Microsoft Sentinel UEBA リファレンス

このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。

Important

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。

UEBA データ ソース

これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。

Data source	Events
Microsoft Entra ID Sign-in logs	All
Microsoft Entra ID Audit logs	ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory
Azure アクティビティ ログ	Authorization AzureActiveDirectory Billing Compute 従量課金 KeyVault Devices Network Resources Intune Logic Sql Storage
Windows セキュリティ イベント WindowsEvent or SecurityEvent	4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに特権が割り当てられました 4688: 新しいプロセスが作成されました

UEBA enrichments

このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 These enrichments are displayed on entity pages and can be found in the following Log Analytics tables, the contents and schema of which are listed below:

• The BehaviorAnalytics table is where UEBA's output information is stored.

  BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。

  • The UsersInsights and DevicesInsights fields contain entity information from Active Directory / Microsoft Entra ID and Microsoft Threat Intelligence sources.

  • The ActivityInsights field contains entity information based on the behavioral profiles built by Microsoft Sentinel's entity behavior analytics.

    ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自に定義されたルックバック期間があります。 The lookback period is specified in the Baseline column in this table.

• The IdentityInfo table is where identity information synchronized to UEBA from Microsoft Entra ID (and from on-premises Active Directory via Microsoft Defender for Identity) is stored.

BehaviorAnalytics table

次の表では、Microsoft Sentinel の各 エンティティの詳細ページ に表示される動作分析データについて説明します。

Field	タイプ	Description
TenantId	文字列	テナントの一意の ID 番号。
SourceRecordId	文字列	EBA イベントの一意の ID 番号。
TimeGenerated	datetime	アクティビティの発生のタイムスタンプ。
TimeProcessed	datetime	EBA エンジンによるアクティビティの処理のタイムスタンプ。
ActivityType	文字列	アクティビティの高レベルのカテゴリ。
ActionType	文字列	アクティビティの標準化名。
UserName	文字列	アクティビティを開始したユーザーのユーザー名。
UserPrincipalName	文字列	アクティビティを開始したユーザーの完全なユーザー名。
EventSource	文字列	元のイベントを提供したデータ ソース。
SourceIPAddress	文字列	アクティビティが開始された元の IP アドレス。
SourceIPLocation	文字列	アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。
SourceDevice	文字列	アクティビティを開始したデバイスのホスト名。
DestinationIPAddress	文字列	アクティビティのターゲットの IP アドレス。
DestinationIPLocation	文字列	IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。
DestinationDevice	文字列	ターゲット デバイスの名前。
UsersInsights	dynamic	The contextual enrichments of involved users (details below).
DevicesInsights	dynamic	The contextual enrichments of involved devices (details below).
ActivityInsights	dynamic	The contextual analysis of activity based on our profiling (details below).
InvestigationPriority	int	0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。

エンティティ エンリッチメントの動的フィールド

Note

The Enrichment name column in the tables in this section displays two rows of information.

• The first, in bold, is the "friendly name" of the enrichment.
• 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。

UsersInsights field

The following table describes the enrichments featured in the UsersInsights dynamic field in the BehaviorAnalytics table:

Enrichment name	Description	Sample value
アカウントの表示名 (AccountDisplayName)	ユーザーのアカウント表示名。	Admin、Hayden Cook
Account domain (AccountDomain)	ユーザーのアカウント ドメイン名。
アカウント オブジェクト ID (AccountObjectID)	ユーザーのアカウント オブジェクト ID。	aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Blast radius (BlastRadius)	影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 User must have Manager property populated in Microsoft Entra ID for BlastRadius to be calculated.	低、中、高
休止中のアカウント (IsDormantAccount)	アカウントは過去 180 日間使用されていません。	True, False
ローカル管理者 (IsLocalAdmin)	アカウントにはローカル管理者特権があります。	True, False
新しいアカウント (IsNewAccount)	アカウントは過去 30 日以内に作成されました。	True, False
オンプレミス SID (OnPremisesSID)	アクションに関連するユーザーのオンプレミスの SID。	S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights field

The following table describes the enrichments featured in the DevicesInsights dynamic field in the BehaviorAnalytics table:

Enrichment name	Description	Sample value
Browser (Browser)	アクションで使用されたブラウザー。	Edge, Chrome
Device family (DeviceFamily)	アクションで使用されたデバイス ファミリ。	Windows
Device type (DeviceType)	アクションで使用されたクライアント デバイスの種類	Desktop
ISP (ISP)	アクションで使用されたインターネット サービス プロバイダー。
Operating system (OperatingSystem)	アクションで使用されたオペレーティング システム。	Windows 10
脅威 intel インジケーターの説明 (ThreatIntelIndicatorDescription)	アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。	Host  is  member  of  botnet:  azorult (ホストはボットネット azorult のメンバーである)
脅威 intel インジケーターの種類 (ThreatIntelIndicatorType)	アクションで使用された IP アドレスから解決された脅威インジケーターの種類。	Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist
User agent (UserAgent)	アクションで使用されたユーザー エージェント。	Microsoft Azure Graph Client Library 1.0、 ​Swagger-Codegen/1.4.0.0/csharp, EvoSTS
ユーザー エージェント ファミリ (UserAgentFamily)	アクションで使用されたユーザー エージェント ファミリ。	Chrome、Microsoft Edge、Firefox

ActivityInsights field

The following tables describe the enrichments featured in the ActivityInsights dynamic field in the BehaviorAnalytics table:

Action performed

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが初めてアクションを実行した場合 (FirstTimeUserPerformedAction)	180	そのユーザーはそのアクションを初めて実行しました。	True, False
ユーザーが一般的に実行するアクション (ActionUncommonlyPerformedByUser)	10	そのユーザーはそのアクションをあまり実行しません。	True, False
ピア間で一般的に実行されていないアクション (ActionUncommonlyPerformedAmongPeers)	180	ユーザーの同僚はそのアクションをあまり実行しません。	True, False
テナントで初めて実行されたアクション (FirstTimeActionPerformedInTenant)	180	組織内の誰かが、そのアクションを初めて実行しました。	True, False
テナントで一般的に実行されていないアクション (ActionUncommonlyPerformedInTenant)	180	その組織ではそのアクションをあまり実行しません。	True, False

App used

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが初めてアプリを使用した場合 (FirstTimeUserUsedApp)	180	そのユーザーはそのアプリを初めて使用しました。	True, False
ユーザーが一般的に使用するアプリ (AppUncommonlyUsedByUser)	10	そのユーザーはそのアプリをあまり使用しません。	True, False
ピア間で一般的に使用されていないアプリ (AppUncommonlyUsedAmongPeers)	180	ユーザーの同僚はそのアプリをあまり使用しません。	True, False
テナントで初めてアプリが観察された (FirstTimeAppObservedInTenant)	180	そのアプリは、その組織で初めて観察されました。	True, False
テナントで一般的に使用されていないアプリ (AppUncommonlyUsedInTenant)	180	そのアプリはその組織ではあまり使用されません。	True, False

Browser used

Enrichment name	Baseline (days)	Description	Sample value
ブラウザー経由で初めてユーザーが接続された場合 (FirstTimeUserConnectedViaBrowser)	30	そのユーザーによるそのブラウザーの使用が初めて観察されました。	True, False
ユーザーが一般的に使用するブラウザー (BrowserUncommonlyUsedByUser)	10	そのユーザーはそのブラウザーをあまり使用しません。	True, False
ピア間で一般的に使用されていないブラウザー (BrowserUncommonlyUsedAmongPeers)	30	ユーザーの同僚はそのブラウザーをあまり使用しません。	True, False
テナントで初めてブラウザーが観察された (FirstTimeBrowserObservedInTenant)	30	そのブラウザーは、その組織で初めて観察されました。	True, False
テナントで一般的に使用されていないブラウザー (BrowserUncommonlyUsedInTenant)	30	そのブラウザーはその組織ではあまり使用されません。	True, False

接続先の国/地域

Enrichment name	Baseline (days)	Description	Sample value
初めてユーザーが国から接続した場合 (FirstTimeUserConnectedFromCountry)	90	IP アドレスからの解決で、その地域のユーザーが初めて接続しました。	True, False
ユーザーが接続する国が一般的ではない (CountryUncommonlyConnectedFromByUser)	10	IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。	True, False
ピア間で一般的に接続されていない国 (CountryUncommonlyConnectedFromAmongPeers)	90	IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。	True, False
テナントで観察された国からの初めての接続 (FirstTimeConnectionFromCountryObservedInTenant)	90	国/地域は、組織内のすべてのユーザーによって初めて接続されました。	True, False
テナントで一般的に接続されていない国 (CountryUncommonlyConnectedFromInTenant)	90	IP アドレスからの解決で、テナントはその地域からあまり接続されません。	True, False

接続に使用されたデバイス

Enrichment name	Baseline (days)	Description	Sample value
デバイスから初めてユーザーが接続された場合 (FirstTimeUserConnectedFromDevice)	30	そのユーザーはそのソース デバイスから初めて接続しました。	True, False
ユーザーによって一般的に使用されていないデバイス (DeviceUncommonlyUsedByUser)	10	そのユーザーはそのデバイスをあまり使用しません。	True, False
ピア間で一般的に使用されていないデバイス (DeviceUncommonlyUsedAmongPeers)	180	ユーザーの同僚はそのデバイスをあまり使用しません。	True, False
テナントで初めてデバイスが観察される (FirstTimeDeviceObservedInTenant)	30	そのデバイスは、その組織で初めて観察されました。	True, False
テナントで一般的に使用されていないデバイス (DeviceUncommonlyUsedInTenant)	180	そのデバイスはその組織ではあまり使用されません。	True, False

Other device-related

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが初めてデバイスにログオンした場合 (FirstTimeUserLoggedOnToDevice)	180	そのユーザーはそのターゲット デバイスに初めて接続しました。	True, False
テナントで一般的に使用されていないデバイス ファミリ (DeviceFamilyUncommonlyUsedInTenant)	30	そのデバイス ファミリはその組織ではあまり使用されません。	True, False

接続に使用されたインターネット サービス プロバイダー

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが ISP 経由で初めて接続した場合 (FirstTimeUserConnectedViaISP)	30	そのユーザーによるその ISP の使用が初めて観察されました。	True, False
ユーザーが一般的に使用する ISP (ISPUncommonlyUsedByUser)	10	そのユーザーはその ISP をあまり使用しません。	True, False
ISP がピア間で一般的に使用されていない (ISPUncommonlyUsedAmongPeers)	30	ユーザーの同僚はその ISP をあまり使用しません。	True, False
テナント内の ISP 経由の初めての接続 (FirstTimeConnectionViaISPInTenant)	30	その ISP は、その組織で初めて観察されました。	True, False
テナントで一般的に使用されていない ISP (ISPUncommonlyUsedInTenant)	30	その ISP はその組織ではあまり使用されません。	True, False

Resource accessed

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが初めてリソースにアクセスした場合 (FirstTimeUserAccessedResource)	180	そのリソースはそのユーザーによって初めてアクセスされました。	True, False
ユーザーが一般的でないリソースにアクセスする (ResourceUncommonlyAccessedByUser)	10	そのユーザーはそのリソースにあまりアクセスしません。	True, False
ピア間で一般的でないリソースへのアクセス (ResourceUncommonlyAccessedAmongPeers)	180	ユーザーの同僚はそのリソースにあまりアクセスしません。	True, False
テナントで初めてアクセスされたリソース (FirstTimeResourceAccessedInTenant)	180	組織内の誰かが、そのリソースに初めてアクセスしました。	True, False
テナントで一般的でないリソースにアクセスする (ResourceUncommonlyAccessedInTenant)	180	その組織はそのリソースにあまりアクセスしません。	True, False

Miscellaneous

Enrichment name	Baseline (days)	Description	Sample value
ユーザーが最後にアクションを実行した時刻 (LastTimeUserPerformedAction)	180	ユーザーが同じアクションを最後に実行した日時。	<タイムスタンプ>
過去に同様のアクションが実行されませんでした (SimilarActionWasn'tPerformedInThePast)	30	同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。	True, False
ソース IP の場所 (SourceIPLocation)	N/A	アクションのソース IP から解決された国/地域。	[Surrey, England]
一般的でない大量の操作 (UncommonHighVolumeOfOperations)	7	ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。	True, False
Microsoft Entra の条件付きアクセスエラーの異常な数 (UnusualNumberOfAADConditionalAccessFailures)	5	条件付きアクセスにより、異常な数のユーザーが認証に失敗しました	True, False
異常な数のデバイスが追加されました (UnusualNumberOfDevicesAdded)	5	ユーザーが異常な数のデバイスを追加しました。	True, False
通常とは異なる数のデバイスが削除されました (UnusualNumberOfDevicesDeleted)	5	ユーザーが異常な数のデバイスを削除しました。	True, False
グループに追加されたユーザーの異常な数 (UnusualNumberOfUsersAddedToGroup)	5	ユーザーが異常な数のユーザーをグループに追加しました。	True, False

IdentityInfo table

Microsoft Sentinel ワークスペースの UEBA を有効にして構成 すると、Microsoft Sentinel で使用するために、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期されます。

これらの ID プロバイダーは、UEBA の構成時に選択した ID プロバイダーに応じて、次のいずれかまたは両方になります。

• Microsoft Entra ID (クラウドベース)
• Microsoft Active Directory (オンプレミス、Microsoft Defender for Identity が必要)

You can query the IdentityInfo table in analytics rules, hunting queries, and workbooks, enhancing your analytics to fit your use cases and reducing false positives.

初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。

• Microsoft Sentinel は、古いレコードが完全に更新されるように、14 日ごとに Microsoft Entra ID 全体 (および該当する場合はオンプレミスの Active Directory) と再同期します。

• Besides these regular full synchronizations, whenever changes are made to your user profiles, groups, and built-in roles in Microsoft Entra ID, the affected user records are re-ingested and updated in the IdentityInfo table within 15-30 minutes. このインジェストは通常の料金で課金されます。 For example:

  • 表示名、役職、メール アドレスなどのユーザー属性が変更されました。 A new record for this user is ingested into the IdentityInfo table, with the relevant fields updated.

  • グループ A には 100 人のユーザーが含まれます。5 人のユーザーがグループに追加されるか、グループから削除されます。 In this case, those 5 user records are re-ingested, and their GroupMembership fields updated.

  • グループ A には 100 人のユーザーが含まれます。 Ten users are added to Group A. Also, groups A1 and A2, each with 10 users, are added to Group A. In this case, 30 user records are re-ingested and their GroupMembership fields updated. これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響を与えるためです。

  • グループ B (50 ユーザー) の名前が Group BeGood に変更されました。 In this case, 50 user records are re-ingested and their GroupMembership fields updated. そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。

• Default retention time in the IdentityInfo table is 30 days.

Limitations

• The AssignedRoles field supports only built-in roles.

• The GroupMembership field supports listing up to 500 groups per user, including subgroups. If a user is a member of more than 500 groups, only the first 500 are synchronized with the IdentityInfo table. ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。

• When a user is deleted, that user's record is not immediately deleted from the IdentityInfo table. その理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 Therefore, we want this table to have a record of a user being deleted, which can only happen if the user record in the IdentityInfo table still exists, even though the actual user (say, in Entra ID) is deleted.

  削除されたユーザーは、 deletedDateTime フィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに | where IsEmpty(deletedDateTime) を追加して、削除されたユーザーを除外できます。

  At a certain interval of time after a user was deleted, the user's record is eventually removed from the IdentityInfo table as well.

• グループが削除された場合、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってユーザーのレコードのいずれかが更新された場合、その時点で更新されたグループ情報が含まれます。

IdentityInfo テーブルのその他のバージョン

There are actually multiple versions of the IdentityInfo table:

• The Log Analytics schema version, discussed in this article, serves Microsoft Sentinel in the Azure portal. UEBA を有効にしたユーザーが利用できます。

• The Advanced hunting schema version serves the Microsoft Defender portal via Microsoft Defender for Identity. Microsoft Sentinel の有無にかかわらず、Microsoft Defender XDR のお客様、および Microsoft Sentinel のお客様が Defender ポータルで単独で利用できます。

  このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示されず、使用できません。

  詳細については、 この表の 高度なハンティング バージョンのドキュメントを参照してください。

• 2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルの Microsoft Sentinel のお客様は、高度なハンティング バージョンの新しいリリースの使用を開始します。 This new release includes all the UEBA fields from the Log Analytics version as well as some new fields, and is referred to as the unified version or the unified IdentityInfo table.

  UEBA が有効になっていない、または Microsoft Sentinel がまったくない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced Hunting バージョンの以前のリリースを引き続き使用します。

  統合バージョンの詳細については、高度なハンティングドキュメントの IdentityInfo を参照してください。

Schema

The table in the following "Log Analytics schema" tab describes the user identity data included in the IdentityInfo table in Log Analytics in the Azure portal.

Microsoft Sentinel を Defender ポータルにオンボードする場合は、[Compare to unified schema]\(統合スキーマと比較\) タブを選択して、脅威検出ルールと検出のクエリに影響する可能性のある変更を表示します。

Log Analytics スキーマ

Field name	タイプ	Description
AccountCloudSID	文字列	アカウントの Microsoft Entra セキュリティ識別子。
AccountCreationTime	datetime	ユーザー アカウントが作成された日付 (UTC)。
AccountDisplayName	文字列	ユーザー アカウントの表示名。
AccountDomain	文字列	ユーザー アカウントのドメイン名。
AccountName	文字列	ユーザー アカウントのユーザー名。
AccountObjectId	文字列	ユーザー アカウントの Microsoft Entra オブジェクト ID。
AccountSID	文字列	ユーザー アカウントのオンプレミス セキュリティ識別子。
AccountTenantId	文字列	ユーザー アカウントの Microsoft Entra テナント ID。
AccountUPN	文字列	ユーザー アカウントのユーザー プリンシパル名。
AdditionalMailAddresses	dynamic	ユーザーの追加のメール アドレス。
AssignedRoles	dynamic	ユーザー アカウントが割り当てられている Microsoft Entra ロール。 組み込みロールのみがサポートされています。
BlastRadius	文字列	組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。 使用可能な値: "低、中、高"
ChangeSource	文字列	エンティティに対し、最新の変更があるソース。 Possible values: AzureActiveDirectory ActiveDirectory UEBA Watchlist FullSync
City	文字列	ユーザー アカウントの市。
CompanyName	文字列	ユーザーが属する会社名。
Country	文字列	ユーザー アカウントの国/地域。
DeletedDateTime	datetime	ユーザーが削除された日時。
Department	文字列	ユーザー アカウントの部門。
EmployeeId	文字列	組織によりユーザーに割り当てられた従業員 ID。
GivenName	文字列	ユーザー アカウントの名。
GroupMembership	dynamic	ユーザー アカウントがメンバーである Microsoft Entra ID グループ。
IsAccountEnabled	bool	ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。
JobTitle	文字列	ユーザー アカウントの役職。
MailAddress	文字列	ユーザー アカウントのプライマリ メール アドレス。
Manager	文字列	ユーザー アカウントのマネージャーの別名。
OnPremisesDistinguishedName	文字列	Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。
Phone	文字列	ユーザー アカウントの電話番号。
RiskLevel	文字列	ユーザー アカウントの Microsoft Entra ID リスク レベル。 Possible values: Low Medium High
RiskLevelDetails	文字列	Microsoft Entra ID リスク レベルに関する詳細。
RiskState	文字列	アカウントが現在危険にさらされているか、リスクが修復されたかを示します。
SourceSystem	文字列	ユーザーが管理されているシステム。 Possible values: AzureActiveDirectory ActiveDirectory Hybrid
State	文字列	ユーザー アカウントの地理的な状態。
StreetAddress	文字列	ユーザー アカウントのオフィスの番地。
Surname	文字列	ユーザーの姓名の姓。 account.
TenantId	文字列	ユーザーのテナント ID。
TimeGenerated	datetime	イベントが生成された時刻 (UTC)。
Type	文字列	テーブルの名前。
UserAccountControl	dynamic	AD ドメイン内のユーザー アカウントのセキュリティ属性。 指定できる値 (複数の値を含む場合があります): AccountDisabled HomedirRequired AccountLocked PasswordNotRequired CannotChangePassword EncryptedTextPasswordAllowed TemporaryDuplicateAccount NormalAccount InterdomainTrustAccount WorkstationTrustAccount ServerTrustAccount PasswordNeverExpires MnsLogonAccount SmartcardRequired TrustedForDelegation DelegationNotAllowed UseDesKeyOnly DontRequirePreauthentication PasswordExpired TrustedToAuthenticationForDelegation PartialSecretsAccount UseAesKeys
UserState	文字列	Microsoft Entra ID におけるユーザー アカウントの現在の状態。 Possible values: Active Disabled Dormant Lockout
UserStateChangedOn	datetime	アカウントの状態が最後に変更された日付 (UTC)。
UserType	文字列	ユーザーの種類。

次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。

• Applications
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• Tags
• UACFlags

統合スキーマと比較する

統合バージョンでは、次のフィールドの名前が変更されました。 そのため、Microsoft Sentinel を Defender ポータルにオンボードする場合は、これらのフィールドへの参照がないかクエリを確認し、必要に応じて更新します。

Log Analytics フィールド名	統合スキーマ フィールド名
AccountCloudSID	CloudSid
AccountCreationTime	CreatedDateTime
AccountSID	OnPremSid
AccountTenantId	TenantId
AccountUPN	AccountUpn
AdditionalMailAddresses	OtherMailAddresses
MailAddress	EmailAddress
OnPremisesAccountObjectId	OnPremObjectId
OnPremisesDistinguishedName	DistinguishedName
RiskState	RiskStatus
SAMAccountName	AccountName
SourceSystem	IdentityEnvironment
StreetAddress	Address
Type	IdentityType
UserType	TenantMembershipType

統合バージョンでは、次のフィールド名が存在しなくなりました。 それらを参照するすべてのクエリから削除してください。

• TenantID—this field does not contain the same information as the TenantId field that replaces the AccountTenantId field.
• UserState
• UserStateChangedOn

次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。

• Applications
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• Tags
• UACFlags

これらのフィールドは、新しい統合スキーマにはまったく存在しません。

Next steps

このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。

• エンティティの動作分析について詳しくは、こちらをご覧ください。
• Microsoft Sentinel で UEBA を有効にします。
• 調査に使用する UEBA を配置 します。