Referensi UEBA Microsoft Sentinel
Artikel referensi ini mencantumkan sumber data input untuk layanan Analitik Perilaku Pengguna dan Entitas di Microsoft Sentinel. Ini juga menjelaskan pengayaan yang ditambahkan UEBA ke entitas, memberikan konteks yang diperlukan untuk pemberitahuan dan insiden.
Penting
Microsoft Azure Sentinel tersedia sebagai bagian dari pratinjau publik untuk platform operasi keamanan terpadu di portal Pertahanan Microsoft. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.
Sumber data UEBA
Ini adalah sumber data tempat mesin UEBA mengumpulkan dan menganalisis data untuk melatih model ML-nya dan mengatur garis besar perilaku untuk pengguna, perangkat, dan entitas lainnya. UEBA kemudian melihat data dari sumber-sumber ini untuk menemukan anomali dan wawasan glean.
| Sumber data | Peristiwa |
|---|---|
| Microsoft Entra ID Log rincian masuk |
Semua |
| Microsoft Entra ID Log audit |
PengelolaanAplikasi PengelolaanDirektori PengelolaanGrup Perangkat PengelolaanPeran UserManagementCategory |
| Log Aktivitas Azure | Authorization AzureActiveDirectory Billing Compute Consumption Az.KeyVault Perangkat Jaringan Sumber Intune Logika Sql Penyimpanan |
| Peristiwa Keamanan Windows WindowsEvent atau SecurityEvent |
4624: Akun berhasil masuk 4625: Akun gagal masuk 4648: Masuk dicoba menggunakan kredensial eksplisit 4672: Hak spesial tertentu ditetapkan ke masuk baru 4688: Proses baru telah dibuat |
Pengayaan UEBA
Bagian ini menjelaskan pengayaan yang ditambahkan UEBA ke entitas Microsoft Sentinel, bersama dengan semua detailnya, yang dapat Anda gunakan untuk memfokuskan dan mempertajam penyelidikan insiden keamanan Anda. Pengayaan ini ditampilkan di halaman entitas dan dapat ditemukan di tabel Analitik Log berikut, konten dan skema yang tercantum di bawah ini:
Tabel BehaviorAnalytics adalah tempat informasi output UEBA disimpan.
Tiga bidang dinamis berikut dari tabel BehaviorAnalytics dijelaskan dalam bagian bidang dinamis pengayaan entitas di bawah.
Bidang UsersInsights dan DevicesInsights berisi informasi entitas dari Direktori Aktif/ID Microsoft Entra dan sumber Inteligensi Ancaman Microsoft.
Bidang ActivityInsights berisi informasi entitas berdasarkan profil perilaku yang dibuat oleh analitik perilaku entitas Microsoft Azure Sentinel.
Aktivitas pengguna dianalisis berdasarkan garis dasar yang dikompilasi secara dinamis setiap kali digunakan. Setiap aktivitas memiliki periode lookback yang ditentukan dari mana garis besar dinamis diturunkan. Periode lookback ditentukan di kolom Garis besar dalam tabel ini.
Tabel IdentityInfo adalah tempat informasi identitas disinkronkan ke UEBA dari ID Microsoft Entra (dan dari Active Directory lokal melalui Microsoft Defender untuk Identitas) disimpan.
Tabel BehaviorAnalytics
Tabel berikut menjelaskan data analitik perilaku yang ditampilkan di setiap halaman detail entitas di Microsoft Azure Sentinel.
| Bidang | Jenis | Deskripsi |
|---|---|---|
| TenantId | string | Nomor ID unik penyewa. |
| SourceRecordId | string | Nomor ID unik peristiwa EBA. |
| TimeGenerated | datetime | Tanda waktu terjadinya aktivitas. |
| TimeProcessed | datetime | Tanda waktu pemrosesan aktivitas oleh mesin EBA. |
| ActivityType | string | Kategori aktivitas tingkat tinggi. |
| ActionType | string | Nama aktivitas yang dinormalkan. |
| UserName | string | Nama pengguna dari pengguna yang memulai aktivitas. |
| UserPrincipalName | string | Nama pengguna lengkap dari pengguna yang memulai aktivitas. |
| EventSource | string | Sumber data yang menyediakan peristiwa asli. |
| SourceIPAddress | string | Alamat IP tempat aktivitas dimulai. |
| SourceIPLocation | string | Negara tempat aktivitas dimulai, diperkaya dari alamat IP. |
| SourceDevice | string | Nama host perangkat yang memulai aktivitas. |
| DestinationIPAddress | string | Alamat IP dari target aktivitas. |
| DestinationIPLocation | string | Negara tujuan kegiatan, diperkaya dari alamat IP. |
| DestinationDevice | string | Nama perangkat target. |
| UsersInsights | dinamis | Pengayaan kontekstual dari pengguna yang terlibat (detail di bawah). |
| DevicesInsights | dinamis | Pengayaan kontekstual dari perangkat yang terlibat (detail di bawah). |
| ActivityInsights | dinamis | Analisis kontekstual aktivitas berdasarkan pembuatan profil kami (detail di bawah). |
| InvestigationPriority | int | Skor anomali, antara 0-10 (0=tidak berbahaya, 10=anomali sangat tinggi). |
Bidang dinamis pengayaan entitas
Catatan
Kolom Nama pengayaan di semua tabel bidang pengayaan entitas menampilkan dua baris informasi.
- Yang pertama, dalam tebal, adalah "nama ramah" pengayaan.
- Kedua (dalam huruf miring dan tanda kurung) kedua adalah nama bidang pengayaan seperti yang disimpan dalam tabel Analisis Perilaku.
Bidang UsersInsights
Tabel berikut menjelaskan pengayaan yang ditampilkan dalam bidang dinamis UsersInsights di tabel BehaviorAnalytics:
| Nama pengayaan | Deskripsi | Sampel nilai |
|---|---|---|
| Nama tampilan akun (AccountDisplayName) |
Nama tampilan akun pengguna. | Admin, Hayden Cook |
| Domain akun (AccountDomain) |
Nama domain akun pengguna. | |
| ID objek akun (AccountObjectID) |
ID objek akun pengguna. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Radius sebaran (BlastRadius) |
Radius ledakan dihitung berdasarkan beberapa faktor: posisi pengguna di pohon org, dan peran dan izin Microsoft Entra pengguna. Pengguna harus memiliki properti Manajer yang diisi di ID Microsoft Entra agar BlastRadius dihitung. | Rendah, Sedang, Tinggi |
| Adalah akun dorman (IsDormantAccount) |
Akun tersebut belum digunakan selama 180 hari terakhir. | True, False |
| Adalah admin lokal (IsLocalAdmin) |
Akun ini memiliki hak administrator lokal. | True, False |
| Adalah akun baru (IsNewAccount) |
Akun dibuat dalam 30 hari terakhir. | True, False |
| SID lokal (OnPremisesSID) |
SID lokal pengguna yang terkait dengan tindakan. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Bidang DevicesInsights
Tabel berikut menjelaskan pengayaan yang ditampilkan dalam bidang dinamis DevicesInsights di tabel BehaviorAnalytics:
| Nama pengayaan | Deskripsi | Sampel nilai |
|---|---|---|
| Browser (Browser) |
Browser yang digunakan dalam tindakan. | Edge, Chrome |
| Kelompok perangkat (DeviceFamily) |
Rangkaian perangkat yang digunakan dalam aksi. | Windows |
| Jenis perangkat (DeviceType) |
Jenis perangkat klien yang digunakan dalam tindakan | Desktop |
| ISP (ISP) |
Penyedia layanan internet yang digunakan dalam tindakan tersebut. | |
| Sistem operasi (OperatingSystem) |
Sistem operasi yang digunakan dalam tindakan. | Windows 10 |
| Deskripsi indikator ancaman intel (ThreatIntelIndicatorDescription) |
Deskripsi indikator ancaman yang diamati diselesaikan dari alamat IP yang digunakan dalam tindakan. | Hostnya adalah anggota botnet: azorult |
| Jenis indikator intel ancaman (ThreatIntelIndicatorType) |
Jenis indikator ancaman yang diselesaikan dari alamat IP yang digunakan dalam tindakan. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proksi, PUA, Daftar tonton |
| Agen pengguna (UserAgent) |
Agen pengguna yang digunakan dalam tindakan. | Microsoft Azure Graph Client Library 1.0, ​Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Rangkaian agen pengguna (UserAgentFamily) |
Rangkaian pengguna yang digunakan dalam tindakan. | Chrome, Edge, Firefox |
Bidang ActivityInsights
Tabel berikut menjelaskan pengayaan yang ditampilkan dalam bidang dinamis ActivityInsights di tabel BehaviorAnalytics:
Tindakan yang dilakukan
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pertama kali pengguna melakukan tindakan (FirstTimeUserPerformedAction) |
180 | Tindakan ini dilakukan untuk pertama kalinya oleh pengguna. | True, False |
| Action uncommonly performed by user (ActionUncommonlyPerformedByUser) |
10 | Tindakan ini tidak biasanya dilakukan oleh pengguna. | True, False |
| Tindakan jarang dilakukan di antara serekan (ActionUncommonlyPerformedAmongPeers) |
180 | Tindakan ini tidak biasanya dilakukan di antara serekan pengguna. | True, False |
| Tindakan pertama kali dilakukan di penyewa (FirstTimeActionPerformedInTenant) |
180 | Tindakan itu dilakukan untuk pertama kalinya oleh siapa pun dalam organisasi. | True, False |
| Tindakan jarang dilakukan di penyewa (ActionUncommonlyPerformedInTenant) |
180 | Tindakan ini tidak biasanya dilakukan dalam organisasi. | True, False |
Aplikasi yang digunakan
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pengguna pertama kali menggunakan aplikasi (FirstTimeUserUsedApp) |
180 | Aplikasi ini pertama kali digunakan oleh pengguna. | True, False |
| Aplikasi jarang digunakan oleh pengguna (AppUncommonlyUsedByUser) |
10 | Aplikasi ini tidak biasanya digunakan oleh pengguna. | True, False |
| Aplikasi jarang digunakan di antara serekan (AppUncommonlyUsedAmongPeers) |
180 | Aplikasi ini tidak biasanya digunakan di antara serekan pengguna. | True, False |
| Aplikasi pertama kali diamati di penyewa (FirstTimeAppObservedInTenant) |
180 | Aplikasi ini diamati untuk pertama kalinya dalam organisasi. | True, False |
| Aplikasi jarang digunakan di penyewa (AppUncommonlyUsedInTenant) |
180 | Aplikasi ini tidak biasanya digunakan dalam organisasi. | True, False |
Browser yang digunakan
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pertama kali pengguna tersambung melalui browser (FirstTimeUserConnectedViaBrowser) |
30 | Browser diamati untuk pertama kalinya oleh pengguna. | True, False |
| Browser jarang digunakan oleh pengguna (BrowserUncommonlyUsedByUser) |
10 | Browser ini tidak biasanya digunakan oleh pengguna. | True, False |
| Browser jarang digunakan di antara serekan (BrowserUncommonlyUsedAmongPeers) |
30 | Browser ini tidak biasanya digunakan di antara serekan pengguna. | True, False |
| Browser pertama kali diamati di penyewa (FirstTimeBrowserObservedInTenant) |
30 | Browser ini diamati untuk pertama kalinya dalam organisasi. | True, False |
| Browser jarang digunakan di penyewa (BrowserUncommonlyUsedInTenant) |
30 | Browser ini tidak biasanya digunakan dalam organisasi. | True, False |
Negara yang tersambung
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pertama kali pengguna tersambung dari negara (FirstTimeUserConnectedFromCountry) |
90 | Lokasi geografis, seperti yang diselesaikan dari alamat IP, tersambung untuk pertama kalinya oleh pengguna. | True, False |
| Negara jarang disambungkan oleh pengguna (CountryUncommonlyConnectedFromByUser) |
10 | Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan oleh pengguna. | True, False |
| Negara jarang tersambung dari sesama serekan (CountryUncommonlyConnectedFromAmongPeers) |
90 | Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan dari antara serekan pengguna. | True, False |
| Sambungan pertama kali dari negara yang diamati di penyewa (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Negara itu tersambung dari untuk pertama kalinya oleh siapa pun dalam organisasi. | True, False |
| Negara jarang tersambung dari dalam penyewa (CountryUncommonlyConnectedFromInTenant) |
90 | Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan dari dalam organisasi. | True, False |
Perangkat yang digunakan untuk menyambungkan
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pertama kali pengguna tersambung dari perangkat (FirstTimeUserConnectedFromDevice) |
30 | Perangkat sumber tersambung untuk pertama kalinya oleh pengguna. | True, False |
| Perangkat jarang digunakan oleh pengguna (DeviceUncommonlyUsedByUser) |
10 | Perangkat ini tidak biasanya digunakan oleh pengguna. | True, False |
| Perangkat jarang digunakan di antara serekan (DeviceUncommonlyUsedAmongPeers) |
180 | Perangkat ini tidak biasanya digunakan di antara serekan pengguna. | True, False |
| Perangkat pertama kali diamati di penyewa (FirstTimeDeviceObservedInTenant) |
30 | Perangkat ini diamati untuk pertama kalinya dalam organisasi. | True, False |
| Perangkat jarang digunakan di penyewa (DeviceUncommonlyUsedInTenant) |
180 | Perangkat ini tidak biasanya digunakan dalam organisasi. | True, False |
Terkait perangkat lainnya
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pertama kali pengguna masuk ke perangkat (FirstTimeUserLoggedOnToDevice) |
180 | Perangkat tujuan tersambung untuk pertama kalinya oleh pengguna. | True, False |
| Rangkaian perangkat jarang digunakan dalam penyewa (DeviceFamilyUncommonlyUsedInTenant) |
30 | Rangkaian perangkat ini tidak biasanya digunakan dalam organisasi. | True, False |
Penyedia Layanan Internet yang digunakan untuk tersambung
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Pengguna pertama kali tersambung melalui ISP (FirstTimeUserConnectedViaISP) |
30 | ISP diamati untuk pertama kalinya oleh pengguna. | True, False |
| ISP jarang digunakan oleh pengguna (ISPUncommonlyUsedByUser) |
10 | ISP ini tidak biasanya digunakan oleh pengguna. | True, False |
| ISP jarang digunakan di antara serekan (ISPUncommonlyUsedAmongPeers) |
30 | ISP tidak biasanya digunakan di antara serekan pengguna. | True, False |
| Sambungan pertama kali melalui ISP di penyewa (FirstTimeConnectionViaISPInTenant) |
30 | ISP ini diamati untuk pertama kalinya dalam organisasi. | True, False |
| ISP jarang digunakan di penyewa (ISPUncommonlyUsedInTenant) |
30 | ISP ini tidak biasanya digunakan dalam organisasi. | True, False |
Sumber daya diakses
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Sumber daya pertama kali diakses pengguna (FirstTimeUserAccessedResource) |
180 | Sumber daya diakses untuk pertama kalinya oleh pengguna. | True, False |
| Sumber daya jarang diakses oleh pengguna (ResourceUncommonlyAccessedByUser) |
10 | Sumber daya ini tidak biasanya digunakan oleh pengguna. | True, False |
| Sumber daya yang jarang diakses di antara serekan (ResourceUncommonlyAccessedAmongPeers) |
180 | Sumber daya tidak biasanya diakses di antara serekan pengguna. | True, False |
| Sumber daya pertama kali diakses di penyewa (FirstTimeResourceAccessedInTenant) |
180 | Sumber daya diakses untuk pertama kalinya oleh siapa pun dalam organisasi. | True, False |
| Sumber daya jarang diakses di penyewa (ResourceUncommonlyAccessedInTenant) |
180 | Sumber daya ini tidak biasanya diakses dalam organisasi. | True, False |
Lain-lain
| Nama pengayaan | Garis besar (hari) | Deskripsi | Sampel nilai |
|---|---|---|---|
| Terakhir kali pengguna melakukan tindakan (LastTimeUserPerformedAction) |
180 | Terakhir kali pengguna melakukan tindakan yang sama. | <Stempel waktu> |
| Tindakan serupa tidak dilakukan sebelumnya (SimilarActionWasn'tPerformedInThePast) |
30 | Tidak ada tindakan di penyedia sumber daya yang sama yang dilakukan oleh pengguna. | True, False |
| Lokasi IP sumber (SourceIPLocation) |
N/A | Negara diselesaikan dari IP sumber tindakan. | [Surrey, Inggris] |
| Operasi volume tinggi yang jarang terjadi (UncommonHighVolumeOfOperations) |
7 | Pengguna melakukan lonjakan operasi serupa dalam penyedia yang sama | True, False |
| Jumlah kegagalan Akses Bersyar Microsoft Entra yang tidak biasa (UnusualNumberOfAADConditionalAccessFailures) |
5 | Jumlah pengguna yang tidak biasa gagal untuk mengautentikasi karena akses bersyarat | True, False |
| Jumlah perangkat yang tidak biasa ditambahkan (UnusualNumberOfDevicesAdded) |
5 | Seorang pengguna menambahkan sejumlah perangkat yang tidak biasa. | True, False |
| Sejumlah perangkat yang tidak biasa ditambahkan (UnusualNumberOfDevicesDeleted) |
5 | Seorang pengguna menghapus sejumlah perangkat yang tidak biasa. | True, False |
| Jumlah pengguna yang tidak biasa ditambahkan ke grup (UnusualNumberOfUsersAddedToGroup) |
5 | Seorang pengguna menambahkan jumlah pengguna yang tidak biasa ke grup. | True, False |
Tabel IdentityInfo
Setelah Anda mengaktifkan UEBA untuk ruang kerja Microsoft Azure Sentinel, data dari ID Microsoft Entra Anda disinkronkan ke tabel IdentityInfo di Analitik Log untuk digunakan di Microsoft Azure Sentinel. Anda dapat menyematkan data pengguna yang disinkronkan dari ID Microsoft Entra dalam aturan analitik untuk meningkatkan analitik agar sesuai dengan kasus penggunaan Anda dan mengurangi positif palsu.
Meskipun sinkronisasi awal mungkin memakan waktu beberapa hari, setelah data disinkronkan sepenuhnya:
Perubahan yang dilakukan pada profil pengguna Anda di MICROSOFT Entra ID diperbarui dalam tabel IdentityInfo dalam waktu 15 menit.
Informasi grup dan peran disinkronkan antara tabel IdentityInfo dan ID Microsoft Entra setiap hari.
Setiap 14 hari, Microsoft Sentinel menyinkronkan ulang dengan seluruh ID Microsoft Entra Anda untuk memastikan bahwa catatan kedaluarsa diperbarui sepenuhnya.
Waktu retensi default di tabel IdentityInfo adalah 30 hari.
Catatan
Saat ini, hanya peran bawaan yang didukung.
Data tentang grup yang dihapus, tempat pengguna yang dihapus dari grup, saat ini tidak didukung.
Sebenarnya ada dua versi tabel IdentityInfo: satu melayani Microsoft Azure Sentinel, dalam skema Analitik Log, yang lain melayani portal Pertahanan Microsoft melalui Microsoft Defender untuk Identitas, dalam apa yang dikenal sebagai skema perburuan Tingkat Lanjut. Kedua versi tabel ini diberi makan oleh MICROSOFT Entra ID, tetapi versi Analitik Log menambahkan beberapa bidang.
Platform operasi keamanan terpadu di portal Defender menggunakan versi perburuan tingkat lanjut dari tabel ini, jadi, untuk meminimalkan perbedaan antara versi tabel, sebagian besar bidang unik dalam versi Analitik Log secara bertahap ditambahkan ke versi perburuan Tingkat Lanjut juga. Terlepas dari portal mana Anda menggunakan Microsoft Azure Sentinel, Anda akan memiliki akses ke hampir semua informasi yang sama, meskipun mungkin ada jeda waktu kecil dalam sinkronisasi antara versi.
Tabel berikut menjelaskan data identitas pengguna yang disertakan dalam tabel IdentityInfo di Analitik Log di portal Azure. Kolom keempat memperlihatkan bidang yang sesuai dalam versi perburuan tingkat lanjut dari tabel, yang digunakan Microsoft Sentinel di portal Pertahanan. Nama bidang dalam huruf tebal dinamai secara berbeda dalam skema Perburuan tingkat lanjut daripada nama bidang dalam versi Analitik Log Microsoft Sentinel.
| Nama bidang di Skema Analitik Log |
Tipe | Deskripsi | Nama bidang di Skema perburuan tingkat lanjut |
|---|---|---|---|
| AccountCloudSID | string | Pengidentifikasi keamanan Microsoft Entra akun. | CloudSid |
| AccountCreationTime | datetime | Tanggal akun pengguna dibuat (UTC). | CreatedDateTime |
| AccountDisplayName | string | Nama tampilan akun pengguna. | AccountDisplayName |
| AccountDomain | string | Nama domain akun pengguna. | AccountDomain |
| AccountName | string | Nama pengguna dari akun pengguna. | AccountName |
| AccountObjectId | string | ID objek Microsoft Entra untuk akun pengguna. | AccountObjectId |
| AccountSID | string | Pengidentifikasi keamanan lokal dari akun pengguna. | AccountSID |
| AccountTenantId | string | ID penyewa Microsoft Entra dari akun pengguna. | -- |
| AccountUPN | string | Nama utama pengguna dari akun pengguna. | AccountUPN |
| AdditionalMailAddresses | dinamis | Alamat email tambahan pengguna. | -- |
| AssignedRoles | dinamis | Peran Microsoft Entra tempat akun pengguna ditetapkan. | AssignedRoles |
| BlastRadius | string | Perhitungan berdasarkan posisi pengguna di pohon org dan peran dan izin Microsoft Entra pengguna. Nilai yang mungkin: Rendah, Sedang, Tinggi |
-- |
| ChangeSource | string | Sumber perubahan terbaru pada entitas. Nilai yang memungkinkan: |
ChangeSource |
| CompanyName | Nama perusahaan tempat pengguna berada. | -- | |
| Kota | string | Kota akun pengguna. | Kota |
| Negara | string | Negara akun pengguna. | Negara |
| DeletedDateTime | datetime | Tanggal dan waktu pengguna dihapus. | -- |
| Departemen | string | Departemen akun pengguna. | Departemen |
| GivenName | string | Nama akun pengguna yang diberikan. | GivenName |
| GroupMembership | dinamis | Grup Microsoft Entra tempat akun pengguna adalah anggota. | -- |
| IsAccountEnabled | bool | Indikasi apakah akun pengguna diaktifkan di ID Microsoft Entra atau tidak. | IsAccountEnabled |
| JobTitle | string | Judul pekerjaan akun pengguna. | JobTitle |
| MailAddress | string | Alamat email utama akun pengguna. | EmailAddress |
| Manajer | string | Alias pengelola akun pengguna. | Manajer |
| OnPremisesDistinguishedName | string | Nama khusus ID Microsoft Entra (DN). Nama khusus adalah urutan dari nama khusus relatif (RDN), yang dihubungkan dengan koma. | DistinguishedName |
| Nomor | string | Nomor telepon akun pengguna. | Nomor |
| SourceSystem | string | Sistem tempat pengguna dikelola. Nilai yang memungkinkan: |
SourceProvider |
| Solid | string | Keadaan geografis akun pengguna. | Status |
| StreetAddress | string | Alamat jalan kantor dari akun pengguna. | Alamat |
| Surname | string | Nama belakang pengguna. akun. | Nama Belakang |
| TenantId | string | ID penyewa pengguna. | -- |
| TimeGenerated | datetime | Waktu saat peristiwa dibuat (UTC). | Stempel waktu |
| Jenis | string | Nama tabel. | -- |
| UserAccountControl | dinamis | Atribut keamanan akun pengguna di domain AD. Nilai yang mungkin (mungkin berisi lebih dari satu): |
-- |
| UserState | string | Status akun pengguna saat ini di ID Microsoft Entra. Nilai yang mungkin: |
-- |
| UserStateChangedOn | datetime | Tanggal terakhir kali status akun diubah (UTC). | -- |
| UserType | string | Tipe pengguna. | -- |
Langkah berikutnya
Dokumen ini menjelaskan skema tabel analitik perilaku entitas Microsoft Azure Sentinel.
- Pelajari lebih lanjut tentang analitik perilaku entitas.
- Aktifkan UEBA di Microsoft Sentinel.
- Gunakan UEBA dalam penyelidikan Anda.