このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。
重要
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Microsoft Sentinel は Defender ポータルでのみサポートされ、Azure portal を使用している残りの顧客は自動的にリダイレクトされます。
Azure で Microsoft Sentinel を使用しているお客様は、Microsoft Defender によって提供される完全な統合セキュリティ操作エクスペリエンスのために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 すべての Microsoft Sentinel ユーザー向けの Microsoft Defender ポータルへの移行の計画」を参照してください。
UEBA データ ソース
これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。
| データ ソース | イベント |
|---|---|
|
Microsoft Entra ID サインイン ログ |
すべて |
|
Microsoft Entra ID 監査ログ |
アプリケーション管理 ディレクトリ管理 グループ管理 デバイス 役割管理 UserManagementCategory |
| Azure アクティビティ ログ | 承認 AzureのActiveDirectory 課金 Compute 従量課金 KeyVault デバイス ネットワーク リソース Intune ロジック SQL (構造化クエリ言語) Storage |
|
Windows セキュリティ イベント WindowsEvent または SecurityEvent |
4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに特権が割り当てられました 4688: 新しいプロセスが作成されました |
UEBA エンリッチメント
このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 これらのエンリッチメントは エンティティ ページ に表示され、次の Log Analytics テーブルの内容とスキーマを以下に示します。
BehaviorAnalytics テーブルは、UEBA の出力情報が格納される場所です。
BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。
UsersInsights フィールドと DevicesInsights フィールドには、Active Directory/Microsoft Entra ID および Microsoft Threat Intelligence ソースからのエンティティ情報が含まれています。
ActivityInsights フィールドには、Microsoft Sentinel のエンティティ動作分析によって構築された動作プロファイルに基づくエンティティ情報が含まれています。
ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自に定義されたルックバック期間があります。 ルックバック期間は、この表の [基準計画 ] 列で指定します。
IdentityInfo テーブルには、Microsoft Entra ID (および Microsoft Defender for Identity 経由でオンプレミスの Active Directory から) から UEBA に同期される ID 情報が格納されます。
BehaviorAnalytics テーブル
次の表では、Microsoft Sentinel の各 エンティティの詳細ページ に表示される動作分析データについて説明します。
| フィールド | タイプ | 説明 |
|---|---|---|
| TenantId | 文字列 | テナントの一意の ID 番号。 |
| SourceRecordId | 文字列 | EBA イベントの一意の ID 番号。 |
| TimeGenerated | datetime | アクティビティの発生のタイムスタンプ。 |
| 処理済みの時間 | datetime | EBA エンジンによるアクティビティの処理のタイムスタンプ。 |
| ActivityType | 文字列 | アクティビティの高レベルのカテゴリ。 |
| アクションタイプ | 文字列 | アクティビティの標準化名。 |
| ユーザー名 | 文字列 | アクティビティを開始したユーザーのユーザー名。 |
| UserPrincipalName | 文字列 | アクティビティを開始したユーザーの完全なユーザー名。 |
| EventSource | 文字列 | 元のイベントを提供したデータ ソース。 |
| SourceIPAddress | 文字列 | アクティビティが開始された元の IP アドレス。 |
| SourceIPLocation | 文字列 | アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。 |
| SourceDevice | 文字列 | アクティビティを開始したデバイスのホスト名。 |
| DestinationIPAddress | 文字列 | アクティビティのターゲットの IP アドレス。 |
| DestinationIPLocation | 文字列 | IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。 |
| DestinationDevice | 文字列 | ターゲット デバイスの名前。 |
| UsersInsights | 動的 | 関連するユーザーのコンテキスト エンリッチメント (詳細については以下を参照)。 |
| DevicesInsights | 動的 | 関連するデバイスのコンテキスト エンリッチメント (以下の詳細)。 |
| ActivityInsights | 動的 | プロファイリングに基づくアクティビティのコンテキスト分析 (以下の詳細)。 |
| InvestigationPriority | INT | 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。 |
エンティティ エンリッチメントの動的フィールド
注意
このセクションの表の エンリッチメント名 列には、2 行の情報が表示されます。
- 最初の 太字は、エンリッチメントの "フレンドリ名" です。
- 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。
UsersInsights フィールド
次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドに含まれるエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | 値の例 |
|---|---|---|
|
アカウントの表示名 (AccountDisplayName) |
ユーザーのアカウント表示名。 | Admin、Hayden Cook |
|
アカウント ドメイン (AccountDomain) |
ユーザーのアカウント ドメイン名。 | |
|
アカウント オブジェクト ID (AccountObjectID) |
ユーザーのアカウント オブジェクト ID。 | aaaaaa-0000-1111-2222-bbbbbbbbbb |
|
ブラスト半径 (BlastRadius) |
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 計算するには、BlastRadius の Microsoft Entra ID に Manager プロパティが設定されている必要があります。 | 低、中、高 |
|
休止中のアカウント (IsDormantAccount) |
アカウントは過去 180 日間使用されていません。 | True、False |
|
ローカル管理者 (IsLocalAdmin) |
アカウントにはローカル管理者特権があります。 | True、False |
|
新しいアカウント (IsNewAccount) |
アカウントは過去 30 日以内に作成されました。 | True、False |
|
オンプレミス SID (OnPremisesSID) |
アクションに関連するユーザーのオンプレミスの SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights フィールド
次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | 値の例 |
|---|---|---|
|
ブラウザー (ブラウザー) |
アクションで使用されたブラウザー。 | Microsoft Edge、Chrome |
|
デバイス ファミリ (DeviceFamily) |
アクションで使用されたデバイス ファミリ。 | ウィンドウズ |
|
デバイスの種類 (DeviceType) |
アクションで使用されたクライアント デバイスの種類 | デスクトップ |
|
ISP (ISP) |
アクションで使用されたインターネット サービス プロバイダー。 | |
|
オペレーティング システム (OperatingSystem) |
アクションで使用されたオペレーティング システム。 | Windows 10 |
|
脅威 intel インジケーターの説明 (ThreatIntelIndicatorDescription) |
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 | Host is member of botnet: azorult (ホストはボットネット azorult のメンバーである) |
|
脅威 intel インジケーターの種類 (ThreatIntelIndicatorType) |
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 | Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist |
|
ユーザー エージェント (UserAgent) |
アクションで使用されたユーザー エージェント。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp、 EvoSTS |
|
ユーザー エージェント ファミリ (UserAgentFamily) |
アクションで使用されたユーザー エージェント ファミリ。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights フィールド
次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
実行されたアクション
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが初めてアクションを実行した場合 (FirstTimeUserPerformedAction) |
180 | そのユーザーはそのアクションを初めて実行しました。 | True、False |
|
ユーザーが一般的に実行するアクション (ActionUncommonlyPerformedByUser) |
10 | そのユーザーはそのアクションをあまり実行しません。 | True、False |
|
ピア間で一般的に実行されていないアクション (ActionUncommonlyPerformedAmongPeers) |
180 | ユーザーの同僚はそのアクションをあまり実行しません。 | True、False |
|
テナントで初めて実行されたアクション (FirstTimeActionPerformedInTenant) |
180 | 組織内の誰かが、そのアクションを初めて実行しました。 | True、False |
|
テナントで一般的に実行されていないアクション (ActionUncommonlyPerformedInTenant) |
180 | その組織ではそのアクションをあまり実行しません。 | True、False |
使用されたアプリ
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが初めてアプリを使用した場合 (FirstTimeUserUsedApp) |
180 | そのユーザーはそのアプリを初めて使用しました。 | True、False |
|
ユーザーが一般的に使用するアプリ (AppUncommonlyUsedByUser) |
10 | そのユーザーはそのアプリをあまり使用しません。 | True、False |
|
ピア間で一般的に使用されていないアプリ (AppUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのアプリをあまり使用しません。 | True、False |
|
テナントで初めてアプリが観察された (FirstTimeAppObservedInTenant) |
180 | そのアプリは、その組織で初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないアプリ (AppUncommonlyUsedInTenant) |
180 | そのアプリはその組織ではあまり使用されません。 | True、False |
使用されたブラウザー
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ブラウザー経由で初めてユーザーが接続された場合 (FirstTimeUserConnectedViaBrowser) |
30 | そのユーザーによるそのブラウザーの使用が初めて観察されました。 | True、False |
|
ユーザーが一般的に使用するブラウザー (BrowserUncommonlyUsedByUser) |
10 | そのユーザーはそのブラウザーをあまり使用しません。 | True、False |
|
ピア間で一般的に使用されていないブラウザー (BrowserUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はそのブラウザーをあまり使用しません。 | True、False |
|
テナントで初めてブラウザーが観察された (FirstTimeBrowserObservedInTenant) |
30 | そのブラウザーは、その組織で初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないブラウザー (BrowserUncommonlyUsedInTenant) |
30 | そのブラウザーはその組織ではあまり使用されません。 | True、False |
接続先の国/地域
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
初めてユーザーが国から接続した場合 (FirstTimeUserConnectedFromCountry) |
90 | IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 | True、False |
|
ユーザーが接続する国が一般的ではない (CountryUncommonlyConnectedFromByUser) |
10 | IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 | True、False |
|
ピア間で一般的に接続されていない国 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。 | True、False |
|
テナントで観察された国からの初めての接続 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 国/地域は、組織内のすべてのユーザーによって初めて接続されました。 | True、False |
|
テナントで一般的に接続されていない国 (CountryUncommonlyConnectedFromInTenant) |
90 | IP アドレスからの解決で、テナントはその地域からあまり接続されません。 | True、False |
接続に使用されたデバイス
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
デバイスから初めてユーザーが接続された場合 (FirstTimeUserConnectedFromDevice) |
30 | そのユーザーはそのソース デバイスから初めて接続しました。 | True、False |
|
ユーザーによって一般的に使用されていないデバイス (DeviceUncommonlyUsedByUser) |
10 | そのユーザーはそのデバイスをあまり使用しません。 | True、False |
|
ピア間で一般的に使用されていないデバイス (DeviceUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのデバイスをあまり使用しません。 | True、False |
|
テナントで初めてデバイスが観察される (FirstTimeDeviceObservedInTenant) |
30 | そのデバイスは、その組織で初めて観察されました。 | True、False |
|
テナントで一般的に使用されていないデバイス (DeviceUncommonlyUsedInTenant) |
180 | そのデバイスはその組織ではあまり使用されません。 | True、False |
その他のデバイス関連
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが初めてデバイスにログオンした場合 (FirstTimeUserLoggedOnToDevice) |
180 | そのユーザーはそのターゲット デバイスに初めて接続しました。 | True、False |
|
テナントで一般的に使用されていないデバイス ファミリ (DeviceFamilyUncommonlyUsedInTenant) |
30 | そのデバイス ファミリはその組織ではあまり使用されません。 | True、False |
接続に使用されたインターネット サービス プロバイダー
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが ISP 経由で初めて接続した場合 (FirstTimeUserConnectedViaISP) |
30 | そのユーザーによるその ISP の使用が初めて観察されました。 | True、False |
|
ユーザーが一般的に使用する ISP (ISPUncommonlyUsedByUser) |
10 | そのユーザーはその ISP をあまり使用しません。 | True、False |
|
ISP がピア間で一般的に使用されていない (ISPUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はその ISP をあまり使用しません。 | True、False |
|
テナント内の ISP 経由の初めての接続 (FirstTimeConnectionViaISPInTenant) |
30 | その ISP は、その組織で初めて観察されました。 | True、False |
|
テナントで一般的に使用されていない ISP (ISPUncommonlyUsedInTenant) |
30 | その ISP はその組織ではあまり使用されません。 | True、False |
アクセス先のリソース
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが初めてリソースにアクセスした場合 (FirstTimeUserAccessedResource) |
180 | そのリソースはそのユーザーによって初めてアクセスされました。 | True、False |
|
ユーザーが一般的でないリソースにアクセスする (ResourceUncommonlyAccessedByUser) |
10 | そのユーザーはそのリソースにあまりアクセスしません。 | True、False |
|
ピア間で一般的でないリソースへのアクセス (ResourceUncommonlyAccessedAmongPeers) |
180 | ユーザーの同僚はそのリソースにあまりアクセスしません。 | True、False |
|
テナントで初めてアクセスされたリソース (FirstTimeResourceAccessedInTenant) |
180 | 組織内の誰かが、そのリソースに初めてアクセスしました。 | True、False |
|
テナントで一般的でないリソースにアクセスする (ResourceUncommonlyAccessedInTenant) |
180 | その組織はそのリソースにあまりアクセスしません。 | True、False |
その他
| エンリッチメント名 | 基準計画 (日) | 説明 | 値の例 |
|---|---|---|---|
|
ユーザーが最後にアクションを実行した時刻 (LastTimeUserPerformedAction) |
180 | ユーザーが同じアクションを最後に実行した日時。 | <タイムスタンプ> |
|
過去に同様のアクションが実行されませんでした (SimilarActionWasn'tPerformedInThePast) |
30 | 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 | True、False |
|
ソース IP の場所 (SourceIPLocation) |
該当なし | アクションのソース IP から解決された国/地域。 | [Surrey、England] |
|
一般的でない大量の操作 (UncommonHighVolumeOfOperations) |
7 | ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 | True、False |
|
Microsoft Entra の条件付きアクセスエラーの異常な数 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました | True、False |
|
異常な数のデバイスが追加されました (UnusualNumberOfDevicesAdded) |
5 | ユーザーが異常な数のデバイスを追加しました。 | True、False |
|
通常とは異なる数のデバイスが削除されました (UnusualNumberOfDevicesDeleted) |
5 | ユーザーが異常な数のデバイスを削除しました。 | True、False |
|
グループに追加されたユーザーの異常な数 (UnusualNumberOfUsersAddedToGroup) |
5 | ユーザーが異常な数のユーザーをグループに追加しました。 | True、False |
IdentityInfo テーブル
Microsoft Sentinel ワークスペースの UEBA を有効にして構成 すると、Microsoft Sentinel で使用するために、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期されます。
これらの ID プロバイダーは、UEBA の構成時に選択した ID プロバイダーに応じて、次のいずれかまたは両方になります。
- Microsoft Entra ID (クラウドベース)
- Microsoft Active Directory (オンプレミス、Microsoft Defender for Identity が必要)
分析ルール、ハンティング クエリ、ブックで IdentityInfo テーブルに対してクエリを実行し、ユース ケースに合わせて分析を強化し、誤検知を減らすことができます。
初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。
Microsoft Sentinel は、古いレコードが完全に更新されるように、14 日ごとに Microsoft Entra ID 全体 (および該当する場合はオンプレミスの Active Directory) と再同期します。
これらの通常の完全同期に加えて、Microsoft Entra ID でユーザー プロファイル、グループ、および組み込みロールに変更が加えられた場合、影響を受けるユーザー レコードは、15 ~ 30 分以内に IdentityInfo テーブルに再取り込みと更新が行われます。 このインジェストは通常の料金で課金されます。 例えば次が挙げられます。
表示名、役職、メール アドレスなどのユーザー属性が変更されました。 このユーザーの新しいレコードが IdentityInfo テーブルに取り込まれます。関連するフィールドは更新されます。
グループ A には 100 人のユーザーが含まれます。5 人のユーザーがグループに追加されるか、グループから削除されます。 この場合、これらの 5 つのユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。
グループ A には 100 人のユーザーが含まれます。 グループ A に 10 人のユーザーが追加されます。また、グループ A1 と A2 は、それぞれ 10 人のユーザーを持つグループ A に追加されます。この場合、30 個のユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。 これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響を与えるためです。
グループ B (50 ユーザー) の名前が Group BeGood に変更されました。 この場合、50 個のユーザー レコードが再取り込みされ、 GroupMembership フィールドが更新されます。 そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。
IdentityInfo テーブルの既定の保持時間は 30 日です。
制限事項
[AssignedRoles] フィールドでは、組み込みのロールのみがサポートされます。
GroupMembership フィールドでは、サブグループを含め、ユーザーごとに最大 500 個のグループを一覧表示できます。 ユーザーが 500 を超えるグループのメンバーである場合、最初の 500 だけが IdentityInfo テーブルと同期されます。 ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。
ユーザーが削除されると、そのユーザーのレコードは IdentityInfo テーブルからすぐには削除されません。 その理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 そのため、このテーブルにはユーザーのレコードが削除されるようにします。これは、実際のユーザー (Entra ID など) が削除された場合でも、 IdentityInfo テーブル内のユーザー レコードがまだ存在する場合にのみ発生します。
削除されたユーザーは、
deletedDateTimeフィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに| where IsEmpty(deletedDateTime)を追加して、削除されたユーザーを除外できます。ユーザーが削除されてから一定の間隔で、ユーザーのレコードは最終的に IdentityInfo テーブルからも削除されます。
グループが削除された場合、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってユーザーのレコードのいずれかが更新された場合、その時点で更新されたグループ情報が含まれます。
IdentityInfo テーブルのその他のバージョン
IdentityInfo テーブルには、実際には複数のバージョンがあります。
この記事で説明する Log Analytics スキーマ バージョンは、Azure portal で Microsoft Sentinel に対応しています。 UEBA を有効にしたユーザーが利用できます。
高度なハンティング スキーマ バージョンは、Microsoft Defender for Identity を介して Microsoft Defender ポータルにサービスを提供します。 Microsoft Sentinel の有無にかかわらず、Microsoft Defender XDR のお客様、および Microsoft Sentinel のお客様が Defender ポータルで単独で利用できます。
このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示されず、使用できません。
詳細については、 この表の 高度なハンティング バージョンのドキュメントを参照してください。
2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルの Microsoft Sentinel のお客様は、高度なハンティング バージョンの新しいリリースの使用を開始します。 この新しいリリースには、Log Analytics バージョンのすべての UEBA フィールドといくつかの新しいフィールドが含まれており、 統合バージョン または 統合 IdentityInfo テーブルと呼ばれます。
UEBA が有効になっていない、または Microsoft Sentinel がまったくない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced Hunting バージョンの以前のリリースを引き続き使用します。
統合バージョンの詳細については、高度なハンティングドキュメントの IdentityInfo を参照してください。
スキーマ
次の [Log Analytics スキーマ] タブの表では、Azure portal の Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。
Microsoft Sentinel を Defender ポータルにオンボードする場合は、[Compare to unified schema]\(統合スキーマと比較\) タブを選択して、脅威検出ルールと検出のクエリに影響する可能性のある変更を表示します。
| フィールド名 | タイプ | 説明 |
|---|---|---|
| AccountCloudSID | 文字列 | アカウントの Microsoft Entra セキュリティ識別子。 |
| AccountCreationTime | datetime | ユーザー アカウントが作成された日付 (UTC)。 |
| AccountDisplayName | 文字列 | ユーザー アカウントの表示名。 |
| AccountDomain | 文字列 | ユーザー アカウントのドメイン名。 |
| AccountName | 文字列 | ユーザー アカウントのユーザー名。 |
| AccountObjectId | 文字列 | ユーザー アカウントの Microsoft Entra オブジェクト ID。 |
| AccountSID | 文字列 | ユーザー アカウントのオンプレミス セキュリティ識別子。 |
| AccountTenantId | 文字列 | ユーザー アカウントの Microsoft Entra テナント ID。 |
| AccountUPN | 文字列 | ユーザー アカウントのユーザー プリンシパル名。 |
| AdditionalMailAddresses | 動的 | ユーザーの追加のメール アドレス。 |
| AssignedRoles | 動的 | ユーザー アカウントが割り当てられている Microsoft Entra ロール。 組み込みロールのみがサポートされています。 |
| BlastRadius | 文字列 | 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。 使用可能な値: "低、中、高" |
| ソースを変更 | 文字列 | エンティティに対し、最新の変更があるソース。 可能な値: |
| 都市 | 文字列 | ユーザー アカウントの市。 |
| 会社名 | 文字列 | ユーザーが属する会社名。 |
| 国 | 文字列 | ユーザー アカウントの国/地域。 |
| DeletedDateTime | datetime | ユーザーが削除された日時。 |
| 部 | 文字列 | ユーザー アカウントの部門。 |
| EmployeeId | 文字列 | 組織によりユーザーに割り当てられた従業員 ID。 |
| GivenName | 文字列 | ユーザー アカウントの名。 |
| GroupMembership | 動的 | ユーザー アカウントがメンバーである Microsoft Entra ID グループ。 |
| IsAccountEnabled | [bool] | ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。 |
| として に就く | 文字列 | ユーザー アカウントの役職。 |
| MailAddress | 文字列 | ユーザー アカウントのプライマリ メール アドレス。 |
| 支配人 | 文字列 | ユーザー アカウントのマネージャーの別名。 |
| OnPremisesDistinguishedName | 文字列 | Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
| 電話 | 文字列 | ユーザー アカウントの電話番号。 |
| RiskLevel | 文字列 | ユーザー アカウントの Microsoft Entra ID リスク レベル。 可能な値: |
| RiskLevelDetails | 文字列 | Microsoft Entra ID リスク レベルに関する詳細。 |
| RiskState | 文字列 | アカウントが現在危険にさらされているか、リスクが修復されたかを示します。 |
| SourceSystem | 文字列 | ユーザーが管理されているシステム。 可能な値: |
| 状態 | 文字列 | ユーザー アカウントの地理的な状態。 |
| StreetAddress | 文字列 | ユーザー アカウントのオフィスの番地。 |
| 名字 | 文字列 | ユーザーの姓名の姓。 アカウント。 |
| TenantId | 文字列 | ユーザーのテナント ID。 |
| TimeGenerated | datetime | イベントが生成された時刻 (UTC)。 |
| 種類 | 文字列 | テーブルの名前。 |
| UserAccountControl | 動的 | AD ドメイン内のユーザー アカウントのセキュリティ属性。 指定できる値 (複数の値を含む場合があります): |
| UserState | 文字列 | Microsoft Entra ID におけるユーザー アカウントの現在の状態。 指定できる値 |
| UserStateChangedOn | datetime | アカウントの状態が最後に変更された日付 (UTC)。 |
| UserType | 文字列 | ユーザーの種類。 |
次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。
- アプリケーション
- エンティティリスクスコア
- ExtensionProperty
- 調査優先度
- 調査優先度パーセンタイル
- IsMFARegistered
- IsServiceAccount
- 最終閲覧日
- オンプレミス拡張属性
- 関連アカウント
- サービスプリンシパルズ
- タグ
- UACFlags
次の手順
このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。
- エンティティの動作分析について詳しくは、こちらをご覧ください。
- Microsoft Sentinel で UEBA を有効にします。
- 調査に使用する UEBA を配置 します。