この記事では、Microsoft Sentinelの User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。
重要
2027 年 3 月 31 日以降、Microsoft SentinelはAzure portalでサポートされなくなり、Microsoft Defender ポータルでのみ使用できるようになります。 Azure portalでMicrosoft Sentinelを使用しているすべてのお客様は、Defender ポータルにリダイレクトされ、Defender ポータルでのみMicrosoft Sentinelを使用します。
Azure portalでMicrosoft Sentinelを引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defenderによって提供される統合セキュリティ操作エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。
UEBA データ ソース
これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA は、これらのソースからのデータを調び、異常を見つけ、分析情報を収集します。
| データ ソース | Connector | Log Analytics テーブル | 分析されたイベント カテゴリ |
|---|---|---|---|
| AAD マネージド ID サインイン ログ (プレビュー) | Microsoft Entra ID | AADManagedIdentitySignInLogs | すべてのマネージド ID サインイン イベント |
| AAD サービス プリンシパルのサインイン ログ (プレビュー) | Microsoft Entra ID | AADServicePrincipalSignInLogs | すべてのサービス プリンシパル サインイン イベント |
| 監査ログ | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement デバイス RoleManagement UserManagementCategory |
| AWS CloudTrail (プレビュー) |
Amazon Web Services アマゾン ウェブ サービス S3 |
AWSCloudTrail | コンソール サインイン イベント。EventName = "ConsoleLogin"とEventSource = "signin.amazonaws.com"によって識別されます。 イベントには有効な UserIdentityPrincipalIdが必要です。 |
| Azure アクティビティ | Azure アクティビティ | AzureActivity | Authorization AzureActiveDirectory 請求 計算 消費 KeyVault デバイス Network リソース Intune ロジック Sql ストレージ |
| デバイス ログオン イベント (プレビュー) | Microsoft Defender XDR | DeviceLogonEvents | すべてのデバイス ログオン イベント |
| GCP 監査ログ (プレビュー) | GCP Pub/Sub 監査ログ | GCPAuditLogs |
apigee.googleapis.com- API Management プラットフォームiam.googleapis.com - ID とアクセス管理 (IAM) サービスiamcredentials.googleapis.com - IAM サービス アカウント資格情報 APIcloudresourcemanager.googleapis.com- クラウド Resource Manager APIcompute.googleapis.com - コンピューティング エンジン APIstorage.googleapis.com - Cloud Storage APIcontainer.googleapis.com - Kubernetes Engine APIk8s.io - Kubernetes APIcloudsql.googleapis.com - クラウド SQL APIbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - BigQuery データ転送サービス APIcloudfunctions.googleapis.com - Cloud Functions APIappengine.googleapis.com - アプリ エンジン APIdns.googleapis.com - クラウド DNS APIbigquerydatapolicy.googleapis.com - BigQuery データ ポリシー APIfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - Dataproc APIosconfig.googleapis.com - OS Config APIcloudkms.googleapis.com - クラウド KMS APIsecretmanager.googleapis.com - Secret Manager APIイベントには有効なが必要です。 - PrincipalEmail - API を呼び出したユーザーまたはサービス アカウント- MethodName - という特定の Google API メソッド- user@domain.com 形式のプリンシパル 電子メール。 |
| Okta CL (プレビュー) | Okta 単一 Sign-On (Azure Functionsを使用) | Okta_CL | 認証、多要素認証 (MFA)、セッション イベント (次を含む):app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startイベントには、有効なユーザー ID ( actor_id_s) が必要です。 |
| セキュリティ イベント |
AMA を使用したイベントのWindows セキュリティ Windows 転送イベント |
WindowsEvent SecurityEvent |
4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに割り当てられた特別な特権 4688: 新しいプロセスが作成されました |
| サインイン ログ | Microsoft Entra ID | SigninLogs | すべてのサインイン イベント |
UEBA エンリッチメント
このセクションでは、UEBA がMicrosoft Sentinelエンティティに追加するエンリッチメントについて説明します。このエンリッチメントを使用して、セキュリティ インシデントの調査に集中してシャープ化できます。 これらのエンリッチメントは エンティティ ページ に表示され、次の Log Analytics テーブルで確認できます。内容とスキーマは次のとおりです。
BehaviorAnalytics テーブルは、UEBA の出力情報が格納される場所です。
BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。
UsersInsights フィールドと DevicesInsights フィールドには、Active Directory/Microsoft Entra ID および Microsoft Threat Intelligence ソースからのエンティティ情報が含まれています。
ActivityInsights フィールドには、Microsoft Sentinelのエンティティ動作分析によって構築された動作プロファイルに基づくエンティティ情報が含まれています。
ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自の定義されたルックバック期間があります。 ルックバック期間は、このテーブルの [基準計画 ] 列で指定します。
IdentityInfo テーブルは、MICROSOFT ENTRA ID (および オンプレミスの Active Directory から Microsoft Defender for Identity 経由) から UEBA に同期された ID 情報が格納される場所です。
BehaviorAnalytics テーブル
次の表では、Microsoft Sentinelの各エンティティの詳細ページに表示される動作分析データについて説明します。
| フィールド | 種類 | 説明 |
|---|---|---|
| TenantId | string | テナントの一意の ID 番号。 |
| SourceRecordId | string | EBA イベントの一意の ID 番号。 |
| TimeGenerated | 日付型 | アクティビティの出現のタイムスタンプ。 |
| TimeProcessed | 日付型 | EBA エンジンによるアクティビティの処理のタイムスタンプ。 |
| ActivityType | string | アクティビティの大まかなカテゴリ。 |
| ActionType | string | アクティビティの正規化された名前。 |
| UserName | string | アクティビティを開始したユーザーのユーザー名。 |
| UserPrincipalName | string | アクティビティを開始したユーザーの完全なユーザー名。 |
| EventSource | string | 元のイベントを提供したデータ ソース。 |
| SourceIPAddress | string | アクティビティが開始された IP アドレス。 |
| SourceIPLocation | string | アクティビティが開始された国/地域。IP アドレスからエンリッチされます。 |
| SourceDevice | string | アクティビティを開始したデバイスのホスト名。 |
| DestinationIPAddress | string | アクティビティのターゲットの IP アドレス。 |
| DestinationIPLocation | string | IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。 |
| DestinationDevice | string | ターゲット デバイスの名前。 |
| UsersInsights | 動的 | 関連するユーザーのコンテキスト エンリッチメント (以下の詳細)。 |
| DevicesInsights | 動的 | 関連するデバイスのコンテキスト エンリッチメント (以下の詳細)。 |
| ActivityInsights | 動的 | プロファイルに基づくアクティビティのコンテキスト分析 (以下の詳細)。 |
| InvestigationPriority | int | 異常スコアは、0 から 10 (0=良性、10=非常に異常) の間です。 このスコアは、予想される動作からの偏差の程度を定量化します。 スコアが高いほど、ベースラインからの偏差が大きいことを示し、真の異常を示す可能性が高くなります。 スコアが低いほど異常な場合もありますが、有意または実用的である可能性は低くなります。 |
エンティティ エンリッチメントの動的フィールド
注:
このセクションのテーブルの [エンリッチメント名 ] 列には、2 行の情報が表示されます。
- 最初の 太字は、エンリッチメントの "フレンドリ名" です。
- 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。
UsersInsights フィールド
次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | サンプル値 |
|---|---|---|
|
アカウントの表示名 (AccountDisplayName) |
ユーザーのアカウント表示名。 | 管理,ヘイデン・クック |
|
アカウント ドメイン (AccountDomain) |
ユーザーのアカウント ドメイン名。 | |
|
アカウント オブジェクト ID (AccountObjectID) |
ユーザーのアカウント オブジェクト ID。 | aaaaaa-0000-1111-2222-bbbbbbbbbb |
|
ブラスト半径 (BlastRadius) |
ブラスト半径は、組織ツリー内のユーザーの位置、ユーザーのMicrosoft Entraロールとアクセス許可など、いくつかの要因に基づいて計算されます。 BlastRadius を計算するには、Microsoft Entra IDに Manager プロパティが設定されている必要があります。 | 低、中、高 |
|
休止状態のアカウント (IsDormantAccount) |
アカウントは過去 180 日間使用されていません。 | True、False |
|
ローカル管理者 (IsLocalAdmin) |
アカウントにはローカル管理者特権があります。 | True、False |
|
新しいアカウントです (IsNewAccount) |
アカウントは過去 30 日以内に作成されました。 | True、False |
|
オンプレミス SID (OnPremisesSID) |
アクションに関連するユーザーのオンプレミス SID。 | S-1-5-21-1112946627-1321165628-243734228-1103 |
DevicesInsights フィールド
次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | サンプル値 |
|---|---|---|
|
Browser (ブラウザー) |
アクションで使用されるブラウザー。 | Microsoft Edge、Chrome |
|
デバイス ファミリ (DeviceFamily) |
アクションで使用されるデバイス ファミリ。 | Windows |
|
デバイスのタイプ (DeviceType) |
アクションで使用されるクライアント デバイスの種類 | Desktop |
|
Isp (ISP) |
アクションで使用されるインターネット サービス プロバイダー。 | |
|
オペレーティング システム (OperatingSystem) |
アクションで使用されるオペレーティング システム。 | Windows 10 |
|
脅威 intel インジケーターの説明 (ThreatIntelIndicatorDescription) |
アクションで使用される IP アドレスから解決された、監視対象の脅威インジケーターの説明。 | ホストは botnet のメンバー: azorult |
|
脅威 intel インジケーターの種類 (ThreatIntelIndicatorType) |
アクションで使用される IP アドレスから解決された脅威インジケーターの種類。 | Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、フィッシング、プロキシ、PUA、ウォッチリスト |
| [ユーザー エージェント] (UserAgent) |
アクションで使用されるユーザー エージェント。 | Microsoft Azure Graph クライアント ライブラリ 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
ユーザー エージェント ファミリ (UserAgentFamily) |
アクションで使用されるユーザー エージェント ファミリ。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights フィールド
次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
実行されたアクション
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてアクションを実行した場合 (FirstTimeUserPerformedAction) |
180 | アクションは、ユーザーによって初めて実行されました。 | True、False |
|
ユーザーが一般的に実行するアクション (ActionUncommonlyPerformedByUser) |
10 | アクションは、ユーザーによって一般的に実行されるわけではありません。 | True、False |
|
ピア間で一般的に実行されるアクション (ActionUncommonlyPerformedAmongPeers) |
180 | アクションは、ユーザーのピア間では一般的に実行されません。 | True、False |
|
テナントで初めて実行されたアクション (FirstTimeActionPerformedInTenant) |
180 | アクションは、organization内の誰かによって初めて実行されました。 | True、False |
|
テナントで一般的に実行されるアクション (ActionUncommonlyPerformedInTenant) |
180 | アクションは、organizationでは一般的に実行されません。 | True、False |
使用されているアプリ
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてアプリを使用した場合 (FirstTimeUserUsedApp) |
180 | アプリはユーザーによって初めて使用されました。 | True、False |
|
ユーザーが一般的に使用するアプリ (AppUncommonlyUsedByUser) |
10 | アプリはユーザーによって一般的に使用されません。 | True、False |
|
ピア間で一般的に使用されるアプリ (AppUncommonlyUsedAmongPeers) |
180 | アプリは、ユーザーのピア間では一般的に使用されません。 | True、False |
|
テナントで初めてアプリが観察される (FirstTimeAppObservedInTenant) |
180 | アプリは、organizationで初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないアプリ (AppUncommonlyUsedInTenant) |
180 | アプリは、organizationでは一般的に使用されません。 | True、False |
使用されるブラウザー
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ブラウザー経由で初めて接続されたユーザー (FirstTimeUserConnectedViaBrowser) |
30 | ブラウザーは、ユーザーによって初めて観察されました。 | True、False |
|
ユーザーが一般的に使用するブラウザー (BrowserUncommonlyUsedByUser) |
10 | ブラウザーは、ユーザーによって一般的に使用されません。 | True、False |
|
ピア間で一般的に使用されるブラウザー (BrowserUncommonlyUsedAmongPeers) |
30 | ブラウザーは、ユーザーのピア間では一般的に使用されません。 | True、False |
|
テナントで初めて観察されたブラウザー (FirstTimeBrowserObservedInTenant) |
30 | ブラウザーは、organizationで初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないブラウザー (BrowserUncommonlyUsedInTenant) |
30 | ブラウザーは、organizationでは一般的に使用されません。 | True、False |
接続元の国/地域
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
初めてユーザーが国から接続した場合 (FirstTimeUserConnectedFromCountry) |
90 | IP アドレスから解決された geo の場所は、ユーザーによって初めてから接続されました。 | True、False |
|
ユーザーが接続する国が珍しい (CountryUncommonlyConnectedFromByUser) |
10 | IP アドレスから解決された地理的な場所は、通常、ユーザーによって接続されていません。 | True、False |
|
ピア間の接続が珍しい国 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP アドレスから解決された地理的な場所は、通常、ユーザーのピア間から接続されていません。 | True、False |
|
テナントで観察された国からの初めての接続 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 国/地域は、organization内の誰かによって初めて接続されました。 | True、False |
|
テナントで接続が珍しい国 (CountryUncommonlyConnectedFromInTenant) |
90 | IP アドレスから解決された地理的な場所は、organizationでは一般的に接続されていません。 | True、False |
接続に使用されるデバイス
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
デバイスから初めてユーザーが接続された場合 (FirstTimeUserConnectedFromDevice) |
30 | ソース デバイスがユーザーによって初めて接続されました。 | True、False |
|
ユーザーが一般的に使用するデバイス (DeviceUncommonlyUsedByUser) |
10 | デバイスは、ユーザーによって一般的に使用されません。 | True、False |
|
ピア間で一般的に使用されていないデバイス (DeviceUncommonlyUsedAmongPeers) |
180 | デバイスは、ユーザーのピア間で一般的に使用されません。 | True、False |
|
テナントで初めてデバイスが観察される (FirstTimeDeviceObservedInTenant) |
30 | デバイスは、organizationで初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないデバイス (DeviceUncommonlyUsedInTenant) |
180 | デバイスは、organizationで一般的に使用されません。 | True、False |
その他のデバイス関連
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてデバイスにログオンした場合 (FirstTimeUserLoggedOnToDevice) |
180 | 宛先デバイスは、ユーザーによって初めてに接続されました。 | True、False |
|
テナントで一般的に使用されていないデバイス ファミリ (DeviceFamilyUncommonlyUsedInTenant) |
30 | デバイス ファミリは、organizationでは一般的に使用されません。 | True、False |
接続に使用されるインターネット サービス プロバイダー
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ISP 経由で初めてユーザーが接続された場合 (FirstTimeUserConnectedViaISP) |
30 | ISP は、ユーザーによって初めて観察されました。 | True、False |
|
ユーザーが一般的に使用する ISP (ISPUncommonlyUsedByUser) |
10 | ISP はユーザーによって一般的に使用されません。 | True、False |
|
ピア間で一般的に使用される ISP (ISPUncommonlyUsedAmongPeers) |
30 | ISP は、ユーザーのピア間で一般的に使用されません。 | True、False |
|
テナント内の ISP 経由の初めての接続 (FirstTimeConnectionViaISPInTenant) |
30 | ISP はorganizationで初めて観測されました。 | True、False |
|
テナントで一般的に使用される ISP (ISPUncommonlyUsedInTenant) |
30 | ISP は、organizationで一般的に使用されません。 | True、False |
アクセスされたリソース
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてリソースにアクセスした場合 (FirstTimeUserAccessedResource) |
180 | ユーザーが初めてリソースにアクセスしました。 | True、False |
|
ユーザーが一般的にアクセスするリソース (ResourceUncommonlyAccessedByUser) |
10 | リソースには、ユーザーが一般的にアクセスすることはありません。 | True、False |
|
ピア間で一般的にアクセスされていないリソース (ResourceUncommonlyAccessedAmongPeers) |
180 | リソースは、ユーザーのピア間で一般的にアクセスされません。 | True、False |
|
テナントで初めてアクセスされたリソース (FirstTimeResourceAccessedInTenant) |
180 | リソースには、organization内の誰かが初めてアクセスしました。 | True、False |
|
テナントで一般的にアクセスされていないリソース (ResourceUncommonlyAccessedInTenant) |
180 | リソースは、organizationで一般的にアクセスされません。 | True、False |
その他
| エンリッチメント名 | 基準計画 (日数) | 説明 | サンプル値 |
|---|---|---|---|
|
ユーザーが最後にアクションを実行した時刻 (LastTimeUserPerformedAction) |
180 | ユーザーが前回同じアクションを実行した場合。 | <Timestamp> |
|
過去に同様のアクションが実行されなかった (SimilarActionWasn'tPerformedInThePast) |
30 | ユーザーが同じリソース プロバイダーでアクションを実行しなかった。 | True、False |
|
ソース IP の場所 (SourceIPLocation) |
該当なし | アクションのソース IP から解決された国/地域。 | [Surrey, England] |
|
一般的でない大量の操作 (UncommonHighVolumeOfOperations) |
7 | ユーザーが同じプロバイダー内で同様の操作のバーストを実行した | True、False |
|
Microsoft Entra条件付きアクセスエラーの異常な数 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 条件付きアクセスにより、通常とは異なる数のユーザーが認証に失敗しました | True、False |
|
通常とは異なる数のデバイスが追加されました (UnusualNumberOfDevicesAdded) |
5 | ユーザーが異常な数のデバイスを追加しました。 | True、False |
|
削除されたデバイスの異常な数 (UnusualNumberOfDevicesDeleted) |
5 | ユーザーが異常な数のデバイスを削除しました。 | True、False |
|
グループに追加されたユーザーの異常な数 (UnusualNumberOfUsersAddedToGroup) |
5 | ユーザーが通常とは異なる数のユーザーをグループに追加しました。 | True、False |
IdentityInfo テーブル
Microsoft Sentinel ワークスペースの UEBA を有効にして構成すると、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期され、Microsoft Sentinelで使用できるようになります。
これらの ID プロバイダーは、UEBA を構成したときに選択した内容に応じて、次のいずれかまたは両方になります。
- Microsoft Entra ID (クラウドベース)
- Microsoft Active Directory (オンプレミス、Microsoft Defender for Identityが必要))
分析ルール、ハンティング クエリ、ブックの IdentityInfo テーブルに対してクエリを実行し、ユース ケースに合わせて分析を強化し、誤検知を減らすことができます。
最初の同期には数日かかることがありますが、データが完全に同期されると、次のようになります。
14 日ごとに、Microsoft Sentinel Microsoft Entra ID全体 (および該当する場合はオンプレミスの Active Directory) と再同期して、古いレコードが完全に更新されるようにします。
これらの通常の完全同期に加えて、Microsoft Entra IDでユーザー プロファイル、グループ、組み込みロールに変更が加えられた場合、影響を受けるユーザー レコードは、15 から 30 分以内に IdentityInfo テーブルで再割り当てされ、更新されます。 このインジェストは通常の料金で課金されます。 例:
表示名、役職、メール アドレスなどのユーザー属性が変更されました。 このユーザーの新しいレコードが IdentityInfo テーブルに取り込み、関連するフィールドが更新されます。
グループ A には 100 人のユーザーが含まれています。5 人のユーザーがグループに追加されるか、グループから削除されます。 この場合、これらの 5 つのユーザー レコードが再検索され、 GroupMembership フィールドが更新されます。
グループ A には 100 人のユーザーが含まれています。 グループ A に 10 人のユーザーが追加されます。また、グループ A1 と A2 はそれぞれ 10 人のユーザーを持つグループ A に追加されます。この場合、30 個のユーザー レコードが再割り当てされ、 GroupMembership フィールドが更新されます。 これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響するためです。
グループ B (ユーザー数 50) は、グループ BeGood に名前が変更されます。 この場合、50 個のユーザー レコードが再割り当てされ、 GroupMembership フィールドが更新されます。 そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。
IdentityInfo テーブルの既定の保持時間は 30 日です。
制限事項
[AssignedRoles] フィールドでは、組み込みのロールのみがサポートされます。
GroupMembership フィールドでは、サブグループを含め、ユーザーごとに最大 500 個のグループを一覧表示できます。 ユーザーが 500 を超えるグループのメンバーである場合、最初の 500 だけが IdentityInfo テーブルと同期されます。 ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。
ユーザーが削除されると、そのユーザーのレコードはすぐに IdentityInfo テーブルから削除されることはありません。 この理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 そのため、このテーブルにはユーザーのレコードを削除する必要があります。これは、実際のユーザー (たとえば、Entra ID) が削除されていても、IdentityInfo テーブル内のユーザー レコードがまだ存在する場合にのみ発生します。
削除されたユーザーは、[
deletedDateTime] フィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに| where IsEmpty(deletedDateTime)を追加して削除されたユーザーを除外できます。ユーザーが削除されてから一定の間隔で、ユーザーのレコードは最終的に IdentityInfo テーブルからも削除されます。
グループが削除されたとき、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってそれらのユーザーのレコードのいずれかが更新された場合、更新されたグループ情報はその時点で含まれます。
IdentityInfo テーブルのその他のバージョン
IdentityInfo テーブルには複数のバージョンがあります。
この記事で説明する Log Analytics スキーマ バージョンは、Azure portalでMicrosoft Sentinelを提供します。 UEBA を有効にしたユーザーが利用できます。
Advanced ハンティング スキーマ バージョンは、Microsoft Defender for Identityを介してMicrosoft Defender ポータルを提供します。 これは、Microsoft Defender XDRのお客様、Microsoft Sentinelの有無にかかわらず、Defender ポータルで単独でMicrosoft Sentinelのお客様が利用できます。
このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示または使用できません。
詳細については、 このテーブルの 高度なハンティング バージョンのドキュメントを参照してください。
2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルでMicrosoft Sentinelのお客様は、Advanced ハンティング バージョンの新しいリリースの使用を開始します。 この新しいリリースには、Log Analytics バージョンのすべての UEBA フィールドといくつかの新しいフィールドが含まれており、 統合バージョン または 統合 IdentityInfo テーブルと呼ばれます。
UEBA が有効になっていないか、まったくMicrosoft Sentinelされていない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced ハンティング バージョンの以前のリリースを引き続き使用します。
統合バージョンの詳細については、高度なハンティング ドキュメントの「IdentityInfo」を参照してください。
重要
Defender ポータルに移行すると、IdentityInfo テーブルは、テーブル レベルの RBAC (ロールベースのAccess Control) をサポートしないネイティブ Defender テーブルになります。 organizationがテーブル レベルの RBAC を使用してAzure portal内のIdentityInfo テーブルへのアクセスを制限する場合、Defender ポータルに移行した後、このアクセス制御は使用できなくなります。
Schema
次の [Log Analytics スキーマ] タブのテーブルでは、Azure portalの Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。
Microsoft Sentinelを Defender ポータルにオンボードする場合は、[統合スキーマと比較する] タブを選択して、脅威検出ルールとハントのクエリに影響を与える可能性のある変更を表示します。
| フィールド名 | 型 | 説明 |
|---|---|---|
| AccountCloudSID | string | アカウントのMicrosoft Entraセキュリティ識別子。 |
| AccountCreationTime | 日付型 | ユーザー アカウントが作成された日付 (UTC)。 |
| AccountDisplayName | string | ユーザー アカウントの表示名。 |
| AccountDomain | string | ユーザー アカウントのドメイン名。 |
| AccountName | string | ユーザー アカウントのユーザー名。 |
| AccountObjectId | string | ユーザー アカウントのMicrosoft Entra オブジェクト ID。 |
| AccountSID | string | ユーザー アカウントのオンプレミスのセキュリティ識別子。 |
| AccountTenantId | string | ユーザー アカウントのMicrosoft Entraテナント ID。 |
| AccountUPN | string | ユーザー アカウントのユーザー プリンシパル名。 |
| AdditionalMailAddresses | 動的 | ユーザーの追加の電子メール アドレス。 |
| AssignedRoles | 動的 | ユーザー アカウントが割り当てられているMicrosoft Entraロール。 組み込みのロールのみがサポートされます。 |
| BlastRadius | string | 組織ツリー内のユーザーの位置と、ユーザーのMicrosoft Entraロールとアクセス許可に基づく計算。 使用可能な値: 低、中、高 |
| ChangeSource | string | エンティティに対する最新の変更のソース。 使用可能な値: |
| 市区町村 | string | ユーザー アカウントの市区町村。 |
| CompanyName | string | ユーザーが属する会社名。 |
| 国 | string | ユーザー アカウントの国/地域。 |
| DeletedDateTime | 日付型 | ユーザーが削除された日付と時刻。 |
| Department | string | ユーザー アカウントの部署。 |
| Employeeid | string | 組織によりユーザーに割り当てられた従業員 ID。 |
| GivenName | string | ユーザー アカウントの指定された名前。 |
| GroupMembership | 動的 | ユーザー アカウントがメンバーであるグループをMicrosoft Entra IDします。 |
| IsAccountEnabled | bool | ユーザー アカウントがMicrosoft Entra IDで有効になっているかどうかを示します。 |
| JobTitle | string | ユーザー アカウントの役職。 |
| MailAddress | string | ユーザー アカウントのプライマリ メール アドレス。 |
| Manager | string | ユーザー アカウントのマネージャー エイリアス。 |
| OnPremisesDistinguishedName | string | Microsoft Entra ID識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
| 電話 | string | ユーザー アカウントの電話番号。 |
| RiskLevel | string | ユーザー アカウントのMicrosoft Entra IDリスク レベル。 使用可能な値: |
| RiskLevelDetails | string | Microsoft Entra IDリスク レベルに関する詳細。 |
| RiskState | string | アカウントが現在危険にさらされているか、リスクが修復されたかを示します。 |
| SourceSystem | string | ユーザーが管理されているシステム。 使用可能な値: |
| 状態 | string | ユーザー アカウントの地理的な状態。 |
| StreetAddress | string | ユーザー アカウントのオフィス住所。 |
| 姓 | string | ユーザーの姓。 アカウント。 |
| TenantId | string | ユーザーのテナント ID。 |
| TimeGenerated | 日付型 | イベントが生成された時刻 (UTC)。 |
| Type | string | テーブルの名前を指定します。 |
| UserAccountControl | 動的 | AD ドメイン内のユーザー アカウントのセキュリティ属性。 使用可能な値 (複数の値を含む場合があります): |
| Userstate | string | Microsoft Entra IDのユーザー アカウントの現在の状態。 使用可能な値: |
| UserStateChangedOn | 日付型 | アカウントの状態が最後に変更された日付 (UTC)。 |
| UserType | string | ユーザーの種類。 |
次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinelでは使用またはサポートされていないため、無視する必要があります。
- アプリケーション
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- タグ
- UACFlags