Surrey, England] |
|
Ungewöhnlich hohe Anzahl von Vorgängen (UncommonHighVolumeOfOperations) |
7 | Ein Benutzer hat einen Burst ähnlicher Vorgänge innerhalb desselben Anbieters ausgeführt. | True, False |
|
Ungewöhnliche Anzahl von fehlern bei Microsoft Entra bedingtem Zugriff (UnusualNumberOfAADConditionalAccessFailures) |
5 | Eine ungewöhnliche Anzahl von Benutzern konnte sich aufgrund des bedingten Zugriffs nicht authentifizieren. | True, False |
|
Ungewöhnliche Anzahl hinzugefügter Geräte (UnusualNumberOfDevicesAdded) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten hinzugefügt. | True, False |
|
Ungewöhnliche Anzahl gelöschter Geräte (UnusualNumberOfDevicesDeleted) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten gelöscht. | True, False |
|
Ungewöhnliche Anzahl von Benutzern, die der Gruppe hinzugefügt wurden (UnusualNumberOfUsersAddedToGroup) |
5 | Ein Benutzer hat einer Gruppe eine ungewöhnliche Anzahl von Benutzern hinzugefügt. | True, False |
IdentityInfo-Tabelle
Nachdem Sie UEBA für Ihren Microsoft Sentinel Arbeitsbereich aktiviert und konfiguriert haben, werden Benutzerdaten von Ihren Microsoft-Identitätsanbietern mit der IdentityInfo-Tabelle in Log Analytics synchronisiert, um sie in Microsoft Sentinel zu verwenden.
Diese Identitätsanbieter sind entweder oder beide der folgenden, je nachdem, welche Sie bei der Konfiguration der UEBA ausgewählt haben:
- Microsoft Entra ID (cloudbasiert)
- Microsoft Active Directory (lokal, erfordert Microsoft Defender for Identity))
Sie können die IdentityInfo-Tabelle in Analyseregeln, Huntingabfragen und Arbeitsmappen abfragen, um Ihre Analysen an Ihre Anwendungsfälle anzupassen und falsch positive Ergebnisse zu reduzieren.
Die erste Synchronisierung kann einige Tage dauern, sobald die Daten vollständig synchronisiert sind:
Alle 14 Tage werden Microsoft Sentinel mit Ihrem gesamten Microsoft Entra ID (und ggf. Ihrem lokales Active Directory) neu synchronisiert, um sicherzustellen, dass veraltete Datensätze vollständig aktualisiert werden.
Abgesehen von diesen regulären vollständigen Synchronisierungen werden bei jeder Änderung an Ihren Benutzerprofilen, Gruppen und integrierten Rollen in Microsoft Entra ID die betroffenen Benutzerdatensätze innerhalb von 15 bis 30 Minuten in der IdentityInfo-Tabelle erneut erfasst und aktualisiert. Diese Erfassung wird zu regulären Preisen abgerechnet. Zum Beispiel:
Ein Benutzerattribute, z. B. Anzeigename, Position oder E-Mail-Adresse, wurde geändert. Ein neuer Datensatz für diesen Benutzer wird in der IdentityInfo-Tabelle erfasst, wobei die relevanten Felder aktualisiert werden.
Gruppe A enthält 100 Benutzer. 5 Benutzer werden der Gruppe hinzugefügt oder aus der Gruppe entfernt. In diesem Fall werden diese fünf Benutzerdatensätze erneut erfasst und ihre GroupMembership-Felder aktualisiert.
Gruppe A enthält 100 Benutzer. Gruppe A werden zehn Benutzer hinzugefügt. Außerdem werden die Gruppen A1 und A2 mit jeweils 10 Benutzern zu Gruppe A hinzugefügt. In diesem Fall werden 30 Benutzerdatensätze erneut erfasst und ihre GroupMembership-Felder aktualisiert. Dies liegt daran, dass die Gruppenmitgliedschaft transitiv ist, sodass Änderungen an Gruppen sich auf alle ihre Untergruppen auswirken.
Gruppe B (mit 50 Benutzern) wird in Group BeGood umbenannt. In diesem Fall werden 50 Benutzerdatensätze erneut erfasst und ihre GroupMembership-Felder aktualisiert. Wenn in dieser Gruppe Untergruppen vorhanden sind, geschieht das gleiche für alle Datensätze ihrer Mitglieder.
Die Standardaufbewahrungszeit in der IdentityInfo-Tabelle beträgt 30 Tage.
Begrenzungen
Das Feld AssignedRoles unterstützt nur integrierte Rollen.
Das Feld GroupMembership unterstützt das Auflisten von bis zu 500 Gruppen pro Benutzer, einschließlich Untergruppen. Wenn ein Benutzer Mitglied von mehr als 500 Gruppen ist, werden nur die ersten 500 mit der IdentityInfo-Tabelle synchronisiert. Die Gruppen werden jedoch nicht in einer bestimmten Reihenfolge ausgewertet, sodass bei jeder neuen Synchronisierung (alle 14 Tage) möglicherweise eine andere Gruppe von Gruppen auf den Benutzerdatensatz aktualisiert wird.
Wenn ein Benutzer gelöscht wird, wird der Datensatz dieses Benutzers nicht sofort aus der IdentityInfo-Tabelle gelöscht. Der Grund dafür ist, dass einer der Zwecke dieser Tabelle darin besteht, Änderungen an Benutzerdatensätzen zu überwachen. Daher soll diese Tabelle einen Datensatz eines Benutzers enthalten, der gelöscht wird. Dies kann nur passieren, wenn der Benutzerdatensatz in der IdentityInfo-Tabelle noch vorhanden ist, obwohl der tatsächliche Benutzer (z. B. in Entra ID) gelöscht wird.
Gelöschte Benutzer können durch das Vorhandensein eines Werts im
deletedDateTimeFeld identifiziert werden. Wenn Sie also eine Abfrage benötigen, um eine Liste von Benutzern anzuzeigen, können Sie gelöschte Benutzer herausfiltern, indem Sie der Abfrage hinzufügen| where IsEmpty(deletedDateTime).In einem bestimmten Intervall nach dem Löschen eines Benutzers wird der Datensatz des Benutzers schließlich auch aus der IdentityInfo-Tabelle entfernt.
Wenn eine Gruppe gelöscht wird oder der Name einer Gruppe mit mehr als 100 Mitgliedern geändert wird, werden die Benutzerdatensätze dieser Gruppe nicht aktualisiert. Wenn eine andere Änderung dazu führt, dass die Datensätze dieser Benutzer aktualisiert werden, werden die aktualisierten Gruppeninformationen an diesem Punkt eingeschlossen.
Andere Versionen der IdentityInfo-Tabelle
Es gibt mehrere Versionen der IdentityInfo-Tabelle :
Die in diesem Artikel erläuterte Log Analytics-Schemaversion dient Microsoft Sentinel im Azure-Portal. Es ist für diejenigen Kunden verfügbar, die UEBA aktiviert haben.
Die Erweiterte Suchschemaversion dient dem Microsoft Defender-Portal über Microsoft Defender for Identity. Es ist für Kunden von Microsoft Defender XDR mit oder ohne Microsoft Sentinel sowie für Kunden von Microsoft Sentinel allein im Defender-Portal verfügbar.
UEBA muss nicht aktiviert sein, um Zugriff auf diese Tabelle zu haben. Für Kunden ohne aktivierte UEBA sind die mit UEBA-Daten aufgefüllten Felder jedoch nicht sichtbar oder verfügbar.
Weitere Informationen finden Sie in der Dokumentation der Erweiterten Huntingversion dieser Tabelle.
Ab Mai 2025 verwenden Kunden von Microsoft Sentinel im Microsoft Defender-Portalmit aktivierter UEBAeine neue Version der erweiterten Huntingversion. Diese neue Version enthält alle UEBA-Felder aus der Log Analytics-Version sowie einige neue Felder und wird als einheitliche Version oder einheitliche IdentityInfo-Tabelle bezeichnet.
Defender-Portal-Kunden ohne aktivierte UEBA oder ohne Microsoft Sentinel verwenden weiterhin die vorherige Version der erweiterten Huntingversion ohne die von UEBA generierten Felder.
Weitere Informationen zur einheitlichen Version finden Sie unter IdentityInfo in der Dokumentation zur erweiterten Suche.
Wichtig
Wenn Sie zum Defender-Portal wechseln, wird die IdentityInfo Tabelle zu einer nativen Defender-Tabelle, die RBAC (rollenbasiertes Access Control) auf Tabellenebene nicht unterstützt. Wenn Ihr organization RBAC auf Tabellenebene verwendet, um den Zugriff auf die IdentityInfo Tabelle im Azure-Portal einzuschränken, ist diese Zugriffssteuerung nach dem Übergang zum Defender-Portal nicht mehr verfügbar.
Schema
Die Tabelle auf der folgenden Registerkarte "Log Analytics-Schema" beschreibt die Benutzeridentitätsdaten, die in der IdentityInfo-Tabelle in Log Analytics im Azure-Portal enthalten sind.
Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, wählen Sie die Registerkarte "Mit einheitlichem Schema vergleichen" aus, um die Änderungen anzuzeigen, die sich möglicherweise auf die Abfragen in Ihren Bedrohungserkennungsregeln und -suchvorgängen auswirken könnten.
| Feldname | Typ | Beschreibung |
|---|---|---|
| AccountCloudSID | string | Die Microsoft Entra Sicherheits-ID des Kontos. |
| AccountCreationTime | Datum/Uhrzeit | Das Datum, an dem das Benutzerkonto erstellt wurde (UTC). |
| AccountDisplayName | string | Der Anzeigename des Benutzerkontos. |
| AccountDomain | string | Der Domänenname des Benutzerkontos. |
| Accountname | string | Der Benutzername des Benutzerkontos. |
| AccountObjectId | string | Die Microsoft Entra Objekt-ID für das Benutzerkonto. |
| AccountSID | string | Die lokale Sicherheits-ID des Benutzerkontos. |
| AccountTenantId | string | Die Microsoft Entra Mandanten-ID des Benutzerkontos. |
| AccountUPN | string | Der Benutzerprinzipalname des Benutzerkontos. |
| AdditionalMailAddresses | Dynamische | Die zusätzlichen E-Mail-Adressen des Benutzers. |
| AssignedRoles | Dynamische | Die Microsoft Entra Rollen, denen das Benutzerkonto zugewiesen ist. Nur integrierte Rollen werden unterstützt. |
| BlastRadius | string | Eine Berechnung, die auf der Position des Benutzers in der Organisationsstruktur und dem Microsoft Entra Rollen und Berechtigungen des Benutzers basiert. Mögliche Werte: Niedrig, Mittel, Hoch |
| ChangeSource | string | Die Quelle der letzten Änderung an der Entität. Mögliche Werte: |
| City | string | Der Ort des Benutzerkontos. |
| CompanyName | string | Der Firmenname, zu dem der Benutzer gehört. |
| Land | string | Das Land/die Region des Benutzerkontos. |
| DeletedDateTime | Datum/Uhrzeit | Das Datum und die Zeit, zu dem der Benutzer gelöscht wurde. |
| Department | string | Die Abteilung des Benutzerkontos. |
| Employeeid | string | Die Mitarbeiter-ID, die dem Benutzer von der Organisation zugewiesen wurde. |
| GivenName | string | Der angegebene Name des Benutzerkontos. |
| GroupMembership | Dynamische | Microsoft Entra ID Gruppen, in denen das Benutzerkonto Mitglied ist. |
| IsAccountEnabled | bool | Ein Hinweis darauf, ob das Benutzerkonto in Microsoft Entra ID aktiviert ist oder nicht. |
| JobTitle | string | Die Position des Benutzerkontos. |
| Mailaddress | string | Die primäre E-Mail-Adresse des Benutzerkontos. |
| Manager | string | Der Manageralias des Benutzerkontos. |
| OnPremisesDistinguishedName | string | Der Microsoft Entra ID Distinguished Name (DN). Ein Distinguished Name ist eine Sequenz von relativen Distinguished Names (RDN), die durch Kommas verbunden sind. |
| Telefon | string | Die Telefonnummer des Benutzerkontos. |
| RiskLevel | string | Die Microsoft Entra ID Risikostufe des Benutzerkontos. Mögliche Werte: |
| RiskLevelDetails | string | Details zur Microsoft Entra ID Risikostufe. |
| RiskState | string | Gibt an, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde. |
| SourceSystem | string | Das System, auf dem der Benutzer verwaltet wird. Mögliche Werte: |
| Status | string | Der geografische Status des Benutzerkontos. |
| StreetAddress | string | Die Büroadresse des Benutzerkontos. |
| Surname | string | Der Nachname des Benutzers. Konto. |
| TenantId | string | Die Mandanten-ID des Benutzers. |
| TimeGenerated | Datum/Uhrzeit | Der Zeitpunkt, zu dem das Ereignis generiert wurde (UTC). |
| Type | string | Der Name der Tabelle. |
| UserAccountControl | Dynamische | Sicherheitsattribute des Benutzerkontos in der AD-Domäne. Mögliche Werte (können mehrere enthalten): |
| Userstate | string | Der aktuelle Status des Benutzerkontos in Microsoft Entra ID. Mögliche Werte: |
| UserStateChangedOn | Datum/Uhrzeit | Das Datum der letzten Änderung des Kontozustands (UTC). |
| UserType | string | Der Benutzertyp. |
Die folgenden Felder sollten ignoriert werden, obwohl sie im Log Analytics-Schema vorhanden sind, da sie von Microsoft Sentinel nicht verwendet oder unterstützt werden:
- Anwendungen
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags