Référence UEBA Microsoft Sentinel

Cet article de référence répertorie les sources de données d’entrée pour le service analyse comportementale des utilisateurs et des entités dans Microsoft Sentinel. Il décrit également les enrichissements ajoutés par UEBA aux entités, fournissant le contexte nécessaire aux alertes et aux incidents.

Important

Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Retireing Microsoft Sentinel’s Azure portal for greater security.

Sources de données UEBA

Il s’agit des sources de données à partir desquelles le moteur UEBA collecte et analyse les données pour entraîner ses modèles ML et définir des bases de référence comportementales pour les utilisateurs, les appareils et d’autres entités. UEBA examine ensuite les données de ces sources pour rechercher des anomalies et des insights glanés.

Data source	Events
Microsoft Entra ID Sign-in logs	All
Microsoft Entra ID Audit logs	ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory
Journaux d’activité Azure	Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage
Événements de sécurité Windows WindowsEvent or SecurityEvent	4624 : connexion réussie d’un compte 4625 : échec de connexion d’un compte 4648 : une connexion a été tentée à l’aide d’informations d’identification explicites 4672 : privilèges spéciaux assignés à la nouvelle session 4688 : un processus a été créé

UEBA enrichments

Cette section décrit les enrichissements qu’UEBA ajoute aux entités Microsoft Sentinel, ainsi que tous leurs détails, que vous pouvez utiliser pour concentrer et affiner vos enquêtes sur les incidents de sécurité. These enrichments are displayed on entity pages and can be found in the following Log Analytics tables, the contents and schema of which are listed below:

• The BehaviorAnalytics table is where UEBA's output information is stored.

  Les trois champs dynamiques suivants de la table BehaviorAnalytics sont décrits dans la section des champs dynamiques des enrichissements d’entités ci-dessous.

  • The UsersInsights and DevicesInsights fields contain entity information from Active Directory / Microsoft Entra ID and Microsoft Threat Intelligence sources.

  • The ActivityInsights field contains entity information based on the behavioral profiles built by Microsoft Sentinel's entity behavior analytics.

    Les activités utilisateur sont analysées par rapport à une base de référence compilée dynamiquement chaque fois qu’elle est utilisée. Chaque activité a sa propre période de recherche définie à partir de laquelle la base de référence dynamique est dérivée. The lookback period is specified in the Baseline column in this table.

• The IdentityInfo table is where identity information synchronized to UEBA from Microsoft Entra ID (and from on-premises Active Directory via Microsoft Defender for Identity) is stored.

BehaviorAnalytics table

Le tableau suivant décrit les données d’analyse du comportement affichées sur chaque page de détails d’entité dans Microsoft Sentinel.

Field	Type	Description
TenantId	string	Numéro d’identification unique du locataire.
SourceRecordId	string	Numéro d’identification unique de l’événement EBA.
TimeGenerated	datetime	Timestamp de l’occurrence de l’activité.
TimeProcessed	datetime	Timestamp du traitement de l’activité par le moteur EBA.
ActivityType	string	Catégorie de haut niveau de l’activité.
ActionType	string	Nom normalisé de l’activité.
UserName	string	Nom d’utilisateur de l’utilisateur ayant lancé l’activité.
UserPrincipalName	string	Nom d’utilisateur complet de l’utilisateur ayant lancé l’activité.
EventSource	string	Source de données ayant fourni l’événement d’origine.
SourceIPAddress	string	Adresse IP à partir de laquelle l’activité a été lancée.
SourceIPLocation	string	Pays/région à partir duquel l’activité a été lancée, enrichie à partir de l’adresse IP.
SourceDevice	string	Nom d’hôte de l’appareil ayant lancé l’activité.
DestinationIPAddress	string	Adresse IP de la cible de l’activité.
DestinationIPLocation	string	Pays/région de l’activité, enrichi à partir de l’adresse IP.
DestinationDevice	string	Nom de l’appareil cible.
UsersInsights	dynamic	The contextual enrichments of involved users (details below).
DevicesInsights	dynamic	The contextual enrichments of involved devices (details below).
ActivityInsights	dynamic	The contextual analysis of activity based on our profiling (details below).
InvestigationPriority	int	Score d’anomalie, entre 0 et 10 (0 = bénigne, 10 = très anormale).

Champs dynamiques des enrichissements d’entités

Note

The Enrichment name column in the tables in this section displays two rows of information.

• The first, in bold, is the "friendly name" of the enrichment.
• Le deuxième (en italique et parenthèses) est le nom du champ de l’enrichissement tel qu’il est stocké dans la table Behavior Analytics.

UsersInsights field

The following table describes the enrichments featured in the UsersInsights dynamic field in the BehaviorAnalytics table:

Enrichment name	Description	Sample value
Nom complet du compte (AccountDisplayName)	Nom complet du compte de l’utilisateur.	Administrateur, Hayden Cook
Account domain (AccountDomain)	Nom de domaine du compte de l’utilisateur.
ID d’objet account (AccountObjectID)	ID de l’objet du compte de l’utilisateur.	aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Blast radius (BlastRadius)	Le rayon d’impact est calculé en fonction de plusieurs facteurs : la position de l’utilisateur dans l’arborescence de l’organisation et les rôles et autorisations Microsoft Entra de l’utilisateur. User must have Manager property populated in Microsoft Entra ID for BlastRadius to be calculated.	Faible, moyen, élevé
Compte dormant (IsDormantAccount)	Le compte n’a pas été utilisé au cours des 180 derniers jours.	True, False
Administrateur local (IsLocalAdmin)	Le compte dispose de privilèges d’administrateur local.	True, False
Nouveau compte (IsNewAccount)	Le compte a été créé au cours des 30 derniers jours.	True, False
SID local (OnPremisesSID)	ID de sécurité local de l’utilisateur associé à l’action.	S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights field

The following table describes the enrichments featured in the DevicesInsights dynamic field in the BehaviorAnalytics table:

Enrichment name	Description	Sample value
Browser (Browser)	Navigateur utilisé dans l’action.	Edge, Chrome
Device family (DeviceFamily)	Famille d’appareils utilisée dans l’action.	Windows
Device type (DeviceType)	Type d’appareil client utilisé dans l’action.	Desktop
ISP (ISP)	Fournisseur de services Internet utilisé dans l’action.
Operating system (OperatingSystem)	Système d’exploitation utilisé dans l’action.	Windows 10
Description de l’indicateur Intel sur les menaces (ThreatIntelIndicatorDescription)	Description de l’indicateur de menace observé résolu à partir de l’adresse IP utilisée dans l’action.	L’hôte est membre de botnet : azorult
Type d’indicateur Intel de menace (ThreatIntelIndicatorType)	Type de l’indicateur de menace résolu à partir de l’adresse IP utilisée dans l’action.	Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
User agent (UserAgent)	Agent utilisateur utilisé dans l’action.	Bibliothèque de client Microsoft Azure Graph 1.0, ​Swagger-Codegen/1.4.0.0/csharp, EvoSTS
Famille d’agents utilisateur (UserAgentFamily)	Famille d’agents utilisateur utilisée dans l’action.	Chrome, Edge, Firefox

ActivityInsights field

The following tables describe the enrichments featured in the ActivityInsights dynamic field in the BehaviorAnalytics table:

Action performed

Enrichment name	Baseline (days)	Description	Sample value
Première fois que l’utilisateur a effectué une action (FirstTimeUserPerformedAction)	180	L’action a été effectuée pour la première fois par l’utilisateur.	True, False
Action rarement effectuée par l’utilisateur (ActionUncommonlyPerformedByUser)	10	L’action n’est généralement pas effectuée par l’utilisateur.	True, False
Action rarement effectuée entre pairs (ActionUncommonlyPerformedAmongPeers)	180	L’action n’est généralement pas effectuée parmi les pairs de l’utilisateur.	True, False
Première action effectuée dans le locataire (FirstTimeActionPerformedInTenant)	180	L’action a été effectuée pour la première fois par toute personne de l’organisation.	True, False
Action rarement effectuée dans le locataire (ActionUncommonlyPerformedInTenant)	180	L’action n’est généralement pas effectuée dans l’organisation.	True, False

App used

Enrichment name	Baseline (days)	Description	Sample value
Application utilisée pour la première fois par l’utilisateur (FirstTimeUserUsedApp)	180	L’application a été utilisée pour la première fois par l’utilisateur.	True, False
Application rarement utilisée par l’utilisateur (AppUncommonlyUsedByUser)	10	L’application n’est généralement pas utilisée par l’utilisateur.	True, False
Application rarement utilisée entre pairs (AppUncommonlyUsedAmongPeers)	180	L’application n’est généralement pas utilisée parmi les pairs de l’utilisateur.	True, False
Première fois que l’application a été observée dans le locataire (FirstTimeAppObservedInTenant)	180	L’application a été observée pour la première fois dans l’organisation.	True, False
Application rarement utilisée dans le locataire (AppUncommonlyUsedInTenant)	180	L’application n’est généralement pas utilisée dans l’organisation.	True, False

Browser used

Enrichment name	Baseline (days)	Description	Sample value
Utilisateur connecté à la première fois via le navigateur (FirstTimeUserConnectedViaBrowser)	30	Le navigateur a été observé pour la première fois par l’utilisateur.	True, False
Navigateur rarement utilisé par l’utilisateur (BrowserUncommonlyUsedByUser)	10	Le navigateur n’est généralement pas utilisé par l’utilisateur.	True, False
Navigateur rarement utilisé parmi les pairs (BrowserUncommonlyUsedAmongPeers)	30	Le navigateur n’est généralement pas utilisé parmi les pairs de l’utilisateur.	True, False
Navigateur de première fois observé dans le locataire (FirstTimeBrowserObservedInTenant)	30	Le navigateur a été observé pour la première fois dans l’organisation.	True, False
Navigateur rarement utilisé dans le locataire (BrowserUncommonlyUsedInTenant)	30	Le navigateur n’est généralement pas utilisé dans l’organisation.	True, False

Pays/région connectés à partir de

Enrichment name	Baseline (days)	Description	Sample value
Premier utilisateur connecté à partir du pays (FirstTimeUserConnectedFromCountry)	90	L’emplacement géographique, tel que résolu à partir de l’adresse IP, a été utilisé pour la première fois par l’utilisateur pour établir la connexion.	True, False
Pays rarement connecté à partir de l’utilisateur (CountryUncommonlyConnectedFromByUser)	10	L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé par l’utilisateur pour établir la connexion.	True, False
Pays rarement connecté d’un pair à l’autre (CountryUncommonlyConnectedFromAmongPeers)	90	L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé parmi les pairs de l’utilisateur pour établir une connexion.	True, False
Première connexion à partir du pays observé dans le locataire (FirstTimeConnectionFromCountryObservedInTenant)	90	Le pays/la région a été connecté pour la première fois par toute personne de l’organisation.	True, False
Pays rarement connecté à partir d’un locataire (CountryUncommonlyConnectedFromInTenant)	90	L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé dans l’organisation pour établir une connexion.	True, False

Appareil utilisé pour se connecter

Enrichment name	Baseline (days)	Description	Sample value
Premier utilisateur connecté à partir de l’appareil (FirstTimeUserConnectedFromDevice)	30	L’appareil source a été utilisé pour la première fois par l’utilisateur pour se connecter.	True, False
Appareil rarement utilisé par l’utilisateur (DeviceUncommonlyUsedByUser)	10	L’appareil n’est généralement pas utilisé par l’utilisateur.	True, False
Appareil rarement utilisé parmi les pairs (DeviceUncommonlyUsedAmongPeers)	180	L’appareil n’est généralement pas utilisé parmi les pairs de l’utilisateur.	True, False
Premier appareil observé dans le locataire (FirstTimeDeviceObservedInTenant)	30	L’appareil a été observé pour la première fois dans l’organisation.	True, False
Appareil rarement utilisé dans le locataire (DeviceUncommonlyUsedInTenant)	180	L’appareil n’est généralement pas utilisé dans l’organisation.	True, False

Other device-related

Enrichment name	Baseline (days)	Description	Sample value
Premier utilisateur connecté à l’appareil (FirstTimeUserLoggedOnToDevice)	180	L’utilisateur s’est connecté à l’appareil de destination pour la première fois.	True, False
Famille d’appareils rarement utilisée dans le locataire (DeviceFamilyUncommonlyUsedInTenant)	30	La famille d’appareils n’est généralement pas utilisée dans l’organisation.	True, False

Fournisseur de services Internet utilisé pour la connexion

Enrichment name	Baseline (days)	Description	Sample value
Utilisateur connecté à la première fois via l’ISP (FirstTimeUserConnectedViaISP)	30	L’ISP a été observé pour la première fois par l’utilisateur.	True, False
ISP rarement utilisé par l’utilisateur (ISPUncommonlyUsedByUser)	10	L’ISP n’est généralement pas utilisé par l’utilisateur.	True, False
IsP rarement utilisé chez les pairs (ISPUncommonlyUsedAmongPeers)	30	L’ISP n’est généralement pas utilisé parmi les pairs de l’utilisateur.	True, False
Connexion à la première fois via isP dans le locataire (FirstTimeConnectionViaISPInTenant)	30	L’ISP a été observé pour la première fois dans l’organisation.	True, False
IsP rarement utilisé dans le locataire (ISPUncommonlyUsedInTenant)	30	L’ISP n’est généralement pas utilisé dans l’organisation.	True, False

Resource accessed

Enrichment name	Baseline (days)	Description	Sample value
Première fois que l’utilisateur a accédé à la ressource (FirstTimeUserAccessedResource)	180	La ressource a été consultée pour la première fois par l’utilisateur.	True, False
Ressource rarement accessible par l’utilisateur (ResourceUncommonlyAccessedByUser)	10	La ressource n’est généralement pas consultée par l’utilisateur.	True, False
Ressource rarement accessible entre pairs (ResourceUncommonlyAccessedAmongPeers)	180	La ressource n’est généralement pas consultée parmi les pairs de l’utilisateur.	True, False
Première ressource accessible dans le locataire (FirstTimeResourceAccessedInTenant)	180	La ressource a été consultée pour la première fois par une personne de l’organisation.	True, False
Ressource rarement accessible dans le locataire (ResourceUncommonlyAccessedInTenant)	180	La ressource n’est généralement pas consultée dans l’organisation.	True, False

Miscellaneous

Enrichment name	Baseline (days)	Description	Sample value
Dernière action effectuée par l’utilisateur (LastTimeUserPerformedAction)	180	Dernière fois que l’utilisateur a effectué la même action.	<Horodatage>
Une action similaire n’a pas été effectuée dans le passé (SimilarActionWasn'tPerformedInThePast)	30	Aucune action dans le même fournisseur de ressources n’a été effectuée par l’utilisateur.	True, False
Emplacement IP source (SourceIPLocation)	N/A	Pays/région résolus à partir de l’adresse IP source de l’action.	[Surrey, England]
Volume élevé rare d’opérations (UncommonHighVolumeOfOperations)	7	Un utilisateur a effectué une rafale d’opérations similaires au sein du même fournisseur.	True, False
Nombre inhabituel d’échecs d’accès conditionnel Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures)	5	Un nombre inhabituel d’utilisateurs n’a pas pu s’authentifier en raison de l’accès conditionnel	True, False
Nombre inhabituel d’appareils ajoutés (UnusualNumberOfDevicesAdded)	5	Un utilisateur a ajouté un nombre inhabituel d’appareils.	True, False
Nombre inhabituel d’appareils supprimés (UnusualNumberOfDevicesDeleted)	5	Un utilisateur a supprimé un nombre inhabituel d’appareils.	True, False
Nombre inhabituel d’utilisateurs ajoutés au groupe (UnusualNumberOfUsersAddedToGroup)	5	Un utilisateur a ajouté un nombre d’utilisateurs à un groupe.	True, False

IdentityInfo table

Une fois que vous avez activé et configuré UEBA pour votre espace de travail Microsoft Sentinel, les données utilisateur de vos fournisseurs d’identité Microsoft sont synchronisées avec la table IdentityInfo dans Log Analytics pour une utilisation dans Microsoft Sentinel.

Ces fournisseurs d’identité sont soit les deux suivants, en fonction de ceux que vous avez sélectionnés lorsque vous avez configuré UEBA :

• ID Microsoft Entra (basé sur le cloud)
• Microsoft Active Directory (local, nécessite Microsoft Defender pour Identity))

You can query the IdentityInfo table in analytics rules, hunting queries, and workbooks, enhancing your analytics to fit your use cases and reducing false positives.

Alors que la synchronisation initiale peut prendre quelques jours, une fois les données entièrement synchronisées :

• Tous les 14 jours, Microsoft Sentinel se synchronise avec l’ensemble de votre ID Microsoft Entra (et votre Active Directory local, le cas échéant) pour vous assurer que les enregistrements obsolètes sont entièrement mis à jour.

• Besides these regular full synchronizations, whenever changes are made to your user profiles, groups, and built-in roles in Microsoft Entra ID, the affected user records are re-ingested and updated in the IdentityInfo table within 15-30 minutes. Cette ingestion est facturée à des tarifs réguliers. For example:

  • Un attribut utilisateur, tel que le nom d’affichage, le titre du travail ou l’adresse e-mail, a été modifié. A new record for this user is ingested into the IdentityInfo table, with the relevant fields updated.

  • Le groupe A compte 100 utilisateurs. 5 utilisateurs sont ajoutés au groupe ou supprimés du groupe. In this case, those 5 user records are re-ingested, and their GroupMembership fields updated.

  • Le groupe A compte 100 utilisateurs. Ten users are added to Group A. Also, groups A1 and A2, each with 10 users, are added to Group A. In this case, 30 user records are re-ingested and their GroupMembership fields updated. Cela se produit parce que l’appartenance au groupe est transitive, de sorte que les modifications apportées aux groupes affectent tous leurs sous-groupes.

  • Le groupe B (avec 50 utilisateurs) est renommé Groupe BeGood. In this case, 50 user records are re-ingested and their GroupMembership fields updated. S’il existe des sous-groupes dans ce groupe, la même chose se produit pour tous les enregistrements de leurs membres.

• Default retention time in the IdentityInfo table is 30 days.

Limitations

• The AssignedRoles field supports only built-in roles.

• The GroupMembership field supports listing up to 500 groups per user, including subgroups. If a user is a member of more than 500 groups, only the first 500 are synchronized with the IdentityInfo table. Les groupes ne sont pas évalués dans un ordre particulier. Toutefois, à chaque nouvelle synchronisation (tous les 14 jours), il est possible qu’un ensemble différent de groupes soit mis à jour vers l’enregistrement utilisateur.

• When a user is deleted, that user's record is not immediately deleted from the IdentityInfo table. La raison en est que l’un des objectifs de cette table est d’auditer les modifications apportées aux enregistrements utilisateur. Therefore, we want this table to have a record of a user being deleted, which can only happen if the user record in the IdentityInfo table still exists, even though the actual user (say, in Entra ID) is deleted.

  Les utilisateurs supprimés peuvent être identifiés par la présence d’une valeur dans le deletedDateTime champ. Par conséquent, si vous avez besoin d’une requête pour afficher une liste d’utilisateurs, vous pouvez filtrer les utilisateurs supprimés en ajoutant | where IsEmpty(deletedDateTime) à la requête.

  At a certain interval of time after a user was deleted, the user's record is eventually removed from the IdentityInfo table as well.

• Lorsqu’un groupe est supprimé ou si un groupe avec plus de 100 membres a son nom modifié, les enregistrements utilisateur de ce groupe ne sont pas mis à jour. Si une modification différente entraîne la mise à jour de l’un des enregistrements de ces utilisateurs, les informations de groupe mises à jour sont incluses à ce stade.

Autres versions de la table IdentityInfo

There are actually multiple versions of the IdentityInfo table:

• The Log Analytics schema version, discussed in this article, serves Microsoft Sentinel in the Azure portal. Il est disponible pour les clients qui ont activé UEBA.

• The Advanced hunting schema version serves the Microsoft Defender portal via Microsoft Defender for Identity. Il est disponible pour les clients de Microsoft Defender XDR, avec ou sans Microsoft Sentinel, et aux clients de Microsoft Sentinel lui-même dans le portail Defender.

  UEBA n’a pas besoin d’être activé pour avoir accès à cette table. Toutefois, pour les clients sans UEBA activé, les champs renseignés par les données UEBA ne sont pas visibles ou disponibles.

  Pour plus d’informations, consultez la documentation de la version de repérage avancée de ce tableau.

• Depuis mai 2025, les clients de Microsoft Sentinel dans le portail Microsoft Defenderavec UEBA activécommencent à utiliser une nouvelle version de la version de chasse avancée . This new release includes all the UEBA fields from the Log Analytics version as well as some new fields, and is referred to as the unified version or the unified IdentityInfo table.

  Les clients du portail Defender sans UEBA activés ou sans Microsoft Sentinel continuent d’utiliser la version antérieure de la chasse avancée, sans les champs générés par UEBA.

  Pour plus d’informations sur la version unifiée, consultez IdentityInfo dans la documentation de repérage avancée.

Schema

The table in the following "Log Analytics schema" tab describes the user identity data included in the IdentityInfo table in Log Analytics in the Azure portal.

Si vous intégrez Microsoft Sentinel au portail Defender, sélectionnez l’onglet « Comparer au schéma unifié » pour afficher les modifications susceptibles d’affecter les requêtes dans vos règles de détection des menaces et les chasses.

Schéma Log Analytics

Field name	Type	Description
AccountCloudSID	string	Identificateur de sécurité Microsoft Entra du compte.
AccountCreationTime	datetime	Date à laquelle le compte d’utilisateur a été créé (UTC).
AccountDisplayName	string	Nom d’affichage du compte d’utilisateur.
AccountDomain	string	Nom de domaine du compte d’utilisateur.
AccountName	string	Nom d’utilisateur du compte d’utilisateur.
AccountObjectId	string	ID d’objet Microsoft Entra pour le compte d’utilisateur.
AccountSID	string	Identificateur de sécurité local du compte d’utilisateur.
AccountTenantId	string	ID de locataire Microsoft Entra du compte d’utilisateur.
AccountUPN	string	Nom d’utilisateur principal du compte d’utilisateur.
AdditionalMailAddresses	dynamic	Adresses e-mail supplémentaires de l’utilisateur.
AssignedRoles	dynamic	Les rôles Microsoft Entra auxquels le compte d’utilisateur est attribué. Seuls les rôles intégrés sont pris en charge.
BlastRadius	string	Un calcul basé sur la position de l’utilisateur dans l’arborescence de l’organisation et sur les rôles et autorisations Microsoft Entra de l’utilisateur. Valeurs possibles : Faible, Moyen, Élevé
ChangeSource	string	Source de la dernière modification apportée à l’entité. Possible values: AzureActiveDirectory ActiveDirectory UEBA Watchlist FullSync
City	string	Ville du compte d’utilisateur.
CompanyName	string	Nom de l’entreprise auquel appartient l’utilisateur.
Country	string	Pays/région du compte d’utilisateur.
DeletedDateTime	datetime	Date et heure de suppression de l’utilisateur.
Department	string	Département du compte d’utilisateur.
EmployeeId	string	Identificateur d’employé attribué à l’utilisateur par l’organisation.
GivenName	string	Prénom du compte d’utilisateur.
GroupMembership	dynamic	Groupes d’ID Microsoft Entra où le compte d’utilisateur est membre.
IsAccountEnabled	bool	Indique si le compte d’utilisateur est activé ou non dans Microsoft Entra ID.
JobTitle	string	Poste occupé par le compte d’utilisateur.
MailAddress	string	Adresse e-mail principale du compte d’utilisateur.
Manager	string	Alias du responsable du compte d’utilisateur.
OnPremisesDistinguishedName	string	Nom unique Microsoft Entra ID (DN). Un nom unique est une séquence de noms uniques relatifs (RDN), connectés par des virgules.
Phone	string	Numéro de téléphone du compte d’utilisateur.
RiskLevel	string	Niveau de risque microsoft Entra ID du compte d’utilisateur. Possible values: Low Medium High
RiskLevelDetails	string	Détails concernant le niveau de risque microsoft Entra ID.
RiskState	string	Indication si le compte est à risque maintenant ou si le risque a été corrigé.
SourceSystem	string	Système dans lequel l’utilisateur est géré. Possible values: AzureActiveDirectory ActiveDirectory Hybrid
State	string	État géographique du compte d’utilisateur.
StreetAddress	string	Adresse postale du bureau du compte d’utilisateur.
Surname	string	Nom de l’utilisateur. account.
TenantId	string	ID du locataire de l’utilisateur
TimeGenerated	datetime	Heure à laquelle l’événement a été généré (UTC).
Type	string	Nom de la table.
UserAccountControl	dynamic	Attributs de sécurité du compte d’utilisateur dans le domaine AD. Valeurs possibles (peut contenir plusieurs valeurs) : AccountDisabled HomedirRequired AccountLocked PasswordNotRequired CannotChangePassword EncryptedTextPasswordAllowed TemporaryDuplicateAccount NormalAccount InterdomainTrustAccount WorkstationTrustAccount ServerTrustAccount PasswordNeverExpires MnsLogonAccount SmartcardRequired TrustedForDelegation DelegationNotAllowed UseDesKeyOnly DontRequirePreauthentication PasswordExpired TrustedToAuthenticationForDelegation PartialSecretsAccount UseAesKeys
UserState	string	État actuel du compte d’utilisateur dans Microsoft Entra ID. Possible values: Active Disabled Dormant Lockout
UserStateChangedOn	datetime	Date de la dernière modification de l’état du compte (UTC).
UserType	string	Type d’utilisateur.

Les champs suivants, s’ils existent dans le schéma Log Analytics, doivent être ignorés, car ils ne sont pas utilisés ou pris en charge par Microsoft Sentinel :

• Applications
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• Tags
• UACFlags

Comparer au schéma unifié

Les champs suivants ont été renommés dans la version unifiée. Par conséquent, si vous intégrez Microsoft Sentinel au portail Defender, vérifiez vos requêtes pour connaître les références à ces champs et mettez-les à jour si nécessaire.

Nom du champ Log Analytics	Nom du champ de schéma unifié
AccountCloudSID	CloudSid
AccountCreationTime	CreatedDateTime
AccountSID	OnPremSid
AccountTenantId	TenantId
AccountUPN	AccountUpn
AdditionalMailAddresses	OtherMailAddresses
MailAddress	EmailAddress
OnPremisesAccountObjectId	OnPremObjectId
OnPremisesDistinguishedName	DistinguishedName
RiskState	RiskStatus
SAMAccountName	AccountName
SourceSystem	IdentityEnvironment
StreetAddress	Address
Type	IdentityType
UserType	TenantMembershipType

Les noms de champs suivants n’existent plus dans la version unifiée. Veillez à les supprimer des requêtes qui les référencent.

• TenantID—this field does not contain the same information as the TenantId field that replaces the AccountTenantId field.
• UserState
• UserStateChangedOn

Les champs suivants, s’ils existent dans le schéma Log Analytics, doivent être ignorés, car ils ne sont pas utilisés ou pris en charge par Microsoft Sentinel :

• Applications
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• Tags
• UACFlags

Ces champs n’existent pas du tout dans le nouveau schéma unifié.

Next steps

Dans ce document, nous avons décrit le schéma de la table d’analyse du comportement des entités Microsoft Sentinel.

• En savoir plus sur l’analytique du comportement des entités.
• Activez UEBA dans Microsoft Sentinel.
• Placez UEBA à utiliser dans vos enquêtes.