次の方法で共有


Microsoft Sentinel UEBA リファレンス

このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。

重要

Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。

2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。

Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。

UEBA データ ソース

これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。

データ ソース イベント
Microsoft Entra ID
サインイン ログ
すべて
Microsoft Entra ID
監査ログ
アプリケーション管理
ディレクトリ管理
グループ管理
デバイス
役割管理
UserManagementCategory
Azure アクティビティ ログ 承認
AzureのActiveDirectory
課金
Compute
従量課金
KeyVault
デバイス
ネットワーク
リソース
Intune
ロジック
SQL (構造化クエリ言語)
Storage
Windows セキュリティ イベント
WindowsEvent または
SecurityEvent
4624: アカウントが正常にログオンしました
4625: アカウントのログオンに失敗しました
4648: 明示的な資格情報を使用してログオンが試行されました
4672: 新しいログオンに特権が割り当てられました
4688: 新しいプロセスが作成されました

UEBA エンリッチメント

このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 これらのエンリッチメントは エンティティ ページ に表示され、次の Log Analytics テーブルの内容とスキーマを以下に示します。

  • BehaviorAnalytics テーブルは、UEBA の出力情報が格納される場所です。

    BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。

    • UsersInsights フィールドと DevicesInsights フィールドには、Active Directory/Microsoft Entra ID および Microsoft Threat Intelligence ソースからのエンティティ情報が含まれています。

    • ActivityInsights フィールドには、Microsoft Sentinel のエンティティ動作分析によって構築された動作プロファイルに基づくエンティティ情報が含まれています。

      ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自に定義されたルックバック期間があります。 ルックバック期間は、この表の [基準計画 ] 列で指定します。

  • IdentityInfo テーブルには、Microsoft Entra ID (および Microsoft Defender for Identity 経由でオンプレミスの Active Directory から) から UEBA に同期される ID 情報が格納されます。

BehaviorAnalytics テーブル

次の表では、Microsoft Sentinel の各 エンティティの詳細ページ に表示される動作分析データについて説明します。

フィールド タイプ 説明
TenantId 文字列 テナントの一意の ID 番号。
SourceRecordId 文字列 EBA イベントの一意の ID 番号。
TimeGenerated datetime アクティビティの発生のタイムスタンプ。
処理済みの時間 datetime EBA エンジンによるアクティビティの処理のタイムスタンプ。
ActivityType 文字列 アクティビティの高レベルのカテゴリ。
アクションタイプ 文字列 アクティビティの標準化名。
ユーザー名 文字列 アクティビティを開始したユーザーのユーザー名。
UserPrincipalName 文字列 アクティビティを開始したユーザーの完全なユーザー名。
EventSource 文字列 元のイベントを提供したデータ ソース。
SourceIPAddress 文字列 アクティビティが開始された元の IP アドレス。
SourceIPLocation 文字列 アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。
SourceDevice 文字列 アクティビティを開始したデバイスのホスト名。
DestinationIPAddress 文字列 アクティビティのターゲットの IP アドレス。
DestinationIPLocation 文字列 IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。
DestinationDevice 文字列 ターゲット デバイスの名前。
UsersInsights 動的 関連するユーザーのコンテキスト エンリッチメント (詳細については以下を参照)。
DevicesInsights 動的 関連するデバイスのコンテキスト エンリッチメント (以下の詳細)。
ActivityInsights 動的 プロファイリングに基づくアクティビティのコンテキスト分析 (以下の詳細)。
InvestigationPriority INT 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。

エンティティ エンリッチメントの動的フィールド

注意

このセクションの表の エンリッチメント名 列には、2 行の情報が表示されます。

  • 最初の 太字は、エンリッチメントの "フレンドリ名" です。
  • 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。

UsersInsights フィールド

次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドに含まれるエンリッチメントについて説明します。

エンリッチメント名 説明 値の例
アカウントの表示名
(AccountDisplayName)
ユーザーのアカウント表示名。 Admin、Hayden Cook
アカウント ドメイン
(AccountDomain)
ユーザーのアカウント ドメイン名。
アカウント オブジェクト ID
(AccountObjectID)
ユーザーのアカウント オブジェクト ID。 aaaaaa-0000-1111-2222-bbbbbbbbbb
ブラスト半径
(BlastRadius)
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 計算するには、BlastRadius の Microsoft Entra ID に Manager プロパティが設定されている必要があります。 低、中、高
休止中のアカウント
(IsDormantAccount)
アカウントは過去 180 日間使用されていません。 True、False
ローカル管理者
(IsLocalAdmin)
アカウントにはローカル管理者特権があります。 True、False
新しいアカウント
(IsNewAccount)
アカウントは過去 30 日以内に作成されました。 True、False
オンプレミス SID
(OnPremisesSID)
アクションに関連するユーザーのオンプレミスの SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights フィールド

次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで紹介されているエンリッチメントについて説明します。

エンリッチメント名 説明 値の例
ブラウザー
(ブラウザー)
アクションで使用されたブラウザー。 Microsoft Edge、Chrome
デバイス ファミリ
(DeviceFamily)
アクションで使用されたデバイス ファミリ。 ウィンドウズ
デバイスの種類
(DeviceType)
アクションで使用されたクライアント デバイスの種類 デスクトップ
ISP
(ISP)
アクションで使用されたインターネット サービス プロバイダー。
オペレーティング システム
(OperatingSystem)
アクションで使用されたオペレーティング システム。 Windows 10
脅威 intel インジケーターの説明
(ThreatIntelIndicatorDescription)
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 Host  is  member  of  botnet:  azorult (ホストはボットネット azorult のメンバーである)
脅威 intel インジケーターの種類
(ThreatIntelIndicatorType)
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist
ユーザー エージェント
(UserAgent)
アクションで使用されたユーザー エージェント。 Microsoft Azure Graph Client Library 1.0、
​Swagger-Codegen/1.4.0.0/csharp、
EvoSTS
ユーザー エージェント ファミリ
(UserAgentFamily)
アクションで使用されたユーザー エージェント ファミリ。 Chrome、Microsoft Edge、Firefox

ActivityInsights フィールド

次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで紹介されているエンリッチメントについて説明します。

実行されたアクション
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが初めてアクションを実行した場合
(FirstTimeUserPerformedAction)
180 そのユーザーはそのアクションを初めて実行しました。 True、False
ユーザーが一般的に実行するアクション
(ActionUncommonlyPerformedByUser)
10 そのユーザーはそのアクションをあまり実行しません。 True、False
ピア間で一般的に実行されていないアクション
(ActionUncommonlyPerformedAmongPeers)
180 ユーザーの同僚はそのアクションをあまり実行しません。 True、False
テナントで初めて実行されたアクション
(FirstTimeActionPerformedInTenant)
180 組織内の誰かが、そのアクションを初めて実行しました。 True、False
テナントで一般的に実行されていないアクション
(ActionUncommonlyPerformedInTenant)
180 その組織ではそのアクションをあまり実行しません。 True、False
使用されたアプリ
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが初めてアプリを使用した場合
(FirstTimeUserUsedApp)
180 そのユーザーはそのアプリを初めて使用しました。 True、False
ユーザーが一般的に使用するアプリ
(AppUncommonlyUsedByUser)
10 そのユーザーはそのアプリをあまり使用しません。 True、False
ピア間で一般的に使用されていないアプリ
(AppUncommonlyUsedAmongPeers)
180 ユーザーの同僚はそのアプリをあまり使用しません。 True、False
テナントで初めてアプリが観察された
(FirstTimeAppObservedInTenant)
180 そのアプリは、その組織で初めて観察されました。 True、False
テナントで一般的に使用されていないアプリ
(AppUncommonlyUsedInTenant)
180 そのアプリはその組織ではあまり使用されません。 True、False
使用されたブラウザー
エンリッチメント名 基準計画 (日) 説明 値の例
ブラウザー経由で初めてユーザーが接続された場合
(FirstTimeUserConnectedViaBrowser)
30 そのユーザーによるそのブラウザーの使用が初めて観察されました。 True、False
ユーザーが一般的に使用するブラウザー
(BrowserUncommonlyUsedByUser)
10 そのユーザーはそのブラウザーをあまり使用しません。 True、False
ピア間で一般的に使用されていないブラウザー
(BrowserUncommonlyUsedAmongPeers)
30 ユーザーの同僚はそのブラウザーをあまり使用しません。 True、False
テナントで初めてブラウザーが観察された
(FirstTimeBrowserObservedInTenant)
30 そのブラウザーは、その組織で初めて観察されました。 True、False
テナントで一般的に使用されていないブラウザー
(BrowserUncommonlyUsedInTenant)
30 そのブラウザーはその組織ではあまり使用されません。 True、False
接続先の国/地域
エンリッチメント名 基準計画 (日) 説明 値の例
初めてユーザーが国から接続した場合
(FirstTimeUserConnectedFromCountry)
90 IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 True、False
ユーザーが接続する国が一般的ではない
(CountryUncommonlyConnectedFromByUser)
10 IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 True、False
ピア間で一般的に接続されていない国
(CountryUncommonlyConnectedFromAmongPeers)
90 IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。 True、False
テナントで観察された国からの初めての接続
(FirstTimeConnectionFromCountryObservedInTenant)
90 国/地域は、組織内のすべてのユーザーによって初めて接続されました。 True、False
テナントで一般的に接続されていない国
(CountryUncommonlyConnectedFromInTenant)
90 IP アドレスからの解決で、テナントはその地域からあまり接続されません。 True、False
接続に使用されたデバイス
エンリッチメント名 基準計画 (日) 説明 値の例
デバイスから初めてユーザーが接続された場合
(FirstTimeUserConnectedFromDevice)
30 そのユーザーはそのソース デバイスから初めて接続しました。 True、False
ユーザーによって一般的に使用されていないデバイス
(DeviceUncommonlyUsedByUser)
10 そのユーザーはそのデバイスをあまり使用しません。 True、False
ピア間で一般的に使用されていないデバイス
(DeviceUncommonlyUsedAmongPeers)
180 ユーザーの同僚はそのデバイスをあまり使用しません。 True、False
テナントで初めてデバイスが観察される
(FirstTimeDeviceObservedInTenant)
30 そのデバイスは、その組織で初めて観察されました。 True、False
テナントで一般的に使用されていないデバイス
(DeviceUncommonlyUsedInTenant)
180 そのデバイスはその組織ではあまり使用されません。 True、False
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが初めてデバイスにログオンした場合
(FirstTimeUserLoggedOnToDevice)
180 そのユーザーはそのターゲット デバイスに初めて接続しました。 True、False
テナントで一般的に使用されていないデバイス ファミリ
(DeviceFamilyUncommonlyUsedInTenant)
30 そのデバイス ファミリはその組織ではあまり使用されません。 True、False
接続に使用されたインターネット サービス プロバイダー
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが ISP 経由で初めて接続した場合
(FirstTimeUserConnectedViaISP)
30 そのユーザーによるその ISP の使用が初めて観察されました。 True、False
ユーザーが一般的に使用する ISP
(ISPUncommonlyUsedByUser)
10 そのユーザーはその ISP をあまり使用しません。 True、False
ISP がピア間で一般的に使用されていない
(ISPUncommonlyUsedAmongPeers)
30 ユーザーの同僚はその ISP をあまり使用しません。 True、False
テナント内の ISP 経由の初めての接続
(FirstTimeConnectionViaISPInTenant)
30 その ISP は、その組織で初めて観察されました。 True、False
テナントで一般的に使用されていない ISP
(ISPUncommonlyUsedInTenant)
30 その ISP はその組織ではあまり使用されません。 True、False
アクセス先のリソース
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが初めてリソースにアクセスした場合
(FirstTimeUserAccessedResource)
180 そのリソースはそのユーザーによって初めてアクセスされました。 True、False
ユーザーが一般的でないリソースにアクセスする
(ResourceUncommonlyAccessedByUser)
10 そのユーザーはそのリソースにあまりアクセスしません。 True、False
ピア間で一般的でないリソースへのアクセス
(ResourceUncommonlyAccessedAmongPeers)
180 ユーザーの同僚はそのリソースにあまりアクセスしません。 True、False
テナントで初めてアクセスされたリソース
(FirstTimeResourceAccessedInTenant)
180 組織内の誰かが、そのリソースに初めてアクセスしました。 True、False
テナントで一般的でないリソースにアクセスする
(ResourceUncommonlyAccessedInTenant)
180 その組織はそのリソースにあまりアクセスしません。 True、False
その他
エンリッチメント名 基準計画 (日) 説明 値の例
ユーザーが最後にアクションを実行した時刻
(LastTimeUserPerformedAction)
180 ユーザーが同じアクションを最後に実行した日時。 <タイムスタンプ>
過去に同様のアクションが実行されませんでした
(SimilarActionWasn'tPerformedInThePast)
30 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 True、False
ソース IP の場所
(SourceIPLocation)
該当なし アクションのソース IP から解決された国/地域。 [Surrey、England]
一般的でない大量の操作
(UncommonHighVolumeOfOperations)
7 ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 True、False
Microsoft Entra の条件付きアクセスエラーの異常な数
(UnusualNumberOfAADConditionalAccessFailures)
5 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました True、False
異常な数のデバイスが追加されました
(UnusualNumberOfDevicesAdded)
5 ユーザーが異常な数のデバイスを追加しました。 True、False
通常とは異なる数のデバイスが削除されました
(UnusualNumberOfDevicesDeleted)
5 ユーザーが異常な数のデバイスを削除しました。 True、False
グループに追加されたユーザーの異常な数
(UnusualNumberOfUsersAddedToGroup)
5 ユーザーが異常な数のユーザーをグループに追加しました。 True、False

IdentityInfo テーブル

Microsoft Sentinel ワークスペースの UEBA を有効にして構成 すると、Microsoft Sentinel で使用するために、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期されます。

これらの ID プロバイダーは、UEBA の構成時に選択した ID プロバイダーに応じて、次のいずれかまたは両方になります。

  • Microsoft Entra ID (クラウドベース)
  • Microsoft Active Directory (オンプレミス、Microsoft Defender for Identity が必要)

分析ルール、ハンティング クエリ、ブックで IdentityInfo テーブルに対してクエリを実行し、ユース ケースに合わせて分析を強化し、誤検知を減らすことができます。

初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。

  • Microsoft Sentinel は、古いレコードが完全に更新されるように、14 日ごとに Microsoft Entra ID 全体 (および該当する場合はオンプレミスの Active Directory) と再同期します。

  • これらの通常の完全同期に加えて、Microsoft Entra ID でユーザー プロファイル、グループ、および組み込みロールに変更が加えられた場合、影響を受けるユーザー レコードは、15 ~ 30 分以内に IdentityInfo テーブルに再取り込みと更新が行われます。 このインジェストは通常の料金で課金されます。 例えば次が挙げられます。

    • 表示名、役職、メール アドレスなどのユーザー属性が変更されました。 このユーザーの新しいレコードが IdentityInfo テーブルに取り込まれます。関連するフィールドは更新されます。

    • グループ A には 100 人のユーザーが含まれます。5 人のユーザーがグループに追加されるか、グループから削除されます。 この場合、これらの 5 つのユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。

    • グループ A には 100 人のユーザーが含まれます。 グループ A に 10 人のユーザーが追加されます。また、グループ A1 と A2 は、それぞれ 10 人のユーザーを持つグループ A に追加されます。この場合、30 個のユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。 これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響を与えるためです。

    • グループ B (50 ユーザー) の名前が Group BeGood に変更されました。 この場合、50 個のユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。 そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。

  • IdentityInfo テーブルの既定の保持時間は 30 日です。

制限事項

  • [AssignedRoles] フィールドでは、組み込みのロールのみがサポートされます。

  • GroupMembership フィールドでは、サブグループを含め、ユーザーごとに最大 500 個のグループを一覧表示できます。 ユーザーが 500 を超えるグループのメンバーである場合、最初の 500 だけが IdentityInfo テーブルと同期されます。 ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。

  • ユーザーが削除されると、そのユーザーのレコードは IdentityInfo テーブルからすぐには削除されません。 その理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 そのため、このテーブルにはユーザーのレコードが削除されるようにします。これは、実際のユーザー (Entra ID など) が削除された場合でも、 IdentityInfo テーブル内のユーザー レコードがまだ存在する場合にのみ発生します。

    削除されたユーザーは、 deletedDateTime フィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに | where IsEmpty(deletedDateTime) を追加して、削除されたユーザーを除外できます。

    ユーザーが削除されてから一定の間隔で、ユーザーのレコードは最終的に IdentityInfo テーブルからも削除されます。

  • グループが削除された場合、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってユーザーのレコードのいずれかが更新された場合、その時点で更新されたグループ情報が含まれます。

IdentityInfo テーブルのその他のバージョン

IdentityInfo テーブルには、実際には複数のバージョンがあります。

  • この記事で説明する Log Analytics スキーマ バージョンは、Azure portal で Microsoft Sentinel に対応しています。 UEBA を有効にしたユーザーが利用できます。

  • 高度なハンティング スキーマ バージョンは、Microsoft Defender for Identity を介して Microsoft Defender ポータルにサービスを提供します。 Microsoft Sentinel の有無にかかわらず、Microsoft Defender XDR のお客様、および Microsoft Sentinel のお客様が Defender ポータルで単独で利用できます。

    このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示されず、使用できません。

    詳細については、 この表の 高度なハンティング バージョンのドキュメントを参照してください。

  • 2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルの Microsoft Sentinel のお客様は、高度なハンティング バージョンの新しいリリースの使用を開始します。 この新しいリリースには、Log Analytics バージョンのすべての UEBA フィールドといくつかの新しいフィールドが含まれており、 統合バージョン または 統合 IdentityInfo テーブルと呼ばれます。

    UEBA が有効になっていない、または Microsoft Sentinel がまったくない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced Hunting バージョンの以前のリリースを引き続き使用します。

    統合バージョンの詳細については、高度なハンティングドキュメントの IdentityInfo を参照してください

スキーマ

次の [Log Analytics スキーマ] タブの表では、Azure portal の Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。

Microsoft Sentinel を Defender ポータルにオンボードする場合は、[Compare to unified schema]\(統合スキーマと比較\) タブを選択して、脅威検出ルールと検出のクエリに影響する可能性のある変更を表示します。

フィールド名 タイプ 説明
AccountCloudSID 文字列 アカウントの Microsoft Entra セキュリティ識別子。
AccountCreationTime datetime ユーザー アカウントが作成された日付 (UTC)。
AccountDisplayName 文字列 ユーザー アカウントの表示名。
AccountDomain 文字列 ユーザー アカウントのドメイン名。
AccountName 文字列 ユーザー アカウントのユーザー名。
AccountObjectId 文字列 ユーザー アカウントの Microsoft Entra オブジェクト ID。
AccountSID 文字列 ユーザー アカウントのオンプレミス セキュリティ識別子。
AccountTenantId 文字列 ユーザー アカウントの Microsoft Entra テナント ID。
AccountUPN 文字列 ユーザー アカウントのユーザー プリンシパル名。
AdditionalMailAddresses 動的 ユーザーの追加のメール アドレス。
AssignedRoles 動的 ユーザー アカウントが割り当てられている Microsoft Entra ロール。 組み込みロールのみがサポートされています。
BlastRadius 文字列 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。
使用可能な値: "低、中、高"
ソースを変更 文字列 エンティティに対し、最新の変更があるソース。
可能な値:
  • AzureのActiveDirectory
  • アクティブディレクトリ
  • UEBA
  • ウォッチリスト
  • FullSync
  • 都市 文字列 ユーザー アカウントの市。
    会社名 文字列 ユーザーが属する会社名。
    文字列 ユーザー アカウントの国/地域。
    DeletedDateTime datetime ユーザーが削除された日時。
    文字列 ユーザー アカウントの部門。
    EmployeeId 文字列 組織によりユーザーに割り当てられた従業員 ID。
    GivenName 文字列 ユーザー アカウントの名。
    GroupMembership 動的 ユーザー アカウントがメンバーである Microsoft Entra ID グループ。
    IsAccountEnabled [bool] ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。
    として に就く 文字列 ユーザー アカウントの役職。
    MailAddress 文字列 ユーザー アカウントのプライマリ メール アドレス。
    支配人 文字列 ユーザー アカウントのマネージャーの別名。
    OnPremisesDistinguishedName 文字列 Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。
    電話 文字列 ユーザー アカウントの電話番号。
    RiskLevel 文字列 ユーザー アカウントの Microsoft Entra ID リスク レベル。
    可能な値:
  • 中程度
  • 高い
  • RiskLevelDetails 文字列 Microsoft Entra ID リスク レベルに関する詳細。
    RiskState 文字列 アカウントが現在危険にさらされているか、リスクが修復されたかを示します。
    SourceSystem 文字列 ユーザーが管理されているシステム。
    可能な値:
  • AzureのActiveDirectory
  • アクティブディレクトリ
  • ハイブリッド
  • 状態 文字列 ユーザー アカウントの地理的な状態。
    StreetAddress 文字列 ユーザー アカウントのオフィスの番地。
    名字 文字列 ユーザーの姓名の姓。 アカウント。
    TenantId 文字列 ユーザーのテナント ID。
    TimeGenerated datetime イベントが生成された時刻 (UTC)。
    種類 文字列 テーブルの名前。
    UserAccountControl 動的 AD ドメイン内のユーザー アカウントのセキュリティ属性。
    指定できる値 (複数の値を含む場合があります):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState 文字列 Microsoft Entra ID におけるユーザー アカウントの現在の状態。
    指定できる値
  • 能動
  • 無効
  • 休眠
  • ロックアウト
  • UserStateChangedOn datetime アカウントの状態が最後に変更された日付 (UTC)。
    UserType 文字列 ユーザーの種類。

    次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。

    • アプリケーション
    • エンティティリスクスコア
    • ExtensionProperty
    • 調査優先度
    • 調査優先度パーセンタイル
    • IsMFARegistered
    • IsServiceAccount
    • 最終閲覧日
    • オンプレミス拡張属性
    • 関連アカウント
    • サービスプリンシパルズ
    • タグ
    • UACFlags

    次の手順

    このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。