Microsoft Sentinel UEBA-referencia
Ez a referenciacikk a Microsoft Sentinel User and Entity Behavior Analytics szolgáltatásának bemeneti adatforrását sorolja fel. Az UEBA által az entitásokhoz hozzáadott bővítéseket is ismerteti, amelyek a riasztások és incidensek szükséges kontextusát biztosítják.
Fontos
A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.
UEBA-adatforrások
Ezek azok az adatforrások, amelyekből az UEBA-motor adatokat gyűjt és elemez az ML-modellek betanítása és a felhasználók, eszközök és egyéb entitások viselkedési alapkonfigurációinak beállítása érdekében. Az UEBA ezután ezekből a forrásokból származó adatokat vizsgálja meg, hogy megtalálja az anomáliákat és a glean elemzéseket.
| Adatforrás | esemény |
|---|---|
| Microsoft Entra ID Bejelentkezési naplók |
Mind |
| Microsoft Entra ID Naplók |
ApplicationManagement DirectoryManagement GroupManagement Eszköz RoleManagement UserManagementCategory |
| Azure-tevékenységnaplók | Engedélyezés AzureActiveDirectory Számlázás Compute Felhasználás KeyVault Eszközök Network (Hálózat) Források Intune Logika Sql Tárolás |
| Windows biztonság események WindowsEvent vagy SecurityEvent |
4624: Sikeresen bejelentkezett egy fiók 4625: Egy fiók nem tudott bejelentkezni 4648: Explicit hitelesítő adatokkal kísérelték meg a bejelentkezést 4672: Az új bejelentkezéshez rendelt különleges jogosultságok 4688: Új folyamat jött létre |
UEBA-bővítések
Ez a szakasz ismerteti a Microsoft Sentinel-entitásokhoz hozzáadott UEBA-bővítéseket, valamint azok részleteit, amelyekkel a biztonsági incidensek kivizsgálásait összpontosíthatja és élesítheti. Ezek a bővítések entitásoldalakon jelennek meg, és az alábbi Log Analytics-táblákban találhatók, amelyek tartalma és sémája az alábbiakban látható:
A BehaviorAnalytics tábla tárolja az UEBA kimeneti adatait.
A BehaviorAnalytics tábla alábbi három dinamikus mezőjét az entitásbővítések dinamikus mezőinek alábbi szakasza ismerteti.
A Felhasználók Elemzések és eszközök Elemzések mezők az Active Directory/Microsoft Entra ID és a Microsoft Threat Intelligence forrásaiból származó entitásadatokat tartalmazzák.
A Tevékenység Elemzések mező a Microsoft Sentinel entitás-viselkedéselemzése által létrehozott viselkedési profilok alapján tartalmaz entitásadatokat.
A felhasználói tevékenységeket a rendszer minden használatkor dinamikusan összeállított alapkonfiguráció alapján elemzi. Minden tevékenységnek van egy meghatározott visszatekintési időszaka, amelyből a dinamikus alapkonfiguráció származik. A visszatekintési időszak a tábla Alapterv oszlopában van megadva.
Az IdentityInfo tábla tárolja az identitásadatokat az UEBA-ra szinkronizálva a Microsoft Entra-azonosítóból (és a Microsoft Defender for Identity-en keresztüli helyi Active Directory).
BehaviorAnalytics tábla
Az alábbi táblázat a Microsoft Sentinel minden entitásadatlapján megjelenített viselkedéselemzési adatokat ismerteti.
| Mező | Típus | Leírás |
|---|---|---|
| TenantId | húr | A bérlő egyedi azonosítószáma. |
| SourceRecordId | húr | Az EBA-esemény egyedi azonosítószáma. |
| TimeGenerated | dátum/idő | A tevékenység előfordulásának időbélyege. |
| TimeProcessed | dátum/idő | A tevékenység EBA-motor általi feldolgozásának időbélyege. |
| ActivityType | húr | A tevékenység magas szintű kategóriája. |
| ActionType | húr | A tevékenység normalizált neve. |
| UserName | húr | A tevékenységet kezdeményező felhasználó felhasználóneve. |
| UserPrincipalName | húr | A tevékenységet kezdeményező felhasználó teljes felhasználóneve. |
| EventSource | húr | Az eredeti eseményt biztosító adatforrás. |
| SourceIPAddress | húr | Az IP-cím, amelyről a tevékenység elindult. |
| SourceIPLocation | húr | Az az ország, ahonnan a tevékenységet kezdeményezték, IP-címmel bővítve. |
| SourceDevice | húr | A tevékenységet kezdeményező eszköz állomásneve. |
| DestinationIPAddress | húr | A tevékenység céljának IP-címe. |
| DestinationIPLocation | húr | A tevékenység célországa, IP-címmel kiegészítve. |
| DestinationDevice | húr | A céleszköz neve. |
| Felhasználók Elemzések | dinamikus | Az érintett felhasználók környezetfüggő bővítése (részletek alább). |
| Eszközök Elemzések | dinamikus | Az érintett eszközök környezetfüggő bővítése (részletek alább). |
| Tevékenység Elemzések | dinamikus | A tevékenység környezeti elemzése a profilkészítés alapján (részletek alább). |
| InvestigationPriority | egész | Az anomália pontszáma 0 és 10 között (0=jóindulatú, 10=erősen rendellenes). |
Entitások dinamikus mezőinek bővítése
Feljegyzés
Az ebben a szakaszban található táblázatokBan a Bővítés név oszlopa két információsort jelenít meg.
Felhasználók Elemzések mező
Az alábbi táblázat a BehaviorAnalytics tábla Felhasználók Elemzések dinamikus mezőjében szereplő bővítéseket ismerteti:
| Bővítés neve | Leírás | Mintaérték |
|---|---|---|
| Fiók megjelenítendő neve (AccountDisplayName) |
A felhasználó fiókmegjelenítési neve. | Rendszergazda, Hayden Cook |
| Fióktartomány (AccountDomain) |
A felhasználó fióktartományneve. | |
| Fiókobjektum azonosítója (AccountObjectID) |
A felhasználó fiókobjektum-azonosítója. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Robbanási sugár (BlastRadius) |
A robbanási sugár kiszámítása több tényező alapján történik: a felhasználó elhelyezkedése a szervezeti fában, valamint a felhasználó Microsoft Entra-szerepkörei és engedélyei. A felhasználónak a BlastRadiushoz tartozó Microsoft Entra-azonosítóban kell kitöltenie a Manager tulajdonságot. | Alacsony, Közepes, Magas |
| Alvó fiók (IsDormantAccount) |
A fiókot az elmúlt 180 napban nem használták. | Igaz, Hamis |
| Helyi rendszergazda (IsLocal Rendszergazda) |
A fiók helyi rendszergazdai jogosultságokkal rendelkezik. | Igaz, Hamis |
| Új fiók (IsNewAccount) |
A fiók az elmúlt 30 napban jött létre. | Igaz, Hamis |
| Helyszíni SID (OnPremisesSID) |
A művelethez kapcsolódó felhasználó helyszíni BIZTONSÁGI azonosítója. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Eszközök Elemzések mező
Az alábbi táblázat a BehaviorAnalytics tábla Eszközök Elemzések dinamikus mezőjében szereplő bővítéseket ismerteti:
| Bővítés neve | Leírás | Mintaérték |
|---|---|---|
| Böngésző (Böngésző) |
A műveletben használt böngésző. | Edge, Chrome |
| Eszközcsalád (DeviceFamily) |
A műveletben használt eszközcsalád. | Windows |
| Eszköz típusa (DeviceType) |
A műveletben használt ügyféleszköz típusa | Asztali |
| ISP (INTERNETSZOLGÁLTATÓ) |
A műveletben használt internetszolgáltató. | |
| Operációs rendszer (OperatingSystem) |
A műveletben használt operációs rendszer. | Windows 10 |
| Fenyegetés intel jelző leírása (ThreatIntelIndicatorDescription) |
A műveletben használt IP-címről feloldott megfigyelt fenyegetésjelző leírása. | A gazdagép a botnet tagja: azorult |
| Fenyegetés intel jelző típusa (ThreatIntelIndicatorType) |
A műveletben használt IP-címről feloldott fenyegetésjelző típusa. | Botnet, C2, CryptoMining, Darknet, Ddos, MalwareUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Felhasználói ügynök (UserAgent) |
A műveletben használt felhasználói ügynök. | Microsoft Azure Graph Ügyfélkódtár 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Felhasználói ügynök család (UserAgentFamily) |
A műveletben használt felhasználói ügynökcsalád. | Chrome, Edge, Firefox |
Tevékenység Elemzések mező
Az alábbi táblázatok a BehaviorAnalytics tábla Tevékenység Elemzések dinamikus mezőjében szereplő bővítéseket ismertetik:
Végrehajtott művelet
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| A felhasználó első műveletének végrehajtása (FirstTimeUserPerformedAction) |
180 | A műveletet a felhasználó először hajtotta végre. | Igaz, Hamis |
| A felhasználó által ritkán végrehajtott művelet (ActionUncommonlyPerformedByUser) |
10 | A műveletet a felhasználó gyakran nem hajtja végre. | Igaz, Hamis |
| A társviszonyban nem gyakran végrehajtott művelet (ActionUncommonlyPerformedAmongPeers) |
180 | A műveletet gyakran nem hajtják végre a felhasználók társviszonyai között. | Igaz, Hamis |
| Első alkalommal végrehajtott művelet a bérlőben (FirstTimeActionPerformedInTenant) |
180 | A műveletet a szervezet bármely tagja először hajtotta végre. | Igaz, Hamis |
| A bérlőben ritkán végrehajtott művelet (ActionUncommonlyPerformedInTenant) |
180 | A műveletet gyakran nem hajtják végre a szervezetben. | Igaz, Hamis |
Használt alkalmazás
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal használt alkalmazás (FirstTimeUserUsedApp) |
180 | A felhasználó először használta az alkalmazást. | Igaz, Hamis |
| A felhasználó által gyakran használt alkalmazás (AppUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az alkalmazást. | Igaz, Hamis |
| A társviszonyban nem gyakran használt alkalmazás (AppUncommonlyUsedAmongPeers) |
180 | Az alkalmazást gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
| Első alkalommal figyelték meg az alkalmazást a bérlőben (FirstTimeAppObservedInTenant) |
180 | Az alkalmazást először figyelték meg a szervezetben. | Igaz, Hamis |
| A bérlőben gyakran használt alkalmazás (AppUncommonlyUsedInTenant) |
180 | Az alkalmazást gyakran nem használják a szervezetben. | Igaz, Hamis |
Használt böngésző
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal, amikor a felhasználó böngészőn keresztül csatlakozik (FirstTimeUser Csatlakozás edViaBrowser) |
30 | A böngészőt a felhasználó először figyelte meg. | Igaz, Hamis |
| A felhasználó által gyakran használt böngésző (BrowserUncommonlyUsedByUser) |
10 | A böngészőt általában nem használja a felhasználó. | Igaz, Hamis |
| A társviszonyban nem gyakran használt böngésző (BrowserUncommonlyUsedAmongPeers) |
30 | A böngészőt gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
| Első alkalommal megfigyelt böngésző a bérlőben (FirstTimeBrowserObservedInTenant) |
30 | A böngészőt először figyelték meg a szervezetben. | Igaz, Hamis |
| A bérlőben gyakran használt böngésző (BrowserUncommonlyUsedInTenant) |
30 | A böngészőt gyakran nem használják a szervezetben. | Igaz, Hamis |
Ország, amelyről csatlakozik
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal csatlakozik a felhasználó az országból (FirstTimeUser Csatlakozás edFromCountry) |
90 | Az IP-cím alapján feloldott földrajzi helyet a felhasználó első alkalommal kapcsolta össze. | Igaz, Hamis |
| A felhasználó által nem gyakran csatlakoztatott ország (CountryUncommonly Csatlakozás edFromByUser) |
10 | Az IP-cím alapján feloldott földrajzi helyet a felhasználó általában nem csatlakoztatja. | Igaz, Hamis |
| Nem ritkán a társviszonyban álló országok (CountryUncommonly Csatlakozás edFromAmongPeers) |
90 | Az IP-cím alapján feloldott földrajzi hely általában nem kapcsolódik a felhasználó társviszonyaihoz. | Igaz, Hamis |
| Első alkalommal észlelt országkapcsolat a bérlőben (FirstTime Csatlakozás ionFromCountryObservedInTenant) |
90 | Az országot először a szervezet bármely tagja kapcsolta össze. | Igaz, Hamis |
| Az ország nem gyakran csatlakozik a bérlőhöz (CountryUncommonly Csatlakozás edFromInTenant) |
90 | Az IP-cím alapján feloldott földrajzi hely általában nem kapcsolódik a szervezethez. | Igaz, Hamis |
Csatlakozáshoz használt eszköz
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal csatlakozik a felhasználó az eszközről (FirstTimeUser Csatlakozás edFromDevice) |
30 | A forráseszközt először a felhasználó csatlakoztatta. | Igaz, Hamis |
| A felhasználó által gyakran használt eszköz (DeviceUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az eszközt. | Igaz, Hamis |
| A társviszonyban nem gyakran használt eszköz (DeviceUncommonlyUsedAmongPeers) |
180 | Az eszközt gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
| Első alkalommal figyelték meg az eszközt a bérlőben (FirstTimeDeviceObservedInTenant) |
30 | Az eszközt először figyelték meg a szervezetben. | Igaz, Hamis |
| A bérlőben gyakran használt eszköz (DeviceUncommonlyUsedInTenant) |
180 | Az eszközt gyakran nem használják a szervezetben. | Igaz, Hamis |
Egyéb eszközhöz kapcsolódó
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal bejelentkezett felhasználó az eszközre (FirstTimeUserLoggedOnToDevice) |
180 | A céleszközt a felhasználó először csatlakoztatta. | Igaz, Hamis |
| A bérlőben gyakran használt eszközcsalád (DeviceFamilyUncommonlyUsedInTenant) |
30 | Az eszközcsaládot gyakran nem használják a szervezetben. | Igaz, Hamis |
Csatlakozáshoz használt internetszolgáltató
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal csatlakozik a felhasználó az internetszolgáltatón keresztül (FirstTimeUser Csatlakozás edViaISP) |
30 | A felhasználó először figyelte meg az internetszolgáltatót. | Igaz, Hamis |
| A felhasználó által gyakran használt internetszolgáltató (ISPUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az internetszolgáltatót. | Igaz, Hamis |
| A társviszonyban nem gyakran használt internetszolgáltató (ISPUncommonlyUsedAmongPeers) |
30 | Az internetszolgáltatót gyakran nem használják a felhasználói társviszonyok között. | Igaz, Hamis |
| Első kapcsolat internetszolgáltatón keresztül a bérlőben (FirstTime Csatlakozás ionViaISPInTenant) |
30 | Az internetszolgáltatót először figyelték meg a szervezetben. | Igaz, Hamis |
| A bérlőben gyakran használt internetszolgáltató (ISPUncommonlyUsedInTenant) |
30 | Az internetszolgáltatót gyakran nem használják a szervezetben. | Igaz, Hamis |
Elért erőforrás
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| Első alkalommal, amikor a felhasználó hozzáfért az erőforráshoz (FirstTimeUserAccessedResource) |
180 | A felhasználó először fért hozzá az erőforráshoz. | Igaz, Hamis |
| A felhasználó által nem gyakran elért erőforrás (ResourceUncommonlyAccessedByUser) |
10 | Az erőforrást gyakran nem éri el a felhasználó. | Igaz, Hamis |
| A társviszonyban nem gyakran elérhető erőforrás (ResourceUncommonlyAccessedAmongPeers) |
180 | Az erőforrás gyakran nem érhető el a felhasználói társviszonyok között. | Igaz, Hamis |
| Első alkalommal elért erőforrás a bérlőben (FirstTimeResourceAccessedInTenant) |
180 | Az erőforráshoz először a szervezet bármely tagja fért hozzá. | Igaz, Hamis |
| Az erőforrás nem gyakran érhető el a bérlőben (ResourceUncommonlyAccessedInTenant) |
180 | Az erőforrás gyakran nem érhető el a szervezetben. | Igaz, Hamis |
Egyéb
| Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
|---|---|---|---|
| A felhasználó legutóbbi műveletének időpontja (LastTimeUserPerformedAction) |
180 | Legutóbb, amikor a felhasználó ugyanezt a műveletet hajtotta végre. | <Időbélyeg> |
| Hasonló műveletet korábban nem hajtottak végre (SimilarActionWasn'tPerformedInThePast) |
30 | A felhasználó nem hajtott végre műveletet ugyanabban az erőforrás-szolgáltatóban. | Igaz, Hamis |
| Forrás IP-címe (SourceIPLocation) |
N/A | Az ország a művelet forrás IP-címéről oldódott fel. | [Surrey, Anglia] |
| Nem gyakori nagy mennyiségű művelet (Nem gyakorihighVolumeOfOperations) |
7 | Egy felhasználó hasonló műveleteket hajtott végre ugyanazon a szolgáltatón belül | Igaz, Hamis |
| A Microsoft Entra feltételes hozzáférési hibáinak szokatlan száma (UnusualNumberOfAADConditionalAccessFailures) |
5 | Szokatlan számú felhasználó nem tudott hitelesítést végezni a feltételes hozzáférés miatt | Igaz, Hamis |
| Szokatlan számú eszköz hozzáadva (UnusualNumberOfDevicesAdded) |
5 | A felhasználó szokatlan számú eszközt adott hozzá. | Igaz, Hamis |
| Szokatlan számú törölt eszköz (UnusualNumberOfDevicesDeleted) |
5 | A felhasználó szokatlan számú eszközt törölt. | Igaz, Hamis |
| Szokatlan számú felhasználó van hozzáadva a csoporthoz (UnusualNumberOfUsersAddedToGroup) |
5 | Egy felhasználó szokatlan számú felhasználót adott hozzá egy csoporthoz. | Igaz, Hamis |
IdentityInfo tábla
Miután engedélyezte az UEBA-t a Microsoft Sentinel-munkaterületen, a Microsoft Entra-azonosító adatai szinkronizálódnak a Log Analytics IdentityInfo táblájával a Microsoft Sentinelben való használatra. A Microsoft Entra-azonosítóból szinkronizált felhasználói adatokat beágyazhatja az elemzési szabályokba, hogy az elemzések a használati eseteknek megfelelően javuljanak, és csökkenjenek a hamis pozitív értékek.
Bár a kezdeti szinkronizálás eltarthat néhány napig, az adatok teljes szinkronizálása után:
A Microsoft Entra ID-ban a felhasználói profilok módosításai 15 percen belül frissülnek az IdentityInfo táblában.
A rendszer naponta szinkronizálja a csoport- és szerepköradatokat az IdentityInfo tábla és a Microsoft Entra ID között.
A Microsoft Sentinel 14 naponta újra szinkronizálódik a teljes Microsoft Entra-azonosítóval, hogy az elavult rekordok teljes mértékben frissüljenek.
Az IdentityInfo tábla alapértelmezett megőrzési ideje 30 nap.
Feljegyzés
Jelenleg csak a beépített szerepkörök támogatottak.
A törölt csoportok adatai, ahol egy felhasználót eltávolítottak egy csoportból, jelenleg nem támogatottak.
Az IdentityInfo tábla két verziója létezik: az egyik a Microsoft Sentinelt szolgálja ki, a Log Analytics sémában, a másik a Microsoft Defender portált a Microsoft Defender for Identityen keresztül, az úgynevezett Speciális vadászati sémában. A tábla mindkét verzióját a Microsoft Entra ID táplálja, de a Log Analytics-verzió hozzáadott néhány mezőt.
A Defender portál egyesített biztonsági üzemeltetési platformja a tábla Speciális vadászati verzióját használja, így a tábla verziói közötti különbségek minimalizálása érdekében a Log Analytics-verzió legtöbb egyedi mezőjét fokozatosan hozzáadjuk az Advanced hunting verzióhoz is. Függetlenül attól, hogy melyik portálon használja a Microsoft Sentinelt, szinte minden információhoz hozzáférése lesz, bár előfordulhat, hogy a verziók közötti szinkronizálás kis idő késéssel jár.
Az alábbi táblázat az Azure Portal Log Analytics identityInfo táblájában szereplő felhasználói identitásadatokat ismerteti. A negyedik oszlop a tábla Speciális keresési verziójának megfelelő mezőket jeleníti meg, amelyeket a Microsoft Sentinel a Defender portálon használ. A félkövér betűs mezők neve a Speciális keresési sémában más, mint a Microsoft Sentinel Log Analytics-verzióban.
| Mezőnév a következőben: Log Analytics-séma |
Típus | Leírás | Mezőnév a következőben: Speciális vadászati séma |
|---|---|---|---|
| AccountCloudSID | húr | A fiók Microsoft Entra biztonsági azonosítója. | CloudSid |
| AccountCreationTime | dátum/idő | A felhasználói fiók létrehozásának dátuma (UTC). | CreatedDateTime |
| AccountDisplayName | húr | A felhasználói fiók megjelenítendő neve. | AccountDisplayName |
| AccountDomain | húr | A felhasználói fiók tartományneve. | AccountDomain |
| Accountname | húr | A felhasználói fiók felhasználóneve. | AccountName |
| AccountObjectId | húr | A felhasználói fiók Microsoft Entra objektumazonosítója. | AccountObjectId |
| AccountSID | húr | A felhasználói fiók helyszíni biztonsági azonosítója. | AccountSID |
| AccountTenantId | húr | A felhasználói fiók Microsoft Entra-bérlőazonosítója. | -- |
| AccountUPN | húr | A felhasználói fiók egyszerű neve. | AccountUPN |
| AdditionalMailAddresses | dinamikus | A felhasználó további e-mail-címei. | -- |
| AssignedRoles | dinamikus | Az a Microsoft Entra szerepkör, amelyhez a felhasználói fiók hozzá van rendelve. | AssignedRoles |
| BlastRadius | húr | Számítás a felhasználó szervezeti fában elfoglalt helye, valamint a felhasználó Microsoft Entra-szerepkörei és engedélyei alapján. Lehetséges értékek: Alacsony, Közepes, Magas |
-- |
| ChangeSource | húr | Az entitás legutóbbi módosításának forrása. Lehetséges értékek: |
ChangeSource |
| Cégnév | A vállalat neve, amelyhez a felhasználó tartozik. | -- | |
| Város | húr | A felhasználói fiók városa. | Város |
| Country | húr | A felhasználói fiók országa. | Ország |
| DeletedDateTime | dátum/idő | A felhasználó törlésének dátuma és időpontja. | -- |
| Osztály | húr | A felhasználói fiók részlege. | Részleg |
| GivenName | húr | A felhasználói fiók utóneve. | GivenName |
| Csoporttagság | dinamikus | Microsoft Entra-csoportok, ahol a felhasználói fiók tag. | -- |
| IsAccountEnabled | logikai | Annak jelzése, hogy a felhasználói fiók engedélyezve van-e a Microsoft Entra-azonosítóban. | IsAccountEnabled |
| JobTitle | húr | A felhasználói fiók beosztása. | Munkakör |
| MailAddress | húr | A felhasználói fiók elsődleges e-mail-címe. | E-mailcím |
| Manager | húr | A felhasználói fiók kezelői aliasa. | Kezelő |
| OnPremisesDistinguishedName | húr | A Microsoft Entra ID megkülönböztető neve (DN). A megkülönböztető név a relatív megkülönböztető nevek (RDN) sorozata, amelyet vesszők kapcsolnak össze. | DistinguishedName |
| Telefon | húr | A felhasználói fiók telefonszáma. | Telefonszám |
| SourceSystem | húr | Az a rendszer, amelyben a felhasználót kezelik. Lehetséges értékek: |
SourceProvider |
| State | húr | A felhasználói fiók földrajzi állapota. | Állapot |
| StreetAddress | húr | A felhasználói fiók irodai címe. | Cím |
| Vezetéknév | húr | A felhasználó vezetékneve. fiókot. | Vezetéknév |
| TenantId | húr | A felhasználó bérlőazonosítója. | -- |
| TimeGenerated | dátum/idő | Az esemény létrehozásának időpontja (UTC). | Időbélyeg |
| Típus | húr | A tábla neve. | -- |
| UserAccountControl | dinamikus | Az AD-tartományban lévő felhasználói fiók biztonsági attribútumai. Lehetséges értékek (egynél több is lehet): |
-- |
| UserState | húr | A felhasználói fiók aktuális állapota a Microsoft Entra-azonosítóban. Lehetséges értékek: |
-- |
| UserStateChangedOn | dátum/idő | A fiók állapotának legutóbbi módosításának dátuma (UTC). | -- |
| UserType | húr | A felhasználó típusa. | -- |
Következő lépések
Ez a dokumentum a Microsoft Sentinel entitás viselkedéselemzési táblázatsémát ismertette.
- További információ az entitás viselkedéselemzéséről.
- Engedélyezze az UEBA-t a Microsoft Sentinelben.
- Használja az UEBA-t a vizsgálatokhoz.