Condividi tramite


Informazioni di riferimento su UEBA di Microsoft Sentinel

Questo articolo di riferimento elenca le origini dati di input per il servizio Analisi comportamento utente ed entità in Microsoft Sentinel. Descrive anche gli arricchimenti aggiunti da UEBA alle entità, fornendo il contesto necessario per gli avvisi e gli eventi imprevisti.

Importante

Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.

A partire da luglio 2026, Microsoft Sentinel sarà supportato solo nel portale di Defender e tutti i clienti rimanenti che usano il portale di Azure verranno reindirizzati automaticamente.

È consigliabile che tutti i clienti che usano Microsoft Sentinel in Azure inizino a pianificare la transizione al portale di Defender per l'esperienza completa delle operazioni di sicurezza unificata offerte da Microsoft Defender. Per altre informazioni, vedere Pianificazione del passaggio al portale di Microsoft Defender per tutti i clienti di Microsoft Sentinel.

Origini dati UEBA

Queste sono le origini dati da cui il motore UEBA raccoglie e analizza i dati per eseguire il training dei modelli di Machine Learning e impostare linee di base comportamentali per utenti, dispositivi e altre entità. UEBA esamina quindi i dati di queste origini per trovare anomalie e informazioni dettagliate.

Origine dati Eventi
Microsoft Entra ID
Log di accesso
Tutte le date
Microsoft Entra ID
Log di controllo
Gestione delle applicazioni
Gestione delle directory
Gestione del gruppo
Dispositivo
Gestione dei ruoli
UserManagementCategory
Log attività di Azure Autorizzazione
Azure Active Directory
Fatturazione
Calcolo
Consumo
Insieme di credenziali delle chiavi
Dispositivi
Rete
Risorse
Intune
Logica
SQL
Immagazzinamento
Eventi di sicurezza di Windows
WindowsEvent o
SecurityEvent
4624: Un account è stato connesso correttamente
4625: Un account non è riuscito ad accedere
4648: Tentativo di accesso con credenziali esplicite
4672: Privilegi speciali assegnati al nuovo accesso
4688: È stato creato un nuovo processo

Arricchimenti tramite UEBA

Questa sezione descrive gli arricchimenti aggiunti da UEBA alle entità di Microsoft Sentinel, insieme a tutti i relativi dettagli, che è possibile usare per concentrarsi e affinare le indagini sugli incidenti di sicurezza. Questi arricchimenti vengono visualizzati nelle pagine delle entità e sono disponibili nelle tabelle di Log Analytics seguenti, il contenuto e lo schema dei quali sono elencati di seguito:

  • La tabella BehaviorAnalytics è la posizione in cui vengono archiviate le informazioni di output di UEBA.

    I tre campi dinamici seguenti della tabella BehaviorAnalytics sono descritti nella sezione campi dinamici arricchimenti di entità di seguito.

    • I campi UsersInsights e DevicesInsights contengono informazioni sulle entità di Active Directory/Microsoft Entra ID e Microsoft Threat Intelligence origini.

    • Il campo ActivityInsights contiene informazioni sull'entità basate sui profili comportamentali creati dall'analisi del comportamento delle entità di Microsoft Sentinel.

      Le attività utente vengono analizzate in base a una baseline compilata dinamicamente ogni volta che viene usata. Ogni attività ha un proprio periodo di lookback definito da cui deriva la linea di base dinamica. Il periodo di ricerca viene specificato nella colonna Baseline di questa tabella.

  • La tabella IdentityInfo è la posizione in cui vengono archiviate le informazioni sull'identità sincronizzate con UEBA da Microsoft Entra ID (e da Active Directory locale tramite Microsoft Defender per identità).

Tabella BehaviorAnalytics

La tabella seguente descrive i dati di analisi del comportamento visualizzati in ogni pagina dei dettagli dell'entità in Microsoft Sentinel.

Campo Tipo Descrizione
TenantId corda Numero ID univoco del tenant.
SourceRecordId corda Numero ID univoco dell'evento EBA.
TimeGenerated data e ora Timestamp dell'occorrenza dell'attività.
TimeProcessed data e ora Timestamp dell'elaborazione dell'attività dal motore EBA.
ActivityType corda Categoria generale dell'attività.
Tipo di azione corda Nome normalizzato dell'attività.
Nome utente corda Nome utente dell'utente che ha avviato l'attività.
UserPrincipalName corda Nome utente completo dell'utente che ha avviato l'attività.
EventSource corda Origine dati che ha fornito l'evento originale.
SourceIPAddress corda Indirizzo IP da cui è stata avviata l'attività.
SourceIPLocation corda Paese/area geografica da cui è stata avviata l'attività, arricchita dall'indirizzo IP.
SourceDevice corda Nome host del dispositivo che ha avviato l'attività.
DestinationIPAddress corda Indirizzo IP della destinazione dell'attività.
DestinationIPLocation corda Paese/area geografica della destinazione dell'attività, arricchito dall'indirizzo IP.
DestinationDevice corda Nome del dispositivo di destinazione.
UsersInsights dinamico Gli arricchimenti contestuali degli utenti coinvolti (dettagli di seguito).
DispositiviInsights dinamico Gli arricchimenti contestuali dei dispositivi coinvolti (dettagli di seguito).
ActivityInsights dinamico L'analisi contestuale dell'attività in base alla profilatura (dettagli di seguito).
InvestigationPriority Int Punteggio anomalie, compreso tra 0 e 10 (0=benigno, 10=altamente anomalo).

Campi dinamici di arricchimenti di entità

Nota

Nella colonna Nome arricchimento nelle tabelle di questa sezione vengono visualizzate due righe di informazioni.

  • Il primo, in grassetto, è il "nome descrittivo" dell'arricchimento.
  • Il secondo (in corsivo e parentesi) è il nome del campo dell'arricchimento archiviato nella tabella di Analisi del comportamento.

Campo UsersInsights

La tabella seguente descrive gli arricchimenti inclusi nel campo dinamico UsersInsights nella tabella BehaviorAnalytics:

Nome arricchimento Descrizione Valore di esempio
Nome visualizzato dell'account
(AccountDisplayName)
Nome visualizzato dell'account dell'utente. Amministratore, Hayden Cook
Dominio account
(AccountDomain)
Nome di dominio dell'account dell'utente.
ID oggetto account
(AccountObjectID)
ID oggetto account dell'utente. aaaaaa-0000-1111-2222-bbbbbbbbbbbb
Raggio di esplosione
(BlastRadius)
Il raggio dell'esplosione viene calcolato in base a diversi fattori: la posizione dell'utente nell'albero dell'organizzazione e i ruoli e le autorizzazioni di Microsoft Entra dell'utente. L'utente deve avere la proprietà Manager popolata in Microsoft Entra ID for BlastRadius da calcolare. Basso, medio, elevato
Account inattivo
(IsDormantAccount)
L'account non è stato usato negli ultimi 180 giorni. Vero, falso
Amministratore locale
(IsLocalAdmin)
L'account ha privilegi di amministratore locale. Vero, falso
Nuovo account
(IsNewAccount)
L'account è stato creato negli ultimi 30 giorni. Vero, falso
SID locale
(OnPremisesSID)
SID locale dell'utente correlato all'azione. S-1-5-21-112946627-1321165628-2437342228-1103

Campo DevicesInsights

La tabella seguente descrive gli arricchimenti presenti nel campo dinamico DevicesInsights nella tabella BehaviorAnalytics:

Nome arricchimento Descrizione Valore di esempio
Browser
(Browser)
Browser utilizzato nell'azione. Edge, Chrome
Famiglia di dispositivi
(DeviceFamily)
Famiglia di dispositivi usata nell'azione. Finestre
Tipo di dispositivo
(DeviceType)
Tipo di dispositivo client usato nell'azione Schermo
ISP
(ISP)
Provider di servizi Internet utilizzato nell'azione.
Sistema operativo
(OperatingSystem)
Sistema operativo utilizzato nell'azione. Windows 10
Descrizione dell'indicatore Intel per le minacce
(ThreatIntelIndicatorDescription)
Descrizione dell'indicatore di minaccia osservato risolto dall'indirizzo IP usato nell'azione. L'host è membro di botnet: azorult
Tipo di indicatore Intel per le minacce
(ThreatIntelIndicatorType)
Tipo dell'indicatore di minaccia risolto dall'indirizzo IP usato nell'azione. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Agente utente
(UserAgent)
Agente utente usato nell'azione. Libreria client di Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Famiglia di agenti utente
(UserAgentFamily)
Famiglia di agenti utente usata nell'azione. Chrome, Edge, Firefox

Campo ActivityInsights

Le tabelle seguenti descrivono gli arricchimenti contenuti nel campo dinamico ActivityInsights nella tabella BehaviorAnalytics:

Azione eseguita
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente ha eseguito un'azione
(FirstTimeUserPerformedAction)
180 L'azione è stata eseguita per la prima volta dall'utente. Vero, falso
Azione eseguita raramente dall'utente
(ActionUncommonlyPerformedByUser)
10 L'azione non viene in genere eseguita dall'utente. Vero, falso
Azione eseguita raramente tra i peer
(ActionUncommonlyPerformedAmongPeers)
180 L'azione non viene in genere eseguita tra i peer dell'utente. Vero, falso
Prima azione eseguita nel tenant
(FirstTimeActionPerformedInTenant)
180 L'azione è stata eseguita per la prima volta da chiunque nell'organizzazione. Vero, falso
Azione eseguita raramente nel tenant
(ActionUncommonlyPerformedInTenant)
180 L'azione non viene in genere eseguita nell'organizzazione. Vero, falso
App usata
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente ha usato l'app
(FirstTimeUserUsedApp)
180 L'app è stata usata per la prima volta dall'utente. Vero, falso
App usata raramente dall'utente
(AppUncommonlyUsedByUser)
10 L'app non viene comunemente usata dall'utente. Vero, falso
App usata raramente tra i peer
(AppUncommonlyUsedAmongPeers)
180 L'app non viene comunemente usata tra i peer dell'utente. Vero, falso
Prima volta che l'app è stata osservata nel tenant
(FirstTimeAppObservedInTenant)
180 L'app è stata osservata per la prima volta nell'organizzazione. Vero, falso
App usata raramente nel tenant
(AppUncommonlyUsedInTenant)
180 L'app non viene comunemente usata nell'organizzazione. Vero, falso
Browser usato
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente si è connesso tramite browser
(FirstTimeUserConnectedViaBrowser)
30 Il browser è stato osservato per la prima volta dall'utente. Vero, falso
Browser usato raramente dall'utente
(BrowserUncommonlyUsedByUser)
10 Il browser non viene comunemente usato dall'utente. Vero, falso
Browser usato raramente tra i peer
(BrowserUncommonlyUsedAmongPeers)
30 Il browser non viene comunemente usato tra i peer dell'utente. Vero, falso
Prima volta che il browser è stato osservato nel tenant
(FirstTimeBrowserObservedInTenant)
30 Il browser è stato osservato per la prima volta nell'organizzazione. Vero, falso
Browser usato raramente nel tenant
(BrowserUncommonlyUsedInTenant)
30 Il browser non viene comunemente usato nell'organizzazione. Vero, falso
Paese/area geografica connessa da
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente si è connesso dal paese
(FirstTimeUserConnectedFromCountry)
90 La posizione geografica, risolta dall'indirizzo IP, è stata connessa per la prima volta dall'utente. Vero, falso
Paese non comunemente connesso dall'utente
(CountryUncommonlyConnectedFromByUser)
10 La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa dall'utente. Vero, falso
Paese non comunemente collegato tra colleghi
(CountryUncommonlyConnectedFromAmongPeers)
90 La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa tra i peer dell'utente. Vero, falso
Connessione per la prima volta dal paese osservato nel tenant
(FirstTimeConnectionFromCountryObservedInTenant)
90 Il paese/area geografica è stato connesso per la prima volta da chiunque nell'organizzazione. Vero, falso
Paese non comunemente connesso da nel tenant
(CountryUncommonlyConnectedFromInTenant)
90 La posizione geografica, come risolta dall'indirizzo IP, non è in genere connessa dall'organizzazione. Vero, falso
Dispositivo usato per connettersi
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente si è connesso dal dispositivo
(FirstTimeUserConnectedFromDevice)
30 Il dispositivo di origine è stato connesso per la prima volta dall'utente. Vero, falso
Dispositivo usato raramente dall'utente
(DeviceUncommonlyUsedByUser)
10 Il dispositivo non viene comunemente usato dall'utente. Vero, falso
Dispositivo usato raramente tra i peer
(DeviceUncommonlyUsedAmongPeers)
180 Il dispositivo non viene comunemente usato tra i peer dell'utente. Vero, falso
Prima volta che il dispositivo è stato osservato nel tenant
(FirstTimeDeviceObservedInTenant)
30 Il dispositivo è stato osservato per la prima volta nell'organizzazione. Vero, falso
Dispositivo usato in modo non comune nel tenant
(DeviceUncommonlyUsedInTenant)
180 Il dispositivo non viene comunemente usato nell'organizzazione. Vero, falso
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente ha eseguito l'accesso al dispositivo
(FirstTimeUserLoggedOnToDevice)
180 Il dispositivo di destinazione è stato connesso per la prima volta dall'utente. Vero, falso
Famiglia di dispositivi usata raramente nel tenant
(DeviceFamilyUncommonlyUsedInTenant)
30 La famiglia di dispositivi non viene comunemente usata nell'organizzazione. Vero, falso
Provider di servizi Internet usato per connettersi
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente si è connesso tramite ISP
(FirstTimeUserConnectedViaISP)
30 L'ISP è stato osservato per la prima volta dall'utente. Vero, falso
ISP usato raramente dall'utente
(ISPUncommonlyUsedByUser)
10 L'ISP non viene comunemente usato dall'utente. Vero, falso
ISP usato raramente tra i peer
(ISPUncommonlyUsedAmongPeers)
30 L'ISP non viene comunemente usato tra i peer dell'utente. Vero, falso
Prima connessione tramite ISP nel tenant
(FirstTimeConnectionViaISPInTenant)
30 L'ISP è stato osservato per la prima volta nell'organizzazione. Vero, falso
ISP usato raramente nel tenant
(ISPUncommonlyUsedInTenant)
30 L'ISP non viene comunemente usato nell'organizzazione. Vero, falso
Risorsa a cui si effettua l'accesso
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Prima volta che l'utente ha eseguito l'accesso alla risorsa
(FirstTimeUserAccessedResource)
180 La risorsa è stata accessibile per la prima volta dall'utente. Vero, falso
Risorsa a cui si accede raramente dall'utente
(ResourceUncommonlyAccessedByUser)
10 La risorsa non è in genere accessibile dall'utente. Vero, falso
Risorsa a cui si accede raramente tra peer
(ResourceUncommonlyAccessedAmongPeers)
180 La risorsa non è in genere accessibile tra i peer dell'utente. Vero, falso
Prima volta che si accede alle risorse nel tenant
(FirstTimeResourceAccessedInTenant)
180 La risorsa è stata accessibile per la prima volta da chiunque nell'organizzazione. Vero, falso
Risorsa a cui si accede raramente nel tenant
(ResourceUncommonlyAccessedInTenant)
180 La risorsa non è in genere accessibile all'interno dell'organizzazione. Vero, falso
Varie
Nome arricchimento Baseline (giorni) Descrizione Valore di esempio
Ultima azione eseguita dall'utente
(LastTimeUserPerformedAction)
180 Ora dell'ultima esecuzione dell'azione da parte dell'utente. <Timestamp:>
Un'azione simile non è stata eseguita in passato
(SimilarActionWasn'tPerformedInThePast)
30 Nessuna azione nello stesso provider di risorse è stata eseguita dall'utente. Vero, falso
Percorso IP di origine
(SourceIPLocation)
N/D Paese/area geografica risolto dall'indirizzo IP di origine dell'azione. [Surrey, Inghilterra]
Volume elevato non comune di operazioni
(Non comuneHighVolumeOfOperations)
7 Un utente ha eseguito un burst di operazioni simili all'interno dello stesso provider Vero, falso
Numero insolito di errori di accesso condizionale di Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 Un numero insolito di utenti non è riuscito ad eseguire l'autenticazione a causa dell'accesso condizionale Vero, falso
Numero insolito di dispositivi aggiunti
(UnusualNumberOfDevicesAdded)
5 Un utente ha aggiunto un numero insolito di dispositivi. Vero, falso
Numero insolito di dispositivi eliminati
(UnusualNumberOfDevicesDeleted)
5 Un utente ha eliminato un numero insolito di dispositivi. Vero, falso
Numero insolito di utenti aggiunti al gruppo
(UnusualNumberOfUsersAddedToGroup)
5 Un utente ha aggiunto un numero insolito di utenti a un gruppo. Vero, falso

Tabella IdentityInfo

Dopo aver abilitato e configurato UEBA per l'area di lavoro di Microsoft Sentinel, i dati utente dei provider di identità Microsoft vengono sincronizzati con la tabella IdentityInfo in Log Analytics per l'uso in Microsoft Sentinel.

Questi provider di identità sono o entrambi i seguenti, a seconda della selezione selezionata al momento della configurazione dell'UEBA:

  • Microsoft Entra ID (basato sul cloud)
  • Microsoft Active Directory (locale, richiede Microsoft Defender per identità))

È possibile eseguire query sulla tabella IdentityInfo nelle regole di analisi, nelle query di ricerca e nelle cartelle di lavoro, migliorando l'analisi in base ai casi d'uso e riducendo i falsi positivi.

Anche se la sincronizzazione iniziale può richiedere alcuni giorni, una volta che i dati sono completamente sincronizzati:

  • Ogni 14 giorni, Microsoft Sentinel si sincronizza nuovamente con l'intero ID Microsoft Entra (e l'istanza locale di Active Directory, se applicabile) per garantire che i record non aggiornati vengano aggiornati completamente.

  • Oltre a queste normali sincronizzazioni complete, ogni volta che vengono apportate modifiche ai profili utente, ai gruppi e ai ruoli predefiniti in Microsoft Entra ID, i record utente interessati vengono reinserito e aggiornati nella tabella IdentityInfo entro 15-30 minuti. Questo inserimento viene fatturato a tariffe regolari. Per esempio:

    • È stato modificato un attributo utente, ad esempio il nome visualizzato, il titolo del processo o l'indirizzo di posta elettronica. Un nuovo record per questo utente viene inserito nella tabella IdentityInfo , con i campi pertinenti aggiornati.

    • Il gruppo A include 100 utenti. 5 utenti vengono aggiunti al gruppo o rimossi dal gruppo. In questo caso, i 5 record utente vengono reinserito e i relativi campi GroupMembership vengono aggiornati.

    • Il gruppo A include 100 utenti. Dieci utenti vengono aggiunti al gruppo A. Inoltre, i gruppi A1 e A2, ognuno con 10 utenti, viene aggiunto al gruppo A. In questo caso, vengono ri-inseriti 30 record utente e aggiornati i relativi campi GroupMembership . Ciò si verifica perché l'appartenenza ai gruppi è transitiva, quindi le modifiche ai gruppi influiscono su tutti i sottogruppi.

    • Il gruppo B (con 50 utenti) viene rinominato Group BeGood. In questo caso, vengono ri-inseriti 50 record utente e i relativi campi GroupMembership aggiornati. Se sono presenti sottogruppi in tale gruppo, lo stesso accade per tutti i record dei membri.

  • Il tempo di conservazione predefinito nella tabella IdentityInfo è di 30 giorni.

Limiti

  • Il campo AssignedRoles supporta solo i ruoli predefiniti.

  • Il campo GroupMembership supporta l'elenco di un massimo di 500 gruppi per utente, inclusi i sottogruppi. Se un utente è membro di più di 500 gruppi, solo i primi 500 vengono sincronizzati con la tabella IdentityInfo . I gruppi non vengono tuttavia valutati in un ordine particolare, quindi a ogni nuova sincronizzazione (ogni 14 giorni), è possibile che un set diverso di gruppi venga aggiornato al record utente.

  • Quando un utente viene eliminato, il record dell'utente non viene eliminato immediatamente dalla tabella IdentityInfo . Il motivo è che uno degli scopi di questa tabella è controllare le modifiche apportate ai record utente. Pertanto, si vuole che questa tabella contenga un record di un utente eliminato, che può verificarsi solo se il record utente nella tabella IdentityInfo esiste ancora, anche se l'utente effettivo (ad esempio, in Entra ID) viene eliminato.

    Gli utenti eliminati possono essere identificati dalla presenza di un valore nel deletedDateTime campo . Pertanto, se è necessaria una query per visualizzare un elenco di utenti, è possibile escludere gli utenti eliminati aggiungendo | where IsEmpty(deletedDateTime) alla query.

    A un determinato intervallo di tempo dopo l'eliminazione di un utente, anche il record dell'utente viene rimosso dalla tabella IdentityInfo .

  • Quando un gruppo viene eliminato o se un gruppo con più di 100 membri è cambiato il nome, i record utente del gruppo non vengono aggiornati. Se una modifica diversa causa l'aggiornamento di uno dei record di tali utenti, le informazioni aggiornate sul gruppo verranno incluse a quel punto.

Altre versioni della tabella IdentityInfo

Esistono effettivamente più versioni della tabella IdentityInfo :

  • La versione dello schema di Log Analytics , descritta in questo articolo, serve Microsoft Sentinel nel portale di Azure. È disponibile per i clienti che hanno abilitato UEBA.

  • La versione dello schema di ricerca avanzata serve il portale di Microsoft Defender tramite Microsoft Defender per identità. È disponibile per i clienti di Microsoft Defender XDR, con o senza Microsoft Sentinel e per i clienti di Microsoft Sentinel stesso nel portale di Defender.

    UEBA non deve essere abilitato per poter accedere a questa tabella. Tuttavia, per i clienti senza UEBA abilitato, i campi popolati dai dati UEBA non sono visibili o disponibili.

    Per altre informazioni, vedere la documentazione della versione di ricerca avanzata di questa tabella.

  • A partire da maggio 2025, i clienti di Microsoft Sentinel nel portale di Microsoft Defendercon UEBA abilitatoiniziano a usare una nuova versione della versione di ricerca avanzata . Questa nuova versione include tutti i campi UEBA della versione di Log Analytics e alcuni nuovi campi e viene definito versione unificata o tabella IdentityInfo unificata.

    I clienti del portale di Defender senza ueba abilitato o senza Microsoft Sentinel continuano a usare la versione precedente della versione di ricerca avanzata, senza i campi generati da UEBA.

    Per altre informazioni sulla versione unificata, vedere IdentityInfo nella documentazione sulla ricerca avanzata.

Diagramma

La tabella nella scheda "Schema di Log Analytics" seguente descrive i dati di identità utente inclusi nella tabella IdentityInfo in Log Analytics nel portale di Azure.

Se si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, selezionare la scheda "Confronta con uno schema unificato" per visualizzare le modifiche che potrebbero influire potenzialmente sulle query nelle regole e nelle ricerche delle minacce.

Nome del campo Tipo Descrizione
AccountCloudSID corda Identificatore di sicurezza di Microsoft Entra dell'account.
AccountCreationTime data e ora Data di creazione dell'account utente (UTC).
AccountDisplayName corda Nome visualizzato dell'account utente.
AccountDomain corda Nome di dominio dell'account utente.
AccountName corda Nome utente dell'account utente.
AccountObjectId corda ID oggetto Microsoft Entra per l'account utente.
AccountSID corda Identificatore di sicurezza locale dell'account utente.
AccountTenantId corda ID tenant di Microsoft Entra dell'account utente.
AccountUPN corda Nome dell'entità utente dell'account utente.
AdditionalMailAddresses dinamico Indirizzi di posta elettronica aggiuntivi dell'utente.
AssignedRoles dinamico I ruoli di Microsoft Entra a cui è assegnato l'account utente. Sono supportati solo i ruoli predefiniti.
BlastRadius corda Calcolo basato sulla posizione dell'utente nell'albero dell'organizzazione e sui ruoli e sulle autorizzazioni di Microsoft Entra dell'utente.
Valori possibili: Bassa, Media, Alta
Changesource corda Origine della modifica più recente all'entità.
Valori possibili:
  • AzureActiveDirectory
  • Istanza di ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
  • Città corda Città dell'account utente.
    Nome Azienda corda Nome della società a cui appartiene l'utente.
    Paese corda Paese/area geografica dell'account utente.
    DeletedDateTime data e ora Data e ora di eliminazione dell'utente.
    Dipartimento corda Reparto dell'account utente.
    EmployeeId corda Identificatore del dipendente assegnato all'utente dall'organizzazione.
    GivenName corda Nome specificato dell'account utente.
    GroupMembership dinamico Gruppi di ID Microsoft Entra in cui l'account utente è membro.
    IsAccountEnabled Bool Indica se l'account utente è abilitato o meno in Microsoft Entra ID.
    Titolo di lavoro corda Titolo del processo dell'account utente.
    MailAddress corda Indirizzo di posta elettronica principale dell'account utente.
    Responsabile corda Alias di gestione dell'account utente.
    OnPremisesDistinguishedName corda Nome distinto (DN) dell'ID Microsoft Entra. Un nome distinto è una sequenza di nomi distinti relativi (RDN), connessi da virgole.
    Telefono corda Numero di telefono dell'account utente.
    RiskLevel corda Livello di rischio di Microsoft Entra ID dell'account utente.
    Valori possibili:
  • Basso
  • Medio
  • Alta
  • RiskLevelDetails corda Dettagli relativi al livello di rischio di Microsoft Entra ID.
    RiskState corda Indica se l'account è a rischio o se il rischio è stato risolto.
    SourceSystem corda Sistema in cui viene gestito l'utente.
    Valori possibili:
  • AzureActiveDirectory
  • Istanza di ActiveDirectory
  • Ibrido
  • Stato corda Stato geografico dell'account utente.
    StreetAddress corda Indirizzo dell'ufficio dell'account utente.
    Cognome corda Cognome dell'utente. del servizio.
    TenantId corda ID tenant dell'utente.
    TimeGenerated data e ora Ora in cui l'evento è stato generato (UTC).
    Digitare corda Nome della tabella.
    UserAccountControl dinamico Attributi di sicurezza dell'account utente nel dominio di Active Directory.
    I valori possibili (possono contenere più di uno):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegaNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState corda Stato corrente dell'account utente in Microsoft Entra ID.
    Valori possibili:
  • Attivo
  • Disabile
  • Quiescente
  • Serrata
  • UserStateChangedOn data e ora Data dell'ultima modifica dello stato dell'account (UTC).
    UserType corda Tipo di utente.

    I campi seguenti, mentre sono presenti nello schema di Log Analytics, devono essere ignorati, perché non vengono usati o supportati da Microsoft Sentinel:

    • Applicazioni
    • EntityRiskScore
    • ExtensionProperty
    • Priorità d'indagine
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • LastSeenDate
    • OnPremisesExtensionAttributes
    • RelatedAccounts
    • Principi di Servizio
    • Etichette
    • UACFlags

    Passaggi successivi

    Questo documento descrive lo schema della tabella di analisi del comportamento delle entità di Microsoft Sentinel.