Microsoft Sentinel UEBA-verwijzing
Dit naslagartikel bevat de invoergegevensbronnen voor de service User and Entity Behavior Analytics in Microsoft Sentinel. Ook worden de verrijkingen beschreven die UEBA toevoegt aan entiteiten, wat de benodigde context biedt voor waarschuwingen en incidenten.
Belangrijk
Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.
UEBA-gegevensbronnen
Dit zijn de gegevensbronnen waaruit de UEBA-engine gegevens verzamelt en analyseert om de ML-modellen te trainen en gedragsbasislijnen in te stellen voor gebruikers, apparaten en andere entiteiten. UEBA kijkt vervolgens naar gegevens uit deze bronnen om afwijkingen en inzichten te vinden.
| Gegevensbron | gebeurtenis |
|---|---|
| Microsoft Entra ID Aanmeldingslogboeken |
Alle |
| Microsoft Entra ID Auditlogboeken |
ApplicationManagement DirectoryManagement GroupManagement Apparaat RoleManagement UserManagementCategory |
| Azure-activiteitenlogboeken | Autorisatie AzureActiveDirectory Billing Compute Verbruik KeyVault Apparaten Netwerk Resources Intune Logica Sql Storage |
| gebeurtenissen Windows-beveiliging WindowsEvent of SecurityEvent |
4624: Er is een account aangemeld 4625: Aanmelden bij een account is mislukt 4648: Er is een aanmelding geprobeerd met behulp van expliciete referenties 4672: Speciale bevoegdheden toegewezen aan nieuwe aanmelding 4688: Er is een nieuw proces gemaakt |
UEBA-verrijkingen
In deze sectie worden de verrijkingen beschreven die UEBA toevoegt aan Microsoft Sentinel-entiteiten, samen met al hun details, die u kunt gebruiken om uw onderzoek naar beveiligingsincidenten te concentreren en te verscherpen. Deze verrijkingen worden weergegeven op entiteitspagina's en vindt u in de volgende Log Analytics-tabellen, waarvan de inhoud en het schema hieronder worden vermeld:
In de tabel BehaviorAnalytics worden de uitvoergegevens van UEBA opgeslagen.
De volgende drie dynamische velden uit de tabel BehaviorAnalytics worden beschreven in de sectie dynamische velden voor entiteitsverrijkingen hieronder.
De velden UsersInsights en DevicesInsights bevatten entiteitsgegevens uit Active Directory/Microsoft Entra ID en Microsoft Threat Intelligence-bronnen.
Het veld ActivityInsights bevat entiteitsgegevens op basis van de gedragsprofielen van Microsoft Sentinel.
Gebruikersactiviteiten worden geanalyseerd op basis van een basislijn die dynamisch wordt gecompileerd telkens wanneer deze wordt gebruikt. Elke activiteit heeft de gedefinieerde lookbackperiode waaruit de dynamische basislijn wordt afgeleid. De lookbackperiode wordt opgegeven in de kolom Basislijn in deze tabel.
In de tabel IdentityInfo worden identiteitsgegevens die zijn gesynchroniseerd met UEBA vanuit Microsoft Entra-id (en vanuit on-premises Active Directory via Microsoft Defender for Identity) opgeslagen.
Tabel BehaviorAnalytics
In de volgende tabel worden de analysegegevens voor gedrag beschreven die worden weergegeven op elke pagina met entiteitsgegevens in Microsoft Sentinel.
| Veld | Type | Description |
|---|---|---|
| Tenant-ID | tekenreeks | Het unieke id-nummer van de tenant. |
| SourceRecordId | tekenreeks | Het unieke id-nummer van de EBA-gebeurtenis. |
| TimeGenerated | datetime | De tijdstempel van het exemplaar van de activiteit. |
| TimeProcessed | datetime | De tijdstempel van de verwerking van de activiteit door de EBA-engine. |
| ActivityType | tekenreeks | De categorie op hoog niveau van de activiteit. |
| ActionType | tekenreeks | De genormaliseerde naam van de activiteit. |
| UserName | tekenreeks | De gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| UserPrincipalName | tekenreeks | De volledige gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| EventSource | tekenreeks | De gegevensbron die de oorspronkelijke gebeurtenis heeft opgegeven. |
| SourceIPAddress | tekenreeks | Het IP-adres van waaruit de activiteit is gestart. |
| SourceIPLocation | tekenreeks | Het land van waaruit de activiteit is geïnitieerd, verrijkt van IP-adres. |
| SourceDevice | tekenreeks | De hostnaam van het apparaat dat de activiteit heeft gestart. |
| DestinationIPAddress | tekenreeks | Het IP-adres van het doel van de activiteit. |
| DestinationIPLocation | tekenreeks | Het land van het doel van de activiteit, verrijkt met IP-adres. |
| DestinationDevice | tekenreeks | De naam van het doelapparaat. |
| UsersInsights | dynamisch | De contextuele verrijkingen van betrokken gebruikers (details hieronder). |
| DevicesInsights | dynamisch | De contextuele verrijkingen van betrokken apparaten (hieronder details). |
| ActivityInsights | dynamisch | De contextuele analyse van activiteiten op basis van onze profilering (hieronder details). |
| InvestigationPriority | int | De anomaliescore, tussen 0-10 (0=goedaardig, 10=zeer afwijkend). |
Dynamische velden voor entiteitsverrijkingen
Notitie
In de kolom Verrijkingsnaam in de tabellen in deze sectie worden twee rijen met informatie weergegeven.
- De eerste, vetgedrukt, is de 'beschrijvende naam' van de verrijking.
- De tweede (cursief en haakjes) is de veldnaam van de verrijking zoals opgeslagen in de tabel Behavior Analytics.
Veld UsersInsights
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld UsersInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Beschrijving | Voorbeeldwaarde |
|---|---|---|
| Weergavenaam van account (AccountDisplayName) |
De weergavenaam van het account van de gebruiker. | Beheer, Hayden Cook |
| Accountdomein (AccountDomain) |
De accountdomeinnaam van de gebruiker. | |
| Accountobject-id (AccountObjectID) |
De accountobject-id van de gebruiker. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Straalstraal (BlastRadius) |
De straalstraal wordt berekend op basis van verschillende factoren: de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra-rollen en -machtigingen van de gebruiker. Gebruiker moet de eigenschap Manager hebben ingevuld in Microsoft Entra-id om BlastRadius te kunnen berekenen. | Laag, Gemiddeld, Hoog |
| Is inactief account (IsDormantAccount) |
Het account is de afgelopen 180 dagen niet gebruikt. | True, False |
| Is lokale beheerder (IsLocal Beheer) |
Het account heeft lokale beheerdersbevoegdheden. | True, False |
| Is een nieuw account (IsNewAccount) |
Het account is gemaakt binnen de afgelopen 30 dagen. | True, False |
| On-premises SID (OnPremisesSID) |
De on-premises SID van de gebruiker die is gerelateerd aan de actie. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Veld DevicesInsights
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld DevicesInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Beschrijving | Voorbeeldwaarde |
|---|---|---|
| Browser (Browser) |
De browser die in de actie wordt gebruikt. | Edge, Chrome |
| Apparaatfamilie (DeviceFamily) |
De apparaatfamilie die in de actie wordt gebruikt. | Windows |
| Apparaattype (DeviceType) |
Het clientapparaattype dat in de actie wordt gebruikt | Desktop |
| ISP (ISP) |
De internetprovider die in de actie wordt gebruikt. | |
| Besturingssysteem (OperatingSystem) |
Het besturingssysteem dat in de actie wordt gebruikt. | Windows 10 |
| Beschrijving van bedreigingsinformatie (ThreatIntelIndicatorDescription) |
Beschrijving van de waargenomen bedreigingsindicator die is opgelost vanuit het IP-adres dat in de actie wordt gebruikt. | Host is lid van botnet: azorult |
| Type bedreigingsinformatieindicator (ThreatIntelIndicatorType) |
Het type bedreigingsindicator dat is opgelost vanuit het IP-adres dat in de actie wordt gebruikt. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Gebruikersagent (UserAgent) |
De gebruikersagent die in de actie wordt gebruikt. | Microsoft Azure Graph-clientbibliotheek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Familie van gebruikersagent (UserAgentFamily) |
De familie van de gebruikersagent die in de actie wordt gebruikt. | Chrome, Edge, Firefox |
ActivityInsights-veld
In de volgende tabellen worden de verrijkingen beschreven die worden weergegeven in het dynamische veld ActivityInsights in de tabel BehaviorAnalytics:
Uitgevoerde actie
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker actie heeft uitgevoerd (FirstTimeUserPerformedAction) |
180 | De actie is voor het eerst uitgevoerd door de gebruiker. | True, False |
| Actie die ongebruikelijk wordt uitgevoerd door de gebruiker (ActionUncommonlyPerformedByUser) |
10 | De actie wordt meestal niet uitgevoerd door de gebruiker. | True, False |
| Actie die ongebruikelijk wordt uitgevoerd tussen peers (ActionUncommonlyPerformedAmongPeers) |
180 | De actie wordt meestal niet uitgevoerd tussen de peers van de gebruiker. | True, False |
| Eerste keer uitgevoerde actie in tenant (FirstTimeActionPerformedInTenant) |
180 | De actie is voor het eerst uitgevoerd door iedereen in de organisatie. | True, False |
| Actie die ongebruikelijk wordt uitgevoerd in de tenant (ActionUncommonlyPerformedInTenant) |
180 | De actie wordt meestal niet uitgevoerd in de organisatie. | True, False |
App gebruikt
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker de app heeft gebruikt (FirstTimeUserUsedApp) |
180 | De app is voor het eerst gebruikt door de gebruiker. | True, False |
| App wordt soms gebruikt door de gebruiker (AppUncommonlyUsedByUser) |
10 | De app wordt niet vaak gebruikt door de gebruiker. | True, False |
| App wordt ongebruikelijk gebruikt tussen peers (AppUncommonlyUsedAmongPeers) |
180 | De app wordt niet vaak gebruikt voor peers van gebruikers. | True, False |
| Eerste keer dat de app in de tenant is waargenomen (FirstTimeAppObservedInTenant) |
180 | De app is voor het eerst in de organisatie waargenomen. | True, False |
| App wordt ongebruikelijk gebruikt in de tenant (AppUncommonlyUsedInTenant) |
180 | De app wordt niet vaak gebruikt in de organisatie. | True, False |
Gebruikte browser
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| De eerste keer dat de gebruiker is verbonden via de browser (FirstTimeUser Verbinding maken edViaBrowser) |
30 | De browser is voor het eerst waargenomen door de gebruiker. | True, False |
| Browser die ongebruikelijk wordt gebruikt door de gebruiker (BrowserUncommonlyUsedByUser) |
10 | De browser wordt niet vaak gebruikt door de gebruiker. | True, False |
| Browser die ongebruikelijk wordt gebruikt tussen peers (BrowserUncommonlyUsedAmongPeers) |
30 | De browser wordt niet vaak gebruikt voor de peers van gebruikers. | True, False |
| Eerste keer dat de browser in de tenant is waargenomen (FirstTimeBrowserObservedInTenant) |
30 | De browser is voor het eerst in de organisatie waargenomen. | True, False |
| Browser die ongebruikelijk wordt gebruikt in de tenant (BrowserUncommonlyUsedInTenant) |
30 | De browser wordt niet vaak gebruikt in de organisatie. | True, False |
Land verbonden vanuit
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker is verbonden vanuit het land (FirstTimeUser Verbinding maken edFromCountry) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is voor het eerst verbonden door de gebruiker. | True, False |
| Land dat ongebruikelijk is verbonden door de gebruiker (CountryUncommonly Verbinding maken edFromByUser) |
10 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden door de gebruiker. | True, False |
| Land is ongebruikelijk verbonden tussen collega's (CountryUncommonly Verbinding maken edFromAmongPeers) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden met de peers van de gebruiker. | True, False |
| Eerste keer verbinding vanuit land waargenomen in tenant (FirstTime Verbinding maken ionFromCountryObservedInTenant) |
90 | Het land was voor het eerst verbonden door iedereen in de organisatie. | True, False |
| Land dat ongebruikelijk is verbonden vanuit een tenant (CountryUncommonly Verbinding maken edFromInTenant) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden vanuit de organisatie. | True, False |
Apparaat dat wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker verbinding heeft gemaakt vanaf het apparaat (FirstTimeUser Verbinding maken edFromDevice) |
30 | Het bronapparaat is voor het eerst verbonden door de gebruiker. | True, False |
| Apparaat dat ongebruikelijk wordt gebruikt door de gebruiker (DeviceUncommonlyUsedByUser) |
10 | Het apparaat wordt niet vaak gebruikt door de gebruiker. | True, False |
| Apparaat wordt ongebruikelijk gebruikt tussen peers (DeviceUncommonlyUsedAmongPeers) |
180 | Het apparaat wordt niet vaak gebruikt voor peers van gebruikers. | True, False |
| Eerste keer dat het apparaat in de tenant is waargenomen (FirstTimeDeviceObservedInTenant) |
30 | Het apparaat is voor het eerst in de organisatie waargenomen. | True, False |
| Apparaat dat ongebruikelijk wordt gebruikt in de tenant (DeviceUncommonlyUsedInTenant) |
180 | Het apparaat wordt niet vaak gebruikt in de organisatie. | True, False |
Andere apparaatgerelateerde
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| De eerste keer dat de gebruiker zich heeft aangemeld bij het apparaat (FirstTimeUserLoggedOnToDevice) |
180 | Het doelapparaat is voor het eerst verbonden door de gebruiker. | True, False |
| Apparaatfamilie wordt ongebruikelijk gebruikt in de tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | De apparaatfamilie wordt niet vaak gebruikt in de organisatie. | True, False |
Internetprovider die wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker is verbonden via ISP (FirstTimeUser Verbinding maken edViaISP) |
30 | De internetprovider is voor het eerst waargenomen door de gebruiker. | True, False |
| ISP wordt ongebruikelijk gebruikt door de gebruiker (ISPUncommonlyUsedByUser) |
10 | De internetprovider wordt niet vaak gebruikt door de gebruiker. | True, False |
| ISP wordt ongebruikelijk gebruikt tussen peers (ISPUncommonlyUsedAmongPeers) |
30 | De internetprovider wordt niet vaak gebruikt voor de peers van de gebruiker. | True, False |
| Eerste keer verbinding via internetprovider in tenant (FirstTime Verbinding maken ionViaISPInTenant) |
30 | De internetprovider werd voor het eerst in de organisatie waargenomen. | True, False |
| ISP wordt ongebruikelijk gebruikt in tenant (ISPUncommonlyUsedInTenant) |
30 | De internetprovider wordt niet vaak gebruikt in de organisatie. | True, False |
Toegang tot bronnen
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker toegang heeft tot de resource (FirstTimeUserAccessedResource) |
180 | De resource is voor het eerst geopend door de gebruiker. | True, False |
| Resource die ongebruikelijk wordt geopend door de gebruiker (ResourceUncommonlyAccessedByUser) |
10 | De resource wordt niet vaak gebruikt door de gebruiker. | True, False |
| Resource die ongebruikelijk wordt geopend tussen peers (ResourceUncommonlyAccessedAmongPeers) |
180 | De resource wordt niet vaak gebruikt voor peers van gebruikers. | True, False |
| Eerste keer dat resource wordt geopend in de tenant (FirstTimeResourceAccessedInTenant) |
180 | De resource is voor het eerst geopend door iedereen in de organisatie. | True, False |
| Resource die ongebruikelijk wordt geopend in de tenant (ResourceUncommonlyAccessedInTenant) |
180 | De resource wordt niet vaak gebruikt in de organisatie. | True, False |
Diversen
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Laatste keer dat de gebruiker actie heeft uitgevoerd (LastTimeUserPerformedAction) |
180 | De laatste keer dat de gebruiker dezelfde actie heeft uitgevoerd. | <Tijdstempel> |
| Er is in het verleden geen vergelijkbare actie uitgevoerd (SimilarActionWasn'tPerformedInThePast) |
30 | Er is geen actie in dezelfde resourceprovider uitgevoerd door de gebruiker. | True, False |
| Bron-IP-locatie (SourceIPLocation) |
N.v.t. | Het land is omgezet vanuit het bron-IP-adres van de actie. | [Surrey, Engeland] |
| Ongebruikelijk groot aantal bewerkingen (UncommonHighVolumeOfOperations) |
7 | Een gebruiker heeft een burst van vergelijkbare bewerkingen uitgevoerd binnen dezelfde provider | True, False |
| Ongebruikelijk aantal voorwaardelijke toegangsfouten van Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Een ongebruikelijk aantal gebruikers kan niet worden geverifieerd vanwege voorwaardelijke toegang | True, False |
| Ongebruikelijk aantal toegevoegde apparaten (UnusualNumberOfDevicesAdded) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten toegevoegd. | True, False |
| Ongebruikelijk aantal apparaten verwijderd (UnusualNumberOfDevicesDeleted) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten verwijderd. | True, False |
| Ongebruikelijk aantal gebruikers toegevoegd aan groep (UnusualNumberOfUsersAddedToGroup) |
5 | Een gebruiker heeft een ongebruikelijk aantal gebruikers toegevoegd aan een groep. | True, False |
IdentityInfo-tabel
Nadat u UEBA hebt ingeschakeld voor uw Microsoft Sentinel-werkruimte, worden gegevens van uw Microsoft Entra-id gesynchroniseerd met de tabel IdentityInfo in Log Analytics voor gebruik in Microsoft Sentinel. U kunt gebruikersgegevens insluiten die zijn gesynchroniseerd met uw Microsoft Entra-id in uw analyseregels om uw analyses te verbeteren zodat deze passen bij uw use cases en fout-positieven verminderen.
Hoewel de initiële synchronisatie enkele dagen kan duren, kan het zodra de gegevens volledig zijn gesynchroniseerd:
Wijzigingen in uw gebruikersprofielen in Microsoft Entra ID worden binnen 15 minuten bijgewerkt in de tabel IdentityInfo .
Groeps- en rolgegevens worden dagelijks gesynchroniseerd tussen de tabel IdentityInfo en Microsoft Entra ID.
Elke 14 dagen synchroniseert Microsoft Sentinel opnieuw met uw volledige Microsoft Entra-id om ervoor te zorgen dat verouderde records volledig worden bijgewerkt.
De standaardretentietijd in de tabel IdentityInfo is 30 dagen.
Notitie
Momenteel worden alleen ingebouwde rollen ondersteund.
Gegevens over verwijderde groepen, waarbij een gebruiker uit een groep is verwijderd, worden momenteel niet ondersteund.
Er zijn eigenlijk twee versies van de IdentityInfo-tabel : een die Microsoft Sentinel, in het Log Analytics-schema , de andere die de Microsoft Defender-portal bedient via Microsoft Defender for Identity, in wat bekend staat als het geavanceerde opsporingsschema . Beide versies van deze tabel worden door Microsoft Entra ID ingevoerd, maar de Log Analytics-versie heeft enkele velden toegevoegd.
Het geïntegreerde platform voor beveiligingsbewerkingen in de Defender-portal maakt gebruik van de geavanceerde opsporingsversie van deze tabel, dus om de verschillen tussen de versies van de tabel te minimaliseren, worden de meeste unieke velden in de Log Analytics-versie geleidelijk ook toegevoegd aan de geavanceerde opsporingsversie . Ongeacht in welke portal u Microsoft Sentinel gebruikt, hebt u toegang tot bijna dezelfde informatie, hoewel er mogelijk een kleine vertraging in de synchronisatie tussen de versies is.
In de volgende tabel worden de gebruikersidentiteitsgegevens beschreven die zijn opgenomen in de tabel IdentityInfo in Log Analytics in Azure Portal. In de vierde kolom ziet u de bijbehorende velden in de geavanceerde opsporingsversie van de tabel, die Microsoft Sentinel gebruikt in de Defender-portal. Veldnamen in vetgedrukt worden anders genoemd in het geavanceerde opsporingsschema dan in de Microsoft Sentinel Log Analytics-versie.
| Veldnaam in Log Analytics-schema |
Type | Description | Veldnaam in Geavanceerd opsporingsschema |
|---|---|---|---|
| AccountCloudSID | tekenreeks | De Beveiligings-id van Microsoft Entra van het account. | CloudSid |
| AccountCreationTime | datetime | De datum waarop het gebruikersaccount is gemaakt (UTC). | CreatedDateTime |
| AccountDisplayName | tekenreeks | De weergavenaam van het gebruikersaccount. | AccountDisplayName |
| AccountDomain | tekenreeks | De domeinnaam van het gebruikersaccount. | AccountDomain |
| Accountnaam | tekenreeks | De gebruikersnaam van het gebruikersaccount. | AccountName |
| AccountObjectId | tekenreeks | De Object-id van Microsoft Entra voor het gebruikersaccount. | AccountObjectId |
| AccountSID | tekenreeks | De on-premises beveiligings-id van het gebruikersaccount. | AccountSID |
| AccountTenantId | tekenreeks | De Tenant-id van Microsoft Entra van het gebruikersaccount. | -- |
| AccountUPN | tekenreeks | De principal-naam van de gebruiker van het gebruikersaccount. | AccountUPN |
| AdditionalMailAddresses | dynamisch | De extra e-mailadressen van de gebruiker. | -- |
| AssignedRoles | dynamisch | De Microsoft Entra-rollen waaraan het gebruikersaccount is toegewezen. | AssignedRoles |
| BlastRadius | tekenreeks | Een berekening op basis van de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra-rollen en -machtigingen van de gebruiker. Mogelijke waarden: Laag, Gemiddeld, Hoog |
-- |
| ChangeSource | tekenreeks | De bron van de meest recente wijziging in de entiteit. Mogelijke waarden: |
ChangeSource |
| CompanyName | De bedrijfsnaam waartoe de gebruiker behoort. | -- | |
| Plaats | tekenreeks | De plaats van het gebruikersaccount. | City |
| Land/regio | tekenreeks | Het land van het gebruikersaccount. | Land/regio |
| DeletedDateTime | datetime | De datum en tijd waarop de gebruiker is verwijderd. | -- |
| Afdeling | tekenreeks | De afdeling van het gebruikersaccount. | Afdeling |
| GivenName | tekenreeks | De opgegeven naam van het gebruikersaccount. | GivenName |
| GroupMembership | dynamisch | Microsoft Entra-groepen waarbij het gebruikersaccount lid is. | -- |
| IsAccountEnabled | bool | Een indicatie of het gebruikersaccount is ingeschakeld in Microsoft Entra-id of niet. | IsAccountEnabled |
| JobTitle | tekenreeks | De functie van het gebruikersaccount. | JobTitle |
| Mailadres | tekenreeks | Het primaire e-mailadres van het gebruikersaccount. | Emailaddress |
| Manager | tekenreeks | De manageralias van het gebruikersaccount. | Manager |
| OnPremisesDistinguishedName | tekenreeks | De DN (Microsoft Entra ID distinguished name). Een DN-naam is een reeks relatieve DN-namen (RDN), verbonden door komma's. | DistinguishedName |
| Telefoon | tekenreeks | Het telefoonnummer van het gebruikersaccount. | Telefoon |
| SourceSystem | tekenreeks | Het systeem waarin de gebruiker wordt beheerd. Mogelijke waarden: |
SourceProvider |
| State | tekenreeks | De geografische status van het gebruikersaccount. | Staat |
| StreetAddress | tekenreeks | Het adres van het kantooradres van het gebruikersaccount. | Adres |
| Achternaam | tekenreeks | De achternaam van de gebruiker. serviceaccount. | Achternaam |
| Tenant-ID | tekenreeks | De tenant-id van de gebruiker. | -- |
| TimeGenerated | datetime | Het tijdstip waarop de gebeurtenis is gegenereerd (UTC). | Tijdstempel |
| Type | tekenreeks | De naam van de tabel. | -- |
| Useraccountcontrol | dynamisch | Beveiligingskenmerken van het gebruikersaccount in het AD-domein. Mogelijke waarden (kunnen meer dan één bevatten): |
-- |
| UserState | tekenreeks | De huidige status van het gebruikersaccount in Microsoft Entra ID. Mogelijke waarden: |
-- |
| UserStateChangedOn | datetime | De datum van de laatste keer dat de accountstatus is gewijzigd (UTC). | -- |
| UserType | tekenreeks | Het gebruikerstype. | -- |
Volgende stappen
In dit document wordt het tabelschema van de analysetabel voor Microsoft Sentinel-entiteiten beschreven.
- Meer informatie over analyse van entiteitsgedrag.
- Schakel UEBA in Microsoft Sentinel in.
- UEBA gebruiken in uw onderzoeken.