Referensi UEBA Microsoft Sentinel

Artikel referensi ini mencantumkan sumber data input untuk layanan Analitik Perilaku Pengguna dan Entitas di Microsoft Sentinel. Ini juga menjelaskan pengayaan yang ditambahkan UEBA ke entitas, memberikan konteks yang diperlukan untuk pemberitahuan dan insiden.

Penting

Microsoft Azure Sentinel umumnya tersedia di portal Pertahanan Microsoft, termasuk untuk pelanggan tanpa Microsoft Defender XDR atau lisensi E5. Untuk informasi selengkapnya, lihat Microsoft Azure Sentinel di portal Pertahanan Microsoft.

Sumber data UEBA

Ini adalah sumber data tempat mesin UEBA mengumpulkan dan menganalisis data untuk melatih model ML-nya dan mengatur garis besar perilaku untuk pengguna, perangkat, dan entitas lainnya. UEBA kemudian melihat data dari sumber-sumber ini untuk menemukan anomali dan wawasan glean.

Sumber data	Acara
Microsoft Entra ID Log rincian masuk	Semua
Microsoft Entra ID Log audit	PengelolaanAplikasi PengelolaanDirektori PengelolaanGrup Perangkat PengelolaanPeran UserManagementCategory
Log Aktivitas Azure	Otorisasi AzureActiveDirectory Penagihan Komputasi Konsumsi Az.KeyVault Perangkat Jaringan Sumber Intune Logika SQL Penyimpanan
Peristiwa Keamanan Windows WindowsEvent atau SecurityEvent	4624: Akun berhasil masuk 4625: Akun gagal masuk 4648: Masuk dicoba menggunakan kredensial eksplisit 4672: Hak spesial tertentu ditetapkan ke masuk baru 4688: Proses baru telah dibuat

Pengayaan UEBA

Bagian ini menjelaskan pengayaan yang ditambahkan UEBA ke entitas Microsoft Sentinel, bersama dengan semua detailnya, yang dapat Anda gunakan untuk memfokuskan dan mempertajam penyelidikan insiden keamanan Anda. Pengayaan ini ditampilkan di halaman entitas dan dapat ditemukan di tabel Analitik Log berikut, konten dan skema yang tercantum di bawah ini:

• Tabel BehaviorAnalytics adalah tempat informasi output UEBA disimpan.

  Tiga bidang dinamis berikut dari tabel BehaviorAnalytics dijelaskan di bagian bidang dinamis pengayaan entitas di bawah ini.

  • Bidang UsersInsights dan DevicesInsights berisi informasi entitas dari Direktori Aktif/ID Microsoft Entra dan sumber Inteligensi Ancaman Microsoft.

  • Bidang ActivityInsights berisi informasi entitas berdasarkan profil perilaku yang dibangun oleh analitik perilaku entitas Microsoft Sentinel.

    Aktivitas pengguna dianalisis terhadap garis besar yang dikompilasi secara dinamis setiap kali digunakan. Setiap aktivitas memiliki periode lookback yang ditentukan sendiri dari mana garis besar dinamis diturunkan. Periode lookback ditentukan dalam kolom Garis Besar dalam tabel ini.

• Tabel IdentityInfo adalah tempat informasi identitas disinkronkan ke UEBA dari ID Microsoft Entra (dan dari Direktori Aktif lokal melalui Pertahanan Microsoft untuk Identitas) disimpan.

Tabel BehaviorAnalytics

Tabel berikut ini menjelaskan data analitik perilaku yang ditampilkan di setiap halaman detail entitas di Microsoft Azure Sentinel.

Bidang	Jenis	Deskripsi
TenantId	benang	Nomor ID unik penyewa.
SourceRecordId	benang	Nomor ID unik peristiwa EBA.
TimeGenerated	Tanggal dan waktu	Tanda waktu terjadinya aktivitas.
Waktu Diproses	Tanggal dan waktu	Tanda waktu pemrosesan aktivitas oleh mesin EBA.
ActivityType	benang	Kategori aktivitas tingkat tinggi.
Jenis Tindakan	benang	Nama aktivitas yang dinormalkan.
Nama Pengguna	benang	Nama pengguna dari pengguna yang memulai aktivitas.
UserPrincipalName	benang	Nama pengguna lengkap dari pengguna yang memulai aktivitas.
EventSource	benang	Sumber data yang menyediakan peristiwa asli.
SourceIPAddress	benang	Alamat IP tempat aktivitas dimulai.
SourceIPLocation	benang	Negara/wilayah tempat aktivitas dimulai, diperkaya dari alamat IP.
SourceDevice	benang	Nama host perangkat yang memulai aktivitas.
DestinationIPAddress	benang	Alamat IP dari target aktivitas.
DestinationIPLocation	benang	Negara/wilayah target aktivitas, diperkaya dari alamat IP.
DestinationDevice	benang	Nama perangkat target.
UsersInsights	dinamis	Pengayaan kontekstual pengguna yang terlibat (detail di bawah).
DevicesInsights	dinamis	Pengayaan kontekstual perangkat yang terlibat (detail di bawah).
ActivityInsights	dinamis	Analisis kontekstual aktivitas berdasarkan pembuatan profil kami (detail di bawah).
InvestigationPriority	int (integer)	Skor anomali, antara 0-10 (0=tidak berbahaya, 10=anomali sangat tinggi).

Bidang dinamis pengayaan entitas

Catatan

Kolom Nama pengayaan dalam tabel di bagian ini menampilkan dua baris informasi.

• Yang pertama, tebal, adalah "nama yang ramah" dari pengayaan.
• Yang kedua (dalam miring dan tanda kurung) adalah nama bidang pengayaan seperti yang disimpan dalam tabel Analitik Perilaku.

Bidang UsersInsights

Tabel berikut ini menjelaskan pengayaan yang ditampilkan di bidang dinamis UsersInsights dalam tabel BehaviorAnalytics:

Nama pengayaan	Deskripsi	Sampel nilai
Nama tampilan akun (AccountDisplayName)	Nama tampilan akun pengguna.	Admin, Hayden Cook
Domain akun (AccountDomain)	Nama domain akun pengguna.
ID objek akun (AccountObjectID)	ID objek akun pengguna.	aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb
Radius ledakan (BlastRadius)	Radius ledakan dihitung berdasarkan beberapa faktor: posisi pengguna di pohon org, dan peran dan izin Microsoft Entra pengguna. Pengguna harus memiliki properti Manajer yang diisi di ID Microsoft Entra agar BlastRadius dihitung.	Rendah, Sedang, Tinggi
Apakah akun tidak aktif (IsDormantAccount)	Akun tersebut belum digunakan selama 180 hari terakhir.	Benar, Salah
Adalah admin lokal (IsLocalAdmin)	Akun ini memiliki hak administrator lokal.	Benar, Salah
Adalah akun baru (IsNewAccount)	Akun dibuat dalam 30 hari terakhir.	Benar, Salah
SID lokal (OnPremisesSID)	SID lokal pengguna yang terkait dengan tindakan.	S-1-5-21-1112946627-1321165628-2437342228-1103

Bidang DevicesInsights

Tabel berikut ini menjelaskan pengayaan yang ditampilkan di bidang dinamis DevicesInsights dalam tabel BehaviorAnalytics:

Nama pengayaan	Deskripsi	Sampel nilai
Peramban (Browser)	Browser yang digunakan dalam tindakan.	Edge, Chrome
Keluarga perangkat (DeviceFamily)	Rangkaian perangkat yang digunakan dalam aksi.	Windows
Jenis perangkat (DeviceType)	Jenis perangkat klien yang digunakan dalam tindakan	Dekstop
ISP (ISP)	Penyedia layanan internet yang digunakan dalam tindakan tersebut.
Sistem operasi (OperatingSystem)	Sistem operasi yang digunakan dalam tindakan.	Windows 10
Deskripsi indikator intel ancaman (ThreatIntelIndicatorDescription)	Deskripsi indikator ancaman yang diamati diselesaikan dari alamat IP yang digunakan dalam tindakan.	Hostnya adalah anggota botnet: azorult
Jenis indikator intel ancaman (ThreatIntelIndicatorType)	Jenis indikator ancaman yang diselesaikan dari alamat IP yang digunakan dalam tindakan.	Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proksi, PUA, Daftar tonton
Agen pengguna (UserAgent)	Agen pengguna yang digunakan dalam tindakan.	Pustaka Klien Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS
Keluarga agen pengguna (UserAgentFamily)	Rangkaian pengguna yang digunakan dalam tindakan.	Chrome, Edge, Firefox

Bidang ActivityInsights

Tabel berikut ini menjelaskan pengayaan yang ditampilkan di bidang dinamis ActivityInsights dalam tabel BehaviorAnalytics:

Tindakan yang dilakukan

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna melakukan tindakan (FirstTimeUserPerformedAction)	180	Tindakan ini dilakukan untuk pertama kalinya oleh pengguna.	Benar, Salah
Tindakan yang jarang dilakukan oleh pengguna (ActionUncommonlyPerformedByUser)	10	Tindakan ini tidak biasanya dilakukan oleh pengguna.	Benar, Salah
Tindakan jarang dilakukan di antara rekan-rekan (ActionUncommonlyPerformedAmongPeers)	180	Tindakan ini tidak biasanya dilakukan di antara serekan pengguna.	Benar, Salah
Tindakan pertama kali dilakukan di penyewa (FirstTimeActionPerformedInTenant)	180	Tindakan itu dilakukan untuk pertama kalinya oleh siapa pun dalam organisasi.	Benar, Salah
Tindakan yang jarang dilakukan di penyewa (ActionUncommonlyPerformedInTenant)	180	Tindakan ini tidak biasanya dilakukan dalam organisasi.	Benar, Salah

Aplikasi yang digunakan

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna menggunakan aplikasi (FirstTimeUserUsedApp)	180	Aplikasi ini pertama kali digunakan oleh pengguna.	Benar, Salah
Aplikasi jarang digunakan oleh pengguna (AppUncommonlyUsedByUser)	10	Aplikasi ini tidak biasanya digunakan oleh pengguna.	Benar, Salah
Aplikasi jarang digunakan di antara rekan-rekan (AppUncommonlyUsedAmongPeers)	180	Aplikasi ini tidak biasanya digunakan di antara serekan pengguna.	Benar, Salah
Aplikasi pertama kali diamati di penyewa (FirstTimeAppObservedInTenant)	180	Aplikasi ini diamati untuk pertama kalinya dalam organisasi.	Benar, Salah
Aplikasi jarang digunakan dalam penyewa (AppUncommonlyUsedInTenant)	180	Aplikasi ini tidak biasanya digunakan dalam organisasi.	Benar, Salah

Browser yang digunakan

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna terhubung melalui browser (FirstTimeUserConnectedViaBrowser)	30	Browser diamati untuk pertama kalinya oleh pengguna.	Benar, Salah
Browser jarang digunakan oleh pengguna (BrowserUncommonlyUsedByUser)	10	Browser ini tidak biasanya digunakan oleh pengguna.	Benar, Salah
Browser jarang digunakan di antara rekan-rekan (BrowserUncommonlyUsedAmongPeers)	30	Browser ini tidak biasanya digunakan di antara serekan pengguna.	Benar, Salah
Browser pertama kali diamati di penyewa (FirstTimeBrowserObservedInTenant)	30	Browser ini diamati untuk pertama kalinya dalam organisasi.	Benar, Salah
Browser jarang digunakan dalam penyewa (BrowserUncommonlyUsedInTenant)	30	Browser ini tidak biasanya digunakan dalam organisasi.	Benar, Salah

Negara/wilayah yang tersambung dari

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna tersambung dari negara (FirstTimeUserConnectedFromCountry)	90	Lokasi geografis, seperti yang diselesaikan dari alamat IP, tersambung untuk pertama kalinya oleh pengguna.	Benar, Salah
Negara jarang tersambung dari oleh pengguna (CountryUncommonlyConnectedFromByUser)	10	Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan oleh pengguna.	Benar, Salah
Negara jarang terhubung dari kalangan serekan (CountryUncommonlyConnectedFromAmongPeers)	90	Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan dari antara serekan pengguna.	Benar, Salah
Koneksi pertama kali dari negara yang diamati dalam penyewa (FirstTimeConnectionFromCountryObservedInTenant)	90	Negara/wilayah dihubungkan untuk pertama kalinya oleh siapa pun di organisasi.	Benar, Salah
Negara jarang tersambung dari dalam penyewa (CountryUncommonlyConnectedFromInTenant)	90	Lokasi geografis, seperti yang diselesaikan dari alamat IP, biasanya tidak disambungkan dari dalam organisasi.	Benar, Salah

Perangkat yang digunakan untuk menyambungkan

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna tersambung dari perangkat (FirstTimeUserConnectedFromDevice)	30	Perangkat sumber tersambung untuk pertama kalinya oleh pengguna.	Benar, Salah
Perangkat jarang digunakan oleh pengguna (DeviceUncommonlyUsedByUser)	10	Perangkat ini tidak biasanya digunakan oleh pengguna.	Benar, Salah
Perangkat jarang digunakan di antara rekan-rekan (DeviceUncommonlyUsedAmongPeers)	180	Perangkat ini tidak biasanya digunakan di antara serekan pengguna.	Benar, Salah
Perangkat pertama kali diamati di penyewa (FirstTimeDeviceObservedInTenant)	30	Perangkat ini diamati untuk pertama kalinya dalam organisasi.	Benar, Salah
Perangkat jarang digunakan dalam penyewa (DeviceUncommonlyUsedInTenant)	180	Perangkat ini tidak biasanya digunakan dalam organisasi.	Benar, Salah

Terkait perangkat lainnya

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna masuk ke perangkat (FirstTimeUserLoggedOnToDevice)	180	Perangkat tujuan tersambung untuk pertama kalinya oleh pengguna.	Benar, Salah
Keluarga perangkat jarang digunakan dalam penyewa (DeviceFamilyUncommonlyUsedInTenant)	30	Rangkaian perangkat ini tidak biasanya digunakan dalam organisasi.	Benar, Salah

Penyedia Layanan Internet yang digunakan untuk tersambung

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pengguna pertama kali terhubung melalui ISP (FirstTimeUserConnectedViaISP)	30	ISP diamati untuk pertama kalinya oleh pengguna.	Benar, Salah
ISP jarang digunakan oleh pengguna (ISPUncommonlyUsedByUser)	10	ISP ini tidak biasanya digunakan oleh pengguna.	Benar, Salah
ISP jarang digunakan di antara rekan-rekan (ISPUncommonlyUsedAmongPeers)	30	ISP tidak biasanya digunakan di antara serekan pengguna.	Benar, Salah
Koneksi pertama kali melalui ISP di penyewa (FirstTimeConnectionViaISPInTenant)	30	ISP ini diamati untuk pertama kalinya dalam organisasi.	Benar, Salah
ISP jarang digunakan dalam penyewa (ISPUncommonlyUsedInTenant)	30	ISP ini tidak biasanya digunakan dalam organisasi.	Benar, Salah

Sumber daya diakses

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Pertama kali pengguna mengakses sumber daya (FirstTimeUserAccessedResource)	180	Sumber daya diakses untuk pertama kalinya oleh pengguna.	Benar, Salah
Sumber daya jarang diakses oleh pengguna (ResourceUncommonlyAccessedByUser)	10	Sumber daya ini tidak biasanya digunakan oleh pengguna.	Benar, Salah
Sumber daya jarang diakses di antara rekan-rekan (ResourceUncommonlyAccessedAmongPeers)	180	Sumber daya tidak biasanya diakses di antara serekan pengguna.	Benar, Salah
Sumber daya pertama kali diakses di penyewa (FirstTimeResourceAccessedInTenant)	180	Sumber daya diakses untuk pertama kalinya oleh siapa pun dalam organisasi.	Benar, Salah
Sumber daya jarang diakses di penyewa (ResourceUncommonlyAccessedInTenant)	180	Sumber daya ini tidak biasanya diakses dalam organisasi.	Benar, Salah

Lain-lain

Nama pengayaan	Garis besar (hari)	Deskripsi	Sampel nilai
Terakhir kali pengguna melakukan tindakan (LastTimeUserPerformedAction)	180	Terakhir kali pengguna melakukan tindakan yang sama.	<Stempel waktu>
Tindakan serupa tidak dilakukan di masa lalu (SimilarActionWasn'tPerformedInThePast)	30	Tidak ada tindakan di penyedia sumber daya yang sama yang dilakukan oleh pengguna.	Benar, Salah
Lokasi IP sumber (SourceIPLocation)	N/A	Negara/wilayah diselesaikan dari IP sumber tindakan.	[Surrey, Inggris]
Volume operasi tinggi yang jarang (UncommonHighVolumeOfOperations)	7	Pengguna melakukan lonjakan operasi serupa dalam penyedia yang sama	Benar, Salah
Jumlah kegagalan Akses Bersyar Microsoft Entra yang tidak biasa (UnusualNumberOfAADConditionalAccessFailures)	5	Jumlah pengguna yang tidak biasa gagal untuk mengautentikasi karena akses bersyarat	Benar, Salah
Jumlah perangkat yang tidak biasa ditambahkan (UnusualNumberOfDevicesAdded)	5	Seorang pengguna menambahkan sejumlah perangkat yang tidak biasa.	Benar, Salah
Jumlah perangkat yang tidak biasa dihapus (UnusualNumberOfDevicesDeleted)	5	Seorang pengguna menghapus sejumlah perangkat yang tidak biasa.	Benar, Salah
Jumlah pengguna yang tidak biasa ditambahkan ke grup (UnusualNumberOfUsersAddedToGroup)	5	Seorang pengguna menambahkan jumlah pengguna yang tidak biasa ke grup.	Benar, Salah

Tabel IdentityInfo

Setelah Anda mengaktifkan dan mengonfigurasi UEBA untuk ruang kerja Microsoft Azure Sentinel, data pengguna dari penyedia identitas Microsoft Anda disinkronkan ke tabel IdentityInfo di Log Analytics untuk digunakan di Microsoft Azure Sentinel.

Penyedia identitas tersebut adalah salah satu atau kedua hal berikut, tergantung pada mana yang Anda pilih saat Mengonfigurasi UEBA:

• ID Microsoft Entra (berbasis cloud)
• Microsoft Active Directory (lokal, memerlukan Pertahanan Microsoft untuk Identitas))

Anda dapat mengkueri tabel IdentityInfo dalam aturan analitik, kueri berburu, dan buku kerja, meningkatkan analitik agar sesuai dengan kasus penggunaan Anda dan mengurangi positif palsu.

Meskipun sinkronisasi awal mungkin memakan waktu beberapa hari, setelah data disinkronkan sepenuhnya:

• Setiap 14 hari, Microsoft Sentinel menyinkronkan ulang dengan seluruh ID Microsoft Entra Anda (dan Active Directory lokal Anda, jika berlaku) untuk memastikan bahwa catatan kedaluarsa sepenuhnya diperbarui.

• Selain sinkronisasi penuh reguler ini, setiap kali perubahan dilakukan pada profil pengguna, grup, dan peran bawaan Anda dalam ID Microsoft Entra, catatan pengguna yang terpengaruh diserap kembali dan diperbarui dalam tabel IdentityInfo dalam waktu 15-30 menit. Penyerapan ini ditagih dengan tarif reguler. Contohnya:

  • Atribut pengguna, seperti nama tampilan, jabatan, atau alamat email, diubah. Rekaman baru untuk pengguna ini diserap ke dalam tabel IdentityInfo , dengan bidang yang relevan diperbarui.

  • Grup A memiliki 100 pengguna di dalamnya. 5 pengguna ditambahkan ke grup atau dihapus dari grup. Dalam hal ini, 5 catatan pengguna tersebut diserap kembali, dan bidang GroupMembership mereka diperbarui.

  • Grup A memiliki 100 pengguna di dalamnya. Sepuluh pengguna ditambahkan ke Grup A. Selain itu, grup A1 dan A2, masing-masing dengan 10 pengguna, ditambahkan ke Grup A. Dalam hal ini, 30 rekaman pengguna diserap ulang dan bidang GroupMembership mereka diperbarui. Ini terjadi karena keanggotaan grup transitif, sehingga perubahan pada grup memengaruhi semua subgrup mereka.

  • Grup B (dengan 50 pengguna) diganti namanya menjadi Group BeGood. Dalam hal ini, 50 rekaman pengguna diserap ulang dan bidang GroupMembership mereka diperbarui. Jika ada subgrup dalam grup tersebut, hal yang sama terjadi untuk semua rekaman anggota mereka.

• Waktu retensi default dalam tabel IdentityInfo adalah 30 hari.

Batasan

• Bidang AssignedRoles hanya mendukung peran bawaan.

• Bidang GroupMembership mendukung daftar hingga 500 grup per pengguna, termasuk subgrup. Jika pengguna adalah anggota lebih dari 500 grup, hanya 500 pertama yang disinkronkan dengan tabel IdentityInfo . Namun, grup tidak dievaluasi dalam urutan tertentu, jadi pada setiap sinkronisasi baru (setiap 14 hari), ada kemungkinan bahwa sekumpulan grup yang berbeda akan diperbarui ke catatan pengguna.

• Saat pengguna dihapus, rekaman pengguna tersebut tidak segera dihapus dari tabel IdentityInfo . Alasan untuk ini adalah bahwa salah satu tujuan tabel ini adalah untuk mengaudit perubahan pada rekaman pengguna. Oleh karena itu, kami ingin tabel ini memiliki catatan pengguna yang dihapus, yang hanya dapat terjadi jika rekaman pengguna di tabel IdentityInfo masih ada, meskipun pengguna yang sebenarnya (misalnya, dalam ID Entra) dihapus.

  Pengguna yang dihapus dapat diidentifikasi dengan adanya nilai di deletedDateTime bidang . Jadi, jika Anda memerlukan kueri untuk memperlihatkan daftar pengguna, Anda bisa memfilter pengguna yang dihapus dengan menambahkan | where IsEmpty(deletedDateTime) ke kueri.

  Pada interval waktu tertentu setelah pengguna dihapus, rekaman pengguna akhirnya dihapus dari tabel IdentityInfo juga.

• Saat grup dihapus, atau jika grup dengan lebih dari 100 anggota telah berubah namanya, rekaman pengguna anggota grup tersebut tidak diperbarui. Jika perubahan yang berbeda menyebabkan salah satu catatan pengguna tersebut diperbarui, informasi grup yang diperbarui akan disertakan pada saat itu.

Versi lain dari tabel IdentityInfo

Sebenarnya ada beberapa versi tabel IdentityInfo :

• Versi skema Analitik Log , yang dibahas dalam artikel ini, melayani Microsoft Azure Sentinel di portal Microsoft Azure. Ini tersedia untuk pelanggan yang mengaktifkan UEBA.

• Versi skema perburuan tingkat lanjut melayani portal Pertahanan Microsoft melalui Pertahanan Microsoft untuk Identitas. Ini tersedia untuk pelanggan Microsoft Defender XDR, dengan atau tanpa Microsoft Sentinel, dan untuk pelanggan Microsoft Sentinel dengan sendirinya di portal Pertahanan.

  UEBA tidak harus diaktifkan untuk memiliki akses ke tabel ini. Namun, untuk pelanggan tanpa UEBA diaktifkan, bidang yang diisi oleh data UEBA tidak terlihat atau tersedia.

  Untuk informasi selengkapnya, lihat dokumentasi versi perburuan tingkat lanjut dari tabel ini.

• Pada Mei 2025, pelanggan Microsoft Sentinel di portal Pertahanan Microsoftdengan UEBA diaktifkanmulai menggunakan rilis baru versi perburuan Tingkat Lanjut . Rilis baru ini mencakup semua bidang UEBA dari versi Analitik Log serta beberapa bidang baru, dan disebut sebagai versi terpadu atau tabel IdentityInfo terpadu.

  Pelanggan portal defender tanpa UEBA diaktifkan, atau tanpa Microsoft Sentinel sama sekali, terus gunakan rilis sebelumnya dari versi perburuan Tingkat Lanjut, tanpa bidang yang dihasilkan UEBA.

  Untuk informasi selengkapnya tentang versi terpadu, lihat IdentityInfo dalam dokumentasi Perburuan tingkat lanjut.

Skema

Tabel di tab "Skema Analitik Log" berikut ini menjelaskan data identitas pengguna yang disertakan dalam tabel IdentityInfo di Analitik Log di portal Microsoft Azure.

Jika Anda melakukan onboarding Microsoft Sentinel ke portal Defender, pilih tab "Bandingkan dengan skema terpadu" untuk melihat perubahan yang berpotensi memengaruhi kueri dalam aturan dan perburuan deteksi ancaman Anda.

Skema Analitik Log

Nama bidang	Jenis	Deskripsi
AccountCloudSID	benang	Pengidentifikasi keamanan Microsoft Entra akun.
AccountCreationTime	Tanggal dan waktu	Tanggal akun pengguna dibuat (UTC).
AccountDisplayName	benang	Nama tampilan akun pengguna.
AccountDomain	benang	Nama domain akun pengguna.
AccountName	benang	Nama pengguna dari akun pengguna.
AccountObjectId	benang	ID objek Microsoft Entra untuk akun pengguna.
AccountSID	benang	Pengidentifikasi keamanan lokal dari akun pengguna.
AccountTenantId	benang	ID penyewa Microsoft Entra dari akun pengguna.
AccountUPN	benang	Nama utama pengguna dari akun pengguna.
AdditionalMailAddresses	dinamis	Alamat email tambahan pengguna.
AssignedRoles	dinamis	Peran Microsoft Entra tempat akun pengguna ditetapkan. Hanya peran bawaan yang didukung.
BlastRadius	benang	Perhitungan berdasarkan posisi pengguna di pohon org dan peran dan izin Microsoft Entra pengguna. Nilai yang mungkin: Rendah, Sedang, Tinggi
UbahSumber	benang	Sumber perubahan terbaru pada entitas. Nilai yang memungkinkan: AzureActiveDirectory ActiveDirectory UEBA Daftar tonton FullSync
Kota	benang	Kota akun pengguna.
Nama perusahaan	benang	Nama perusahaan tempat pengguna berada.
Negara	benang	Negara/wilayah akun pengguna.
DeletedDateTime	Tanggal dan waktu	Tanggal dan waktu pengguna dihapus.
Departemen	benang	Departemen akun pengguna.
EmployeeId	benang	Pengidentifikasi karyawan yang ditetapkan untuk pengguna oleh organisasi.
GivenName	benang	Nama akun pengguna yang diberikan.
GroupMembership	dinamis	Grup ID Microsoft Entra tempat akun pengguna adalah anggota.
IsAccountEnabled	bool	Indikasi apakah akun pengguna diaktifkan di ID Microsoft Entra atau tidak.
JudulPekerjaan	benang	Judul pekerjaan akun pengguna.
MailAddress	benang	Alamat email utama akun pengguna.
Manajer	benang	Alias pengelola akun pengguna.
OnPremisesDistinguishedName	benang	Nama khusus ID Microsoft Entra (DN). Nama khusus adalah urutan dari nama khusus relatif (RDN), yang dihubungkan dengan koma.
Ponsel	benang	Nomor telepon akun pengguna.
RiskLevel	benang	Tingkat risiko ID Microsoft Entra dari akun pengguna. Nilai yang memungkinkan: Rendah Sedang Tinggi
RiskLevelDetails	benang	Detail mengenai tingkat risiko ID Microsoft Entra.
RiskState	benang	Indikasi apakah akun berisiko sekarang atau jika risikonya telah diperbaiki.
SourceSystem	benang	Sistem tempat pengguna dikelola. Nilai yang memungkinkan: AzureActiveDirectory ActiveDirectory Hibrida
Negara	benang	Keadaan geografis akun pengguna.
StreetAddress	benang	Alamat jalan kantor dari akun pengguna.
Nama keluarga	benang	Nama belakang pengguna. akun.
TenantId	benang	ID penyewa pengguna.
TimeGenerated	Tanggal dan waktu	Waktu saat peristiwa dibuat (UTC).
Jenis	benang	Nama tabel.
UserAccountControl	dinamis	Atribut keamanan akun pengguna di domain AD. Nilai yang mungkin (mungkin berisi lebih dari satu): AccountDisabled HomedirRequired AccountLocked PasswordNotRequired CannotChangePassword EncryptedTextPasswordAllowed TemporaryDuplicateAccount NormalAccount InterdomainTrustAccount WorkstationTrustAccount ServerTrustAccount PasswordNeverExpires MnsLogonAccount SmartcardRequired TrustedForDelegation DelegationNotAllowed MenggunakanDesKeyOnly DontRequirePreauthentication Kata SandiExpired TrustedToAuthenticationForDelegation PartialSecretsAccount UseAesKeys
UserState	benang	Status akun pengguna saat ini di ID Microsoft Entra. Nilai yang mungkin: Aktif Cacat Aktif Lockout
UserStateChangedOn	Tanggal dan waktu	Tanggal terakhir kali status akun diubah (UTC).
UserType	benang	Tipe pengguna.

Bidang berikut, saat ada di skema Analitik Log, harus diabaikan, karena tidak digunakan atau didukung oleh Microsoft Azure Sentinel:

• Aplikasi
• EntityRiskScore
• ExtensionProperty
• Prioritas Investigasi
• PersentilPrioritasInvestigasi
• Apakah MFA Terdaftar
• IsServiceAccount
• TanggalTerakhirDilihat
• OnPremisesExtensionAttributes
• Akun Terkait
• ServicePrincipals
• Tagar
• UACFlags

Bandingkan dengan skema terpadu

Bidang berikut telah diganti namanya dalam versi terpadu. Oleh karena itu, jika Anda melakukan onboarding Microsoft Sentinel ke portal Defender, periksa kueri Anda untuk referensi apa pun ke bidang ini, dan perbarui jika perlu.

Nama bidang Analitik Log	Nama bidang skema terpadu
AccountCloudSID	CloudSid
AccountCreationTime	CreatedDateTime
AccountSID	OnPremSid
AccountTenantId	TenantId
AccountUPN	AccountUpn
AdditionalMailAddresses	OtherMailAddresses
MailAddress	Alamat Email
OnPremisesAccountObjectId	OnPremObjectId
OnPremisesDistinguishedName	DistinguishedName
RiskState	RiskStatus
SAMAccountName	AccountName
SourceSystem	IdentityEnvironment
StreetAddress	Alamat
Jenis	IdentityType
UserType	TenantMembershipType

Nama bidang berikut tidak lagi ada dalam versi terpadu. Pastikan untuk menghapusnya dari kueri apa pun yang mereferensikannya.

• TenantID—bidang ini tidak berisi informasi yang sama dengan bidang TenantId yang menggantikan bidang AccountTenantId .
• UserState
• UserStateChangedOn

Bidang berikut, saat ada di skema Analitik Log, harus diabaikan, karena tidak digunakan atau didukung oleh Microsoft Azure Sentinel:

• Aplikasi
• EntityRiskScore
• ExtensionProperty
• Prioritas Investigasi
• PersentilPrioritasInvestigasi
• Apakah MFA Terdaftar
• IsServiceAccount
• TanggalTerakhirDilihat
• OnPremisesExtensionAttributes
• Akun Terkait
• ServicePrincipals
• Tagar
• UACFlags

Bidang ini tidak ada sama sekali dalam skema baru terpadu.

Langkah berikutnya

Dokumen ini menjelaskan skema tabel analitik perilaku entitas Microsoft Azure Sentinel.

• Pelajari selengkapnya tentang analitik perilaku entitas.
• Aktifkan UEBA di Microsoft Azure Sentinel.
• Gunakan UEBA dalam penyelidikan Anda.