Référence UEBA Microsoft Sentinel
Cet article de référence répertorie les sources de données d’entrée pour le service analyse comportementale des utilisateurs et des entités dans Microsoft Sentinel. Il décrit également les enrichissements ajoutés par UEBA aux entités, fournissant le contexte nécessaire aux alertes et aux incidents.
Important
Microsoft Sentinel est disponible dans le cadre de la préversion publique de la plateforme d’opérations de sécurité unifiée dans le portail Microsoft Defender. Pour plus d’informations, consultez Microsoft Sentinel dans le portail Microsoft Defender.
Sources de données UEBA
Il s’agit des sources de données à partir desquelles le moteur UEBA collecte et analyse les données pour entraîner ses modèles ML et définir des bases de référence comportementales pour les utilisateurs, les appareils et d’autres entités. UEBA examine ensuite les données de ces sources pour rechercher des anomalies et des insights glanés.
| Paramètres | Événements |
|---|---|
| Microsoft Entra ID Journaux d’activité de connexion |
Tous |
| Microsoft Entra ID Journaux d’audit |
ApplicationManagement DirectoryManagement GroupManagement Appareil RoleManagement UserManagementCategory |
| Journaux d’activité Azure | Autorisation AzureActiveDirectory Facturation Compute Consommation KeyVault Appareils Réseau Ressources Intune Logique SQL Stockage |
| Événements de sécurité Windows WindowsEvent ou SecurityEvent |
4624 : connexion réussie d’un compte 4625 : échec de connexion d’un compte 4648 : une connexion a été tentée à l’aide d’informations d’identification explicites 4672 : privilèges spéciaux assignés à la nouvelle session 4688 : un processus a été créé |
Enrichissements UEBA
Cette section décrit les enrichissements qu’UEBA ajoute aux entités Microsoft Sentinel, ainsi que tous leurs détails, que vous pouvez utiliser pour concentrer et affiner vos enquêtes sur les incidents de sécurité. Ces enrichissements sont affichés sur les pages d’entité et se trouvent dans les tables Log Analytics suivantes, le contenu et le schéma répertoriés ci-dessous :
La table BehaviorAnalytics est l’emplacement où les informations de sortie d’UEBA sont stockées.
Les trois champs dynamiques suivants de la table BehaviorAnalytics sont décrits dans la section champs dynamiques d’enrichissement de l’entité ci-dessous.
Les champs UsersInsights et DevicesInsights contiennent des informations sur les entités provenant des sources Active Directory/Microsoft Entra ID et Microsoft Threat Intelligence.
Le champ ActivityInsights contient des informations sur les entités basées sur les profils de comportement produits par l’analyse du comportement des entités de Microsoft Sentinel.
Les activités des utilisateurs sont analysées par rapport à une ligne de base qui est compilée de façon dynamique à chaque utilisation. Chaque activité a sa période de référence définie à partir de laquelle la base de référence dynamique est dérivée. La période de référence est spécifiée dans la colonne Ligne de base de ce tableau.
La table IdentityInfo est l’endroit où les informations d’identité synchronisées avec UEBA à partir de Microsoft Entra ID (et d’Active Directory local via Microsoft Defender pour Identity) sont stockées.
Table BehaviorAnalytics
Le tableau suivant décrit les données d’analyse du comportement affichées sur chaque page de détails de l’entité dans Microsoft Sentinel.
| Champ | Type | Description |
|---|---|---|
| TenantId | string | Numéro d’identification unique du locataire. |
| SourceRecordId | string | Numéro d’identification unique de l’événement EBA. |
| TimeGenerated | DATETIME | Timestamp de l’occurrence de l’activité. |
| TimeProcessed | DATETIME | Timestamp du traitement de l’activité par le moteur EBA. |
| ActivityType | string | Catégorie de haut niveau de l’activité. |
| ActionType | string | Nom normalisé de l’activité. |
| UserName | string | Nom d’utilisateur de l’utilisateur ayant lancé l’activité. |
| UserPrincipalName | string | Nom d’utilisateur complet de l’utilisateur ayant lancé l’activité. |
| EventSource | string | Source de données ayant fourni l’événement d’origine. |
| SourceIPAddress | string | Adresse IP à partir de laquelle l’activité a été lancée. |
| SourceIPLocation | string | Pays à partir duquel l’activité a été lancée, enrichie à partir de l’adresse IP. |
| SourceDevice | string | Nom d’hôte de l’appareil ayant lancé l’activité. |
| DestinationIPAddress | string | Adresse IP de la cible de l’activité. |
| DestinationIPLocation | string | Pays de la cible de l’activité, enrichi à partir de l’adresse IP. |
| DestinationDevice | string | Nom de l’appareil cible. |
| UsersInsights | dynamique | Enrichissements contextuels des utilisateurs impliqués (voir les détails ci-dessous). |
| DevicesInsights | dynamique | Enrichissements contextuels des appareils impliqués (voir les détails ci-dessous). |
| ActivityInsights | dynamique | Analyse contextuelle de l’activité basée sur notre profilage (voir les détails ci-dessous). |
| InvestigationPriority | int | Score d’anomalie, entre 0 et 10 (0 = bénigne, 10 = très anormale). |
Champs dynamiques des enrichissements d’entités
Notes
La colonne Nom de l’enrichissement dans les tables dans cette section présente deux lignes d’informations.
- La première, en gras, est le « nom convivial » de l’enrichissement.
- La deuxième, (en italiques et entre parenthèses) , est le nom de champ de l’enrichissement, tel qu’il est stocké dans le tableau d’analyse comportementale.
Champ UsersInsights
Le tableau suivant décrit les enrichissements qui figurent dans le champ dynamique UsersInsights de la table BehaviorAnalytics :
| Nom d’enrichissement | Description | Exemple de valeur |
|---|---|---|
| Nom complet du compte (AccountDisplayName) |
Nom complet du compte de l’utilisateur. | Admin, Hayden Cook |
| Domaine du compte (AccountDomain) |
Nom de domaine du compte de l’utilisateur. | |
| ID d’objet du compte (AccountObjectID) |
ID de l’objet du compte de l’utilisateur. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Rayon d'impact (BlastRadius) |
Le rayon d’impact est calculé en fonction de plusieurs facteurs : la position de l’utilisateur dans l’arborescence de l’organisation et les rôles et autorisations Microsoft Entra de l’utilisateur. L’utilisateur doit avoir la propriété Manager renseignée dans Microsoft Entra ID pour que BlastRadius soit calculé. | Faible, moyen, élevé |
| Est un compte dormant (IsDormantAccount) |
Le compte n’a pas été utilisé au cours des 180 derniers jours. | True, False |
| Est administrateur local (IsLocalAdmin) |
Le compte dispose de privilèges d’administrateur local. | True, False |
| Est un nouveau compte (IsNewAccount) |
Le compte a été créé au cours des 30 derniers jours. | True, False |
| ID de sécurité local (OnPremisesSID) |
ID de sécurité local de l’utilisateur associé à l’action. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Champ DevicesInsights
Le tableau suivant décrit les enrichissements qui figurent dans le champ dynamique DevicesInsights de la table BehaviorAnalytics :
| Nom d’enrichissement | Description | Exemple de valeur |
|---|---|---|
| Browser (Browser) |
Navigateur utilisé dans l’action. | Edge, Chrome |
| Famille de périphériques (DeviceFamily) |
Famille d’appareils utilisée dans l’action. | Windows |
| Type d’appareil (DeviceType) |
Type d’appareil client utilisé dans l’action. | Bureau |
| ISP (ISP) |
Fournisseur de services Internet utilisé dans l’action. | |
| Système d’exploitation (OperatingSystem) |
Système d’exploitation utilisé dans l’action. | Windows 10 |
| Description de l’indicateur Renseignement sur les menaces (ThreatIntelIndicatorDescription) |
Description de l’indicateur de menace observé résolu à partir de l’adresse IP utilisée dans l’action. | L’hôte est membre de botnet : azorult |
| Type de l’indicateur Renseignement sur les menaces (ThreatIntelIndicatorType) |
Type de l’indicateur de menace résolu à partir de l’adresse IP utilisée dans l’action. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Agent utilisateur (UserAgent) |
Agent utilisateur utilisé dans l’action. | Bibliothèque de client Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Famille d’agents utilisateur (UserAgentFamily) |
Famille d’agents utilisateur utilisée dans l’action. | Chrome, Edge, Firefox |
Champ ActivityInsights
Les tableaux suivants décrivent les enrichissements qui figurent dans le champ dynamique ActivityInsights de la table BehaviorAnalytics :
Action effectuée
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Action effectuée pour la première fois par l’utilisateur (FirstTimeUserPerformedAction) |
180 | L’action a été effectuée pour la première fois par l’utilisateur. | True, False |
| Action effectuée de façon inhabituelle par l’utilisateur (ActionUncommonlyPerformedByUser) |
10 | L’action n’est généralement pas effectuée par l’utilisateur. | True, False |
| Action effectuée de façon inhabituelle parmi les pairs (ActionUncommonlyPerformedAmongPeers) |
180 | L’action n’est généralement pas effectuée parmi les pairs de l’utilisateur. | True, False |
| Action effectuée pour la première fois dans le locataire (FirstTimeActionPerformedInTenant) |
180 | L’action a été effectuée pour la première fois par toute personne de l’organisation. | True, False |
| Action effectuée de façon inhabituelle dans le locataire (ActionUncommonlyPerformedInTenant) |
180 | L’action n’est généralement pas effectuée dans l’organisation. | True, False |
Application utilisée
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Application utilisée pour la première fois par l’utilisateur (FirstTimeUserUsedApp) |
180 | L’application a été utilisée pour la première fois par l’utilisateur. | True, False |
| Application utilisée de façon inhabituelle par l’utilisateur (AppUncommonlyUsedByUser) |
10 | L’application n’est généralement pas utilisée par l’utilisateur. | True, False |
| Application utilisée de façon inhabituelle parmi les pairs (AppUncommonlyUsedAmongPeers) |
180 | L’application n’est généralement pas utilisée parmi les pairs de l’utilisateur. | True, False |
| Application observée pour la première fois dans le locataire (FirstTimeAppObservedInTenant) |
180 | L’application a été observée pour la première fois dans l’organisation. | True, False |
| Application utilisée de façon inhabituelle dans le locataire (AppUncommonlyUsedInTenant) |
180 | L’application n’est généralement pas utilisée dans l’organisation. | True, False |
Navigateur utilisé
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Première connexion de l’utilisateur via le navigateur (FirstTimeUserConnectedViaBrowser) |
30 | Le navigateur a été observé pour la première fois par l’utilisateur. | True, False |
| Navigateur utilisé de façon inhabituelle par l’utilisateur (BrowserUncommonlyUsedByUser) |
10 | Le navigateur n’est généralement pas utilisé par l’utilisateur. | True, False |
| Navigateur utilisé de façon inhabituelle parmi les pairs (BrowserUncommonlyUsedAmongPeers) |
30 | Le navigateur n’est généralement pas utilisé parmi les pairs de l’utilisateur. | True, False |
| Navigateur observé pour la première fois dans le locataire (FirstTimeBrowserObservedInTenant) |
30 | Le navigateur a été observé pour la première fois dans l’organisation. | True, False |
| Navigateur utilisé de façon inhabituelle dans le locataire (BrowserUncommonlyUsedInTenant) |
30 | Le navigateur n’est généralement pas utilisé dans l’organisation. | True, False |
Pays à partir duquel la connexion est établie
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Première connexion de l’utilisateur à partir de ce pays (FirstTimeUserConnectedFromCountry) |
90 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, a été utilisé pour la première fois par l’utilisateur pour établir la connexion. | True, False |
| Pays d’où l’utilisateur s’est connecté de façon inhabituelle (CountryUncommonlyConnectedFromByUser) |
10 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé par l’utilisateur pour établir la connexion. | True, False |
| Pays d’où la connexion est inhabituelle parmi les pairs (CountryUncommonlyConnectedFromAmongPeers) |
90 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé parmi les pairs de l’utilisateur pour établir une connexion. | True, False |
| Première connexion depuis ce pays observée dans le locataire (FirstTimeConnectionFromCountryObservedInTenant) |
90 | La connexion a été établie pour la première fois depuis ce pays par une personne de l’organisation. | True, False |
| Pays d’où la connexion est inhabituelle dans le locataire (CountryUncommonlyConnectedFromInTenant) |
90 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé dans l’organisation pour établir une connexion. | True, False |
Appareil utilisé pour se connecter
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Première connexion de l’utilisateur à partir de l’appareil (FirstTimeUserConnectedFromDevice) |
30 | L’appareil source a été utilisé pour la première fois par l’utilisateur pour se connecter. | True, False |
| Appareil utilisé de façon inhabituelle par l’utilisateur (DeviceUncommonlyUsedByUser) |
10 | L’appareil n’est généralement pas utilisé par l’utilisateur. | True, False |
| Appareil utilisé de façon inhabituelle parmi les pairs (DeviceUncommonlyUsedAmongPeers) |
180 | L’appareil n’est généralement pas utilisé parmi les pairs de l’utilisateur. | True, False |
| Appareil observé pour la première fois dans le locataire (FirstTimeDeviceObservedInTenant) |
30 | L’appareil a été observé pour la première fois dans l’organisation. | True, False |
| Appareil utilisé de façon inhabituelle dans le locataire (DeviceUncommonlyUsedInTenant) |
180 | L’appareil n’est généralement pas utilisé dans l’organisation. | True, False |
Autres insights relatifs aux appareils
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Session ouverte pour la première fois par l’utilisateur sur l’appareil (FirstTimeUserLoggedOnToDevice) |
180 | L’utilisateur s’est connecté à l’appareil de destination pour la première fois. | True, False |
| Famille d’appareils utilisée de façon inhabituelle dans le locataire (DeviceFamilyUncommonlyUsedInTenant) |
30 | La famille d’appareils n’est généralement pas utilisée dans l’organisation. | True, False |
Fournisseur de services Internet utilisé pour la connexion
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Première connexion de l’utilisateur via un ISP (FirstTimeUserConnectedViaISP) |
30 | L’ISP a été observé pour la première fois par l’utilisateur. | True, False |
| ISP utilisé de façon inhabituelle par l’utilisateur (ISPUncommonlyUsedByUser) |
10 | L’ISP n’est généralement pas utilisé par l’utilisateur. | True, False |
| ISP utilisé de façon inhabituelle parmi les pairs (ISPUncommonlyUsedAmongPeers) |
30 | L’ISP n’est généralement pas utilisé parmi les pairs de l’utilisateur. | True, False |
| Première connexion via l’ISP dans le locataire (FirstTimeConnectionViaISPInTenant) |
30 | L’ISP a été observé pour la première fois dans l’organisation. | True, False |
| ISP utilisé de façon inhabituelle dans le locataire (ISPUncommonlyUsedInTenant) |
30 | L’ISP n’est généralement pas utilisé dans l’organisation. | True, False |
Ressource consultée
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Ressource consultée pour la première fois par l’utilisateur (FirstTimeUserAccessedResource) |
180 | La ressource a été consultée pour la première fois par l’utilisateur. | True, False |
| Ressource consultée de façon inhabituelle par l’utilisateur (ResourceUncommonlyAccessedByUser) |
10 | La ressource n’est généralement pas consultée par l’utilisateur. | True, False |
| Ressource consultée de façon inhabituelle parmi les pairs (ResourceUncommonlyAccessedAmongPeers) |
180 | La ressource n’est généralement pas consultée parmi les pairs de l’utilisateur. | True, False |
| Ressource consultée pour la première fois dans le locataire (FirstTimeResourceAccessedInTenant) |
180 | La ressource a été consultée pour la première fois par une personne de l’organisation. | True, False |
| Ressource consultée de façon inhabituelle dans le locataire (ResourceUncommonlyAccessedInTenant) |
180 | La ressource n’est généralement pas consultée dans l’organisation. | True, False |
Divers
| Nom d’enrichissement | Ligne de base (jours) | Description | Exemple de valeur |
|---|---|---|---|
| Action effectuée pour la dernière fois par l’utilisateur (LastTimeUserPerformedAction) |
180 | Dernière fois que l’utilisateur a effectué la même action. | <Timestamp> |
| Une action similaire n’a pas été effectuée dans le passé (SimilarActionWasn’tPerformedInThePast) |
30 | Aucune action dans le même fournisseur de ressources n’a été effectuée par l’utilisateur. | True, False |
| Emplacement IP source (SourceIPLocation) |
N/A | Pays résolu à partir de l’adresse IP source de l’action. | [Surrey, Royaume-Uni] |
| Volume d’opérations inhabituellement élevé (UncommonHighVolumeOfOperations) |
7 | Un utilisateur a effectué une rafale d’opérations similaires au sein du même fournisseur. | True, False |
| Nombre inhabituel d’échecs de l’accès conditionnel Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un nombre inhabituel d’utilisateurs n’a pas pu s’authentifier en raison de l’accès conditionnel | True, False |
| Nombre inhabituel d’appareils ajoutés (UnusualNumberOfDevicesAdded) |
5 | Un utilisateur a ajouté un nombre inhabituel d’appareils. | True, False |
| Nombre inhabituel d’appareils supprimés (UnusualNumberOfDevicesDeleted) |
5 | Un utilisateur a supprimé un nombre inhabituel d’appareils. | True, False |
| Nombre inhabituel d’utilisateurs ajoutés au groupe (UnusualNumberOfUsersAddedToGroup) |
5 | Un utilisateur a ajouté un nombre d’utilisateurs à un groupe. | True, False |
Table IdentityInfo
Après avoir activé UEBA pour votre espace de travail Microsoft Sentinel, les données de votre instance Microsoft Entra ID sont synchronisées avec la table IdentityInfo dans Log Analytics afin de pouvoir les utiliser dans Microsoft Sentinel. Vous pouvez incorporer des données utilisateur synchronisées à partir de votre Microsoft Entra ID dans vos règles d’analyse pour améliorer vos analyses en fonction de vos cas d’usage, et réduire les faux positifs.
Alors que la synchronisation initiale peut prendre quelques jours, une fois les données entièrement synchronisées :
Les modifications apportées à vos profils utilisateur dans Microsoft Entra ID sont mis à jour dans la table IdentityInfo dans un délai de 15 minutes.
Les informations de groupes et de rôles sont synchronisées entre la table IdentityInfo et Microsoft Entra ID tous les jours.
Tous les 14 jours, Microsoft Sentinel se resynchronise avec l’ensemble de votre Microsoft Entra ID pour s’assurer que les anciens enregistrements sont entièrement mis à jour.
La durée de rétention par défaut dans la table IdentityInfo est de 30 jours.
Notes
Actuellement, seuls les rôles intégrés sont pris en charge.
Les données relatives aux groupes supprimés, où un utilisateur a été supprimé d’un groupe, ne sont pas prises en charge actuellement.
Il existe en fait deux versions de la table IdentityInfo : une qui sert Microsoft Sentinel, dans le schéma Log Analytics, l’autre servant le portail Microsoft Defender via Microsoft Defender pour Identity, dans ce qu’on appelle le schéma de repérage avancé. Les deux versions de cette table sont alimentées par l’ID Microsoft Entra, mais la version Log Analytics a ajouté quelques champs.
La plateforme d’opérations de sécurité unifiée dans le portail Defender utilise la version de chasse avancée de cette table. Par conséquent, pour réduire les différences entre les versions de la table, la plupart des champs uniques de la version Log Analytics sont progressivement ajoutés à la version de chasse avancée. Quel que soit le portail dans lequel vous utilisez Microsoft Sentinel, vous aurez accès à presque toutes les mêmes informations, même s’il peut y avoir un petit décalage dans la synchronisation entre les versions.
Le tableau suivant décrit les données d’identité utilisateur incluses dans la table IdentityInfo dans Log Analytics dans le Portail Azure. La quatrième colonne affiche les champs correspondants dans la version de chasse avancée de la table, que Microsoft Sentinel utilise dans le portail Defender. Les noms de champs en gras sont nommés différemment dans le schéma de repérage avancé que dans la version De Microsoft Sentinel Log Analytics.
| Nom du champ dans Schéma Log Analytics |
Type | Description | Nom du champ dans Schéma de repérage avancé |
|---|---|---|---|
| AccountCloudSID | string | Identificateur de sécurité Microsoft Entra du compte. | CloudSid |
| AccountCreationTime | DATETIME | Date à laquelle le compte d’utilisateur a été créé (UTC). | CreatedDateTime |
| AccountDisplayName | string | Nom d’affichage du compte d’utilisateur. | AccountDisplayName |
| AccountDomain | string | Nom de domaine du compte d’utilisateur. | AccountDomain |
| AccountName | string | Nom d’utilisateur du compte d’utilisateur. | AccountName |
| AccountObjectId | string | ID d’objet Microsoft Entra pour le compte d’utilisateur. | AccountObjectId |
| AccountSID | string | Identificateur de sécurité local du compte d’utilisateur. | AccountSID |
| AccountTenantId | string | ID de locataire Microsoft Entra du compte d’utilisateur. | -- |
| AccountUPN | string | Nom d’utilisateur principal du compte d’utilisateur. | AccountUPN |
| AdditionalMailAddresses | dynamique | Adresses e-mail supplémentaires de l’utilisateur. | -- |
| AssignedRoles | dynamique | Les rôles Microsoft Entra auxquels le compte d’utilisateur est attribué. | AssignedRoles |
| BlastRadius | string | Un calcul basé sur la position de l’utilisateur dans l’arborescence de l’organisation et sur les rôles et autorisations Microsoft Entra de l’utilisateur. Valeurs possibles : Faible, Moyen, Élevé |
-- |
| ChangeSource | string | Source de la dernière modification apportée à l’entité. Valeurs possibles : |
ChangeSource |
| CompanyName | Nom de l’entreprise auquel appartient l’utilisateur. | -- | |
| Ville | string | Ville du compte d’utilisateur. | Ville |
| Pays | string | Pays du compte d’utilisateur. | Pays ou région |
| DeletedDateTime | DATETIME | Date et heure de suppression de l’utilisateur. | -- |
| Département | string | Département du compte d’utilisateur. | Département |
| GivenName | string | Prénom du compte d’utilisateur. | GivenName |
| GroupMembership | dynamique | Groupes Microsoft Entra dont le compte d’utilisateur est membre. | -- |
| IsAccountEnabled | bool | Indique si le compte d’utilisateur est activé ou non dans Microsoft Entra ID. | IsAccountEnabled |
| JobTitle | string | Poste occupé par le compte d’utilisateur. | JobTitle |
| MailAddress | string | Adresse e-mail principale du compte d’utilisateur. | EmailAddress |
| Directeur | string | Alias du responsable du compte d’utilisateur. | Gestionnaire |
| OnPremisesDistinguishedName | string | Nom unique Microsoft Entra ID (DN). Un nom unique est une séquence de noms uniques relatifs (RDN), connectés par des virgules. | DistinguishedName |
| Téléphone | string | Numéro de téléphone du compte d’utilisateur. | votre numéro de |
| SourceSystem | string | Système dans lequel l’utilisateur est géré. Valeurs possibles : |
SourceProvider |
| État | string | État géographique du compte d’utilisateur. | State |
| StreetAddress | string | Adresse postale du bureau du compte d’utilisateur. | Adresse |
| Surname | string | Nom de l’utilisateur. compte. | Nom de famille |
| TenantId | string | ID du locataire de l’utilisateur | -- |
| TimeGenerated | DATETIME | Heure à laquelle l’événement a été généré (UTC). | Timestamp |
| Type | string | Nom de la table. | -- |
| UserAccountControl | dynamique | Attributs de sécurité du compte d’utilisateur dans le domaine AD. Valeurs possibles (peut contenir plusieurs valeurs) : |
-- |
| UserState | string | État actuel du compte d’utilisateur dans Microsoft Entra ID. Valeurs possibles : |
-- |
| UserStateChangedOn | DATETIME | Date de la dernière modification de l’état du compte (UTC). | -- |
| UserType | string | Type d’utilisateur. | -- |
Étapes suivantes
Dans ce document, nous avons décrit le schéma de la table d’analyse du comportement des entités Microsoft Sentinel.
- En savoir plus sur l’analyse du comportement des entités.
- Activer UEBA dans Microsoft Sentinel.
- Mise en pratique d’UEBA dans les examens.