Udostępnij za pośrednictwem


Dokumentacja analizy UEBA usługi Microsoft Sentinel

W tym artykule referencyjnym wymieniono wejściowe źródła danych dla usługi Analizy zachowań użytkowników i jednostek w usłudze Microsoft Sentinel. Opisano w nim również wzbogacanie, które usługa UEBA dodaje do jednostek, zapewniając kontekst wymagany do alertów i zdarzeń.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Źródła danych UEBA

Są to źródła danych, z których aparat UEBA zbiera i analizuje dane w celu trenowania modeli uczenia maszynowego oraz ustawiania planów bazowych zachowań dla użytkowników, urządzeń i innych jednostek. Następnie analiza UEBA analizuje dane z tych źródeł, aby znaleźć anomalie i uzyskać szczegółowe informacje.

Źródło danych Zdarzenia
Identyfikator usługi Microsoft Entra
Dzienniki logowania
wszystkie
Identyfikator usługi Microsoft Entra
Dzienniki inspekcji
Zarządzanie aplikacjami
Zarządzanie katalogami
Zarządzanie grupą
Urządzenie
Zarządzanie rolami
UserManagementCategory
Dzienniki aktywności platformy Azure Autoryzacja
AzureActiveDirectory
Rozliczenia
Obliczyć
Zużycie
KeyVault
Urządzenia
Sieć
Zasoby
Intune
Logika
SQL
Przechowywanie danych
Zdarzenia zabezpieczeń systemu Windows
WindowsEvent lub
SecurityEvent
4624: Pomyślnie zalogowano konto
4625: Logowanie konta nie powiodło się
4648: Próbowano zalogować się przy użyciu jawnych poświadczeń
4672: Specjalne uprawnienia przypisane do nowego logowania
4688: Utworzono nowy proces

Wzbogacanie z użyciem analizy behawioralnej użytkowników i jednostek

W tej sekcji opisano wzbogacania analizy UEBA dodaje do jednostek usługi Microsoft Sentinel wraz ze wszystkimi szczegółami, których można użyć do skoncentrowania i wyostrzenia badań dotyczących zdarzeń zabezpieczeń. Te wzbogacenia są wyświetlane na stronach jednostek i można je znaleźć w następujących tabelach usługi Log Analytics, zawartości i schematach wymienionych poniżej:

  • Tabela BehaviorAnalytics to miejsce przechowywania informacji wyjściowych usługi UEBA.

    Poniższe trzy pola dynamiczne z tabeli BehaviorAnalytics zostały opisane w poniższej sekcji pola dynamiczne wzbogacania jednostek.

    • Pola UsersInsights i DevicesInsights zawierają informacje o jednostkach ze źródeł usługi Active Directory/Microsoft Entra ID i Microsoft Threat Intelligence.

    • Pole ActivityInsights zawiera informacje o jednostkach oparte na profilach behawioralnych utworzonych przez analizę zachowań jednostek usługi Microsoft Sentinel.

      Działania użytkownika są analizowane pod kątem punktu odniesienia, który jest dynamicznie kompilowany za każdym razem, gdy jest używany. Każde działanie ma własny zdefiniowany okres wyszukiwania, z którego pochodzi dynamiczny punkt odniesienia. Okres wyszukiwania jest określony w kolumnie Punkt odniesienia w tej tabeli.

  • Tabela IdentityInfo to miejsce przechowywania informacji o tożsamości synchronizowanych z usługą UEBA z identyfikatora Entra firmy Microsoft (i lokalnej usługi Active Directory za pośrednictwem usługi Microsoft Defender for Identity).

Tabela BehaviorAnalytics

W poniższej tabeli opisano dane analizy zachowań wyświetlane na każdej stronie szczegółów jednostki w usłudze Microsoft Sentinel.

Pole Typ Opis
Identyfikator dzierżawy sznurek Unikatowy identyfikator dzierżawy.
Identyfikatorrekordu źródłowego sznurek Unikatowy identyfikator zdarzenia EBA.
TimeGenerated data i godzina Sygnatura czasowa wystąpienia działania.
TimeProcessed data i godzina Sygnatura czasowa przetwarzania działania przez aparat EBA.
Typ działania sznurek Kategoria wysokiego poziomu działania.
Typ akcji sznurek Znormalizowana nazwa działania.
Nazwa użytkownika sznurek Nazwa użytkownika, który zainicjował działanie.
NazwaGłównaUżytkownika sznurek Pełna nazwa użytkownika, który zainicjował działanie.
Źródło zdarzeń sznurek Źródło danych, które dostarczyło oryginalne zdarzenie.
SourceIPAddress sznurek Adres IP, z którego zainicjowano działanie.
SourceIPLocation sznurek Kraj/region, z którego zainicjowano działanie, wzbogacone o adres IP.
SourceDevice sznurek Nazwa hosta urządzenia, które zainicjowało działanie.
DestinationIPAddress sznurek Adres IP docelowego działania.
DestinationIPLocation sznurek Kraj/region docelowego działania wzbogacony o adres IP.
DestinationDevice sznurek Nazwa urządzenia docelowego.
UsersInsights dynamiczna Kontekstowe wzbogacanie zaangażowanych użytkowników (szczegóły poniżej).
UrządzeniaInsights dynamiczna Kontekstowe wzbogacania zaangażowanych urządzeń (szczegóły poniżej).
ActivityInsights dynamiczna Kontekstowa analiza aktywności na podstawie profilowania (szczegóły poniżej).
InvestigationPriority int (integer) Wynik anomalii z zakresu od 0 do 10 (0 = łagodny, 10 = wysoce nietypowy).

Pola dynamiczne wzbogacania jednostek

Uwaga

Kolumna Nazwa wzbogacania w tabelach w tej sekcji zawiera dwa wiersze informacji.

  • Pierwszy, pogrubiony, jest "przyjazną nazwą" wzbogacania.
  • Drugi (w kursywach i nawiasach) jest nazwą pola wzbogacania przechowywanego w tabeli Analiza zachowania.

Pole UsersInsights

W poniższej tabeli opisano wzbogacania polecane w polu dynamicznym UsersInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania Opis Przykładowa wartość
Nazwa wyświetlana konta
(AccountDisplayName)
Nazwa wyświetlana konta użytkownika. Administrator, Hayden Cook
Domena konta
(AccountDomain)
Nazwa domeny konta użytkownika.
Identyfikator obiektu konta
(AccountObjectID)
Identyfikator obiektu konta użytkownika. aaaa-0000-1111-2222-bbbbbbbbbbbb
Promień wybuchu
(BlastRadius)
Promień wybuchu jest obliczany na podstawie kilku czynników: pozycji użytkownika w drzewie organizacji oraz ról i uprawnień firmy Microsoft użytkownika Entra. Użytkownik musi mieć właściwość Manager wypełnioną w identyfikatorze Entra firmy Microsoft, aby można było obliczyć właściwość BlastRadius . Niski, średni, wysoki
Czy konto jest uśpione
(IsDormantAccount)
Konto nie zostało użyte w ciągu ostatnich 180 dni. Prawda, fałsz
Jest administratorem lokalnym
(IsLocalAdmin)
Konto ma uprawnienia administratora lokalnego. Prawda, fałsz
Czy nowe konto
(IsNewAccount)
Konto zostało utworzone w ciągu ostatnich 30 dni. Prawda, fałsz
Lokalny identyfikator SID
(OnPremisesSID)
Lokalny identyfikator SID użytkownika powiązany z akcją. S-1-5-21-1112946627-1321165628-2437342228-1103

Pole DevicesInsights

W poniższej tabeli opisano wzbogacenia polecane w polu dynamicznym DevicesInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania Opis Przykładowa wartość
Przeglądarka
(Przeglądarka)
Przeglądarka używana w akcji. Edge, Chrome
Rodzina urządzeń
(DeviceFamily)
Rodzina urządzeń używana w akcji. Windows
Typ urządzenia
(Typ urządzenia)
Typ urządzenia klienckiego używany w akcji Klasyczna
Usługodawca isp
(ISP)
Dostawca usług internetowych używany w akcji.
System operacyjny
(OperatingSystem)
System operacyjny używany w akcji. Windows 10
Opis wskaźnika analizy zagrożeń
(ThreatIntelIndicatorDescription)
Opis obserwowanego wskaźnika zagrożenia rozpoznanego z adresu IP używanego w akcji. Host jest członkiem botnetu: azorult
Typ wskaźnika analizy zagrożeń
(ThreatIntelIndicatorType)
Typ wskaźnika zagrożenia rozpoznany z adresu IP używanego w akcji. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Agent użytkownika
(UserAgent)
Agent użytkownika używany w akcji. Biblioteka klienta programu Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Rodzina agentów użytkowników
(UserAgentFamily)
Rodzina agentów użytkownika używana w akcji. Chrome, Edge, Firefox

Pole ActivityInsights

W poniższych tabelach opisano wzbogacania polecane w polu dynamicznym ActivityInsights w tabeli BehaviorAnalytics:

Wykonano akcję
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Po raz pierwszy użytkownik wykonał akcję
(FirstTimeUserPerformedAction)
180 Akcja została wykonana po raz pierwszy przez użytkownika. Prawda, fałsz
Akcja rzadko wykonywana przez użytkownika
(ActionUncommonlyPerformedByUser)
10 Akcja nie jest często wykonywana przez użytkownika. Prawda, fałsz
Akcja rzadko wykonywana wśród elementów równorzędnych
(ActionUncommonlyPerformedAmongPeers)
180 Akcja nie jest często wykonywana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Akcja wykonywana po raz pierwszy w dzierżawie
(FirstTimeActionPerformedInTenant)
180 Akcja została wykonana po raz pierwszy przez wszystkich użytkowników w organizacji. Prawda, fałsz
Akcja rzadko wykonywana w dzierżawie
(ActionUncommonlyPerformedInTenant)
180 Akcja nie jest często wykonywana w organizacji. Prawda, fałsz
Używana aplikacja
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Aplikacja używana przez użytkownika po raz pierwszy
(FirstTimeUserUsedApp)
180 Aplikacja była używana po raz pierwszy przez użytkownika. Prawda, fałsz
Aplikacja rzadko używana przez użytkownika
(AppUncommonlyUsedByUser)
10 Aplikacja nie jest często używana przez użytkownika. Prawda, fałsz
Rzadko używana aplikacja między elementami równorzędnymi
(AppUncommonlyUsedAmongPeers)
180 Aplikacja nie jest często używana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Aplikacja po raz pierwszy zaobserwowana w dzierżawie
(FirstTimeAppObservedInTenant)
180 Aplikacja była obserwowana po raz pierwszy w organizacji. Prawda, fałsz
Rzadko używana aplikacja w dzierżawie
(AppUncommonlyUsedInTenant)
180 Aplikacja nie jest często używana w organizacji. Prawda, fałsz
Użyto przeglądarki
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem przeglądarki
(FirstTimeUserConnectedViaBrowser)
30 Przeglądarka była obserwowana po raz pierwszy przez użytkownika. Prawda, fałsz
Przeglądarka rzadko używana przez użytkownika
(BrowserUncommonlyUsedByUser)
10 Przeglądarka nie jest często używana przez użytkownika. Prawda, fałsz
Przeglądarka rzadko używana między elementami równorzędnymi
(BrowserUncommonlyUsedAmongPeers)
30 Przeglądarka nie jest często używana wśród elementów równorzędnych użytkownika. Prawda, fałsz
Przeglądarka zaobserwowana po raz pierwszy w dzierżawie
(FirstTimeBrowserObservedInTenant)
30 Przeglądarka była obserwowana po raz pierwszy w organizacji. Prawda, fałsz
Przeglądarka rzadko używana w dzierżawie
(BrowserUncommonlyUsedInTenant)
30 Przeglądarka nie jest często używana w organizacji. Prawda, fałsz
Kraj/region połączony z
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Użytkownik po raz pierwszy połączony z kraju
(FirstTimeUserConnectedFromCountry)
90 Lokalizacja geograficzna, jak rozpoznano z adresu IP, została połączona z użytkownika po raz pierwszy. Prawda, fałsz
Kraj rzadko połączony z użytkownikami
(CountryUncommonlyConnectedFromByUser)
10 Lokalizacja geograficzna, rozpoznawana na podstawie adresu IP, nie jest często połączona z użytkownikami. Prawda, fałsz
Kraj rzadko połączony między elementami równorzędnymi
(CountryUncommonlyConnectedFromAmongPeers)
90 Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona między elementami równorzędnymi użytkownika. Prawda, fałsz
Pierwsze połączenie z kraju obserwowanego w dzierżawie
(FirstTimeConnectionFromCountryObservedInTenant)
90 Kraj/region został połączony po raz pierwszy przez wszystkich w organizacji. Prawda, fałsz
Kraj rzadko połączony z dzierżawy
(CountryUncommonlyConnectedFromInTenant)
90 Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona z organizacji. Prawda, fałsz
Urządzenie używane do nawiązywania połączenia
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Użytkownik po raz pierwszy połączony z urządzenia
(FirstTimeUserConnectedFromDevice)
30 Urządzenie źródłowe zostało połączone od użytkownika po raz pierwszy. Prawda, fałsz
Urządzenie rzadko używane przez użytkownika
(DeviceUncommonlyUsedByUser)
10 Urządzenie nie jest często używane przez użytkownika. Prawda, fałsz
Urządzenie rzadko używane między elementami równorzędnymi
(DeviceUncommonlyUsedAmongPeers)
180 Urządzenie nie jest często używane między elementami równorzędnymi użytkownika. Prawda, fałsz
Urządzenie zaobserwowane po raz pierwszy w dzierżawie
(FirstTimeDeviceObservedInTenant)
30 Urządzenie zostało zaobserwowane po raz pierwszy w organizacji. Prawda, fałsz
Urządzenie rzadko używane w dzierżawie
(DeviceUncommonlyUsedInTenant)
180 Urządzenie nie jest często używane w organizacji. Prawda, fałsz
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Użytkownik zalogowany po raz pierwszy na urządzeniu
(FirstTimeUserLoggedOnToDevice)
180 Urządzenie docelowe zostało połączone z użytkownikiem po raz pierwszy. Prawda, fałsz
Rodzina urządzeń rzadko używana w dzierżawie
(DeviceFamilyUncommonlyUsedInTenant)
30 Rodzina urządzeń nie jest często używana w organizacji. Prawda, fałsz
Dostawca usług internetowych używany do nawiązywania połączenia
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem usługodawcy internetowego
(FirstTimeUserConnectedViaISP)
30 Usługodawca internetowy był obserwowany po raz pierwszy przez użytkownika. Prawda, fałsz
Usługodawca isP rzadko używany przez użytkownika
(ISPUncommonlyUsedByUser)
10 Usługodawca nie jest często używany przez użytkownika. Prawda, fałsz
Usługodawca isP rzadko używany między elementami równorzędnymi
(ISPUncommonlyUsedAmongPeers)
30 Usługodawca nie jest często używany wśród elementów równorzędnych użytkownika. Prawda, fałsz
Pierwsze połączenie za pośrednictwem usługodawcy internetowego w dzierżawie
(FirstTimeConnectionViaISPInTenant)
30 Usługodawca internetowy zaobserwowano po raz pierwszy w organizacji. Prawda, fałsz
Usługodawca isP rzadko używany w dzierżawie
(ISPUncommonlyUsedInTenant)
30 Usługodawca nie jest często używany w organizacji. Prawda, fałsz
Dostęp do zasobów
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Zasób uzyskiwany przez użytkownika po raz pierwszy
(FirstTimeUserAccessedResource)
180 Zasób był uzyskiwany po raz pierwszy przez użytkownika. Prawda, fałsz
Zasób rzadko uzyskiwany przez użytkownika
(ResourceUncommonlyAccessedByUser)
10 Zasób nie jest często uzyskiwany przez użytkownika. Prawda, fałsz
Zasób rzadko używany między elementami równorzędnymi
(ResourceUncommonlyAccessedAmongPeers)
180 Zasób nie jest często dostępny wśród elementów równorzędnych użytkownika. Prawda, fałsz
Przy pierwszym dostępie do zasobu w dzierżawie
(FirstTimeResourceAccessedInTenant)
180 Zasób był uzyskiwany po raz pierwszy przez wszystkich użytkowników w organizacji. Prawda, fałsz
Zasób rzadko uzyskiwany w dzierżawie
(ResourceUncommonlyAccessedInTenant)
180 Zasób nie jest często dostępny w organizacji. Prawda, fałsz
Różne
Nazwa wzbogacania Plan bazowy (dni) Opis Przykładowa wartość
Czas ostatniego wykonania akcji przez użytkownika
(LastTimeUserPerformedAction)
180 Ostatni raz użytkownik wykonał tę samą akcję. <Sygnatura czasowa>
Podobna akcja nie została wykonana w przeszłości
(SimilarActionWasn'tPerformedInThePast)
30 Użytkownik nie wykonał żadnej akcji u tego samego dostawcy zasobów. Prawda, fałsz
Lokalizacja źródłowego adresu IP
(SourceIPLocation)
N/A Kraj/region został rozpoznany ze źródłowego adresu IP akcji. [Surrey, Anglia]
Nietypowa duża liczba operacji
(NietypoweHighVolumeOfOperations)
7 Użytkownik wykonał serię podobnych operacji w ramach tego samego dostawcy Prawda, fałsz
Nietypowa liczba niepowodzeń dostępu warunkowego firmy Microsoft
(UnusualNumberOfAADConditionalAccessFailures)
5 Nie można uwierzytelnić nietypowej liczby użytkowników z powodu dostępu warunkowego Prawda, fałsz
Nietypowa liczba dodanych urządzeń
(UnusualNumberOfDevicesAdded)
5 Użytkownik dodał nietypową liczbę urządzeń. Prawda, fałsz
Nietypowa liczba usuniętych urządzeń
(UnusualNumberOfDevicesDeleted)
5 Użytkownik usunął nietypową liczbę urządzeń. Prawda, fałsz
Nietypowa liczba użytkowników dodanych do grupy
(UnusualNumberOfUsersAddedToGroup)
5 Użytkownik dodał nietypową liczbę użytkowników do grupy. Prawda, fałsz

Tabela IdentityInfo

Po włączeniu i skonfigurowaniu analizy UEBA dla obszaru roboczego usługi Microsoft Sentinel dane użytkowników od dostawców tożsamości firmy Microsoft są synchronizowane z tabelą IdentityInfo w usłudze Log Analytics do użycia w usłudze Microsoft Sentinel.

Ci dostawcy tożsamości są lub oba następujące elementy, w zależności od tego, który został wybrany podczas konfigurowania analizy UEBA:

  • Microsoft Entra ID (oparty na chmurze)
  • Usługa Microsoft Active Directory (lokalna, wymaga usługi Microsoft Defender for Identity))

Tabelę IdentityInfo można wykonywać w regułach analizy, zapytaniach wyszukiwania zagrożeń i skoroszytach, zwiększając analizę w celu dopasowania ich do przypadków użycia i zmniejszając liczbę wyników fałszywie dodatnich.

Synchronizacja początkowa może potrwać kilka dni, gdy dane zostaną w pełni zsynchronizowane:

  • Co 14 dni usługa Microsoft Sentinel ponownie synchronizuje się z całym identyfikatorem entra firmy Microsoft (i lokalną usługą Active Directory, jeśli ma to zastosowanie), aby upewnić się, że nieaktualne rekordy są w pełni aktualizowane.

  • Oprócz tych regularnych pełnych synchronizacji, za każdym razem, gdy zmiany zostaną wprowadzone w profilach użytkowników, grupach i wbudowanych rolach w identyfikatorze Firmy Microsoft Entra, rekordy użytkowników, których dotyczy problem, zostaną ponownie pozyskane i zaktualizowane w tabeli IdentityInfo w ciągu 15–30 minut. To pozyskiwanie jest rozliczane według regularnych stawek. Przykład:

    • Zmieniono atrybut użytkownika, taki jak nazwa wyświetlana, stanowisko lub adres e-mail. Nowy rekord dla tego użytkownika jest pozyskiwany do tabeli IdentityInfo z zaktualizowanymi odpowiednimi polami.

    • Grupa A ma w nim 100 użytkowników. 5 użytkowników jest dodawanych do grupy lub usuwanych z grupy. W takim przypadku te 5 rekordów użytkowników zostanie ponownie pozyskanych, a ich pola GroupMembership zostaną zaktualizowane.

    • Grupa A ma w nim 100 użytkowników. Dziesięciu użytkowników jest dodawanych do grupy A. Ponadto grupy A1 i A2, z których każdy ma 10 użytkowników, są dodawane do grupy A. W takim przypadku 30 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Dzieje się tak, ponieważ członkostwo w grupie jest przechodnie, więc zmiany w grupach mają wpływ na wszystkie ich podgrupy.

    • Nazwa grupy B (z 50 użytkownikami) została zmieniona na Grupa BeGood. W takim przypadku 50 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Jeśli w tej grupie znajdują się podgrupy, dzieje się tak samo dla wszystkich rekordów ich członków.

  • Domyślny czas przechowywania w tabeli IdentityInfo wynosi 30 dni.

Ograniczenia

  • Pole AssignedRoles obsługuje tylko wbudowane role.

  • Pole GroupMembership obsługuje wyświetlanie listy do 500 grup na użytkownika, w tym podgrup. Jeśli użytkownik jest członkiem ponad 500 grup, tylko pierwsze 500 jest synchronizowanych z tabelą IdentityInfo . Grupy nie są jednak oceniane w żadnej określonej kolejności, więc przy każdej nowej synchronizacji (co 14 dni) możliwe, że inny zestaw grup zostanie zaktualizowany do rekordu użytkownika.

  • Po usunięciu użytkownika rekord tego użytkownika nie zostanie natychmiast usunięty z tabeli IdentityInfo . Powodem jest to, że jednym z celów tej tabeli jest inspekcja zmian w rekordach użytkowników. W związku z tym chcemy, aby ta tabela miała rekord użytkownika, który może wystąpić tylko wtedy, gdy rekord użytkownika w tabeli IdentityInfo nadal istnieje, mimo że rzeczywisty użytkownik (np. w entra ID) jest usuwany.

    Usunięci użytkownicy mogą być identyfikowani przez obecność wartości w deletedDateTime polu. Jeśli więc potrzebujesz zapytania, aby wyświetlić listę użytkowników, możesz odfiltrować usuniętych użytkowników, dodając | where IsEmpty(deletedDateTime) je do zapytania.

    W pewnym przedziale czasu po usunięciu użytkownika rekord użytkownika zostanie ostatecznie usunięty z tabeli IdentityInfo .

  • Po usunięciu grupy lub zmianie nazwy grupy zawierającej więcej niż 100 członków, rekordy użytkowników należących do tej grupy nie są aktualizowane. Jeśli inna zmiana spowoduje zaktualizowanie jednego z rekordów tych użytkowników, zaktualizowane informacje o grupie zostaną uwzględnione w tym momencie.

Inne wersje tabeli IdentityInfo

Istnieje wiele wersji tabeli IdentityInfo :

  • Wersja schematu usługi Log Analytics omówiona w tym artykule obsługuje usługę Microsoft Sentinel w witrynie Azure Portal. Jest ona dostępna dla tych klientów, którzy włączyli analizę UEBA.

  • Wersja schematu Zaawansowane wyszukiwanie zagrożeń obsługuje portal Usługi Microsoft Defender za pośrednictwem usługi Microsoft Defender for Identity. Jest ona dostępna dla klientów usługi Microsoft Defender XDR z usługą Microsoft Sentinel lub bez niej oraz dla klientów usługi Microsoft Sentinel samodzielnie w portalu usługi Defender.

    Nie trzeba włączać analizy UEBA w celu uzyskania dostępu do tej tabeli. Jednak w przypadku klientów bez włączonej analizy UEBA pola wypełnione danymi UEBA nie są widoczne ani dostępne.

    Aby uzyskać więcej informacji, zobacz dokumentację zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli.

  • Od maja 2025 r. klienci usługi Microsoft Sentinel w portalu Microsoft Defenderz włączoną funkcją UEBAzaczynają korzystać z nowej wersjirozwiązania Advanced hunting . Ta nowa wersja zawiera wszystkie pola ANALIZY UEBA z wersji usługi Log Analytics, a także niektóre nowe pola i są określane jako ujednolicona wersja lub ujednolicona tabela IdentityInfo.

    Klienci portalu usługi Defender bez włączonej usługi UEBA lub bez usługi Microsoft Sentinel nadal korzystają z wcześniejszej wersji zaawansowanej wyszukiwania zagrożeń bez pól generowanych przez UEBA.

    Aby uzyskać więcej informacji na temat ujednoliconej wersji, zobacz IdentityInfo w dokumentacji zaawansowanego wyszukiwania zagrożeń.

Schemat

W tabeli na poniższej karcie "Schemat usługi Log Analytics" opisano dane tożsamości użytkownika zawarte w tabeli IdentityInfo w usłudze Log Analytics w witrynie Azure Portal.

Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Defender, wybierz kartę "Porównaj z ujednoliconym schematem", aby wyświetlić zmiany, które mogą potencjalnie wpłynąć na zapytania w regułach wykrywania zagrożeń i wyszukiwaniach.

Nazwa pola Typ Opis
AccountCloudSID sznurek Identyfikator zabezpieczeń microsoft Entra konta.
AccountCreationTime data i godzina Data utworzenia konta użytkownika (UTC).
AccountDisplayName sznurek Nazwa wyświetlana konta użytkownika.
AccountDomain sznurek Nazwa domeny konta użytkownika.
Nazwa konta sznurek Nazwa użytkownika konta użytkownika.
AccountObjectId sznurek Identyfikator obiektu Entra firmy Microsoft dla konta użytkownika.
AccountSID sznurek Lokalny identyfikator zabezpieczeń konta użytkownika.
AccountTenantId sznurek Identyfikator dzierżawy usługi Microsoft Entra konta użytkownika.
AccountUPN sznurek Główna nazwa użytkownika konta użytkownika.
AdditionalMailAddresses dynamiczna Dodatkowe adresy e-mail użytkownika.
Przypisanerole dynamiczna Role Firmy Microsoft Entra, do których jest przypisane konto użytkownika. Obsługiwane są tylko wbudowane role.
BlastRadius sznurek Obliczenie oparte na pozycji użytkownika w drzewie organizacji oraz rolach i uprawnieniach firmy Microsoft użytkownika.
Możliwe wartości: Niski, Średni, Wysoki
Źródło zmiany sznurek Źródło najnowszej zmiany jednostki.
Możliwe wartości:
  • AzureActiveDirectory (usługa AzureActiveDirectory)
  • Usługa ActiveDirectory
  • UEBA
  • Lista do obejrzenia
  • FullSync
  • Miasto sznurek Miasto konta użytkownika.
    Nazwa firmy sznurek Nazwa firmy, do której należy użytkownik.
    Kraj sznurek Kraj/region konta użytkownika.
    DeletedDateTime data i godzina Data i godzina usunięcia użytkownika.
    Dział sznurek Dział konta użytkownika.
    Identyfikator pracownika sznurek Identyfikator pracownika przypisany do użytkownika przez organizację.
    GivenName sznurek Podana nazwa konta użytkownika.
    GroupMembership dynamiczna Grupy identyfikatorów Entra firmy Microsoft, w których konto użytkownika jest członkiem.
    IsAccountEnabled Bool Wskazanie, czy konto użytkownika jest włączone w identyfikatorze Entra firmy Microsoft, czy nie.
    Stanowisko sznurek Stanowisko konta użytkownika.
    Adresy e-mail sznurek Podstawowy adres e-mail konta użytkownika.
    Menedżer sznurek Alias menedżera konta użytkownika.
    OnPremisesDistinguishedName sznurek Nazwa wyróżniająca identyfikatora entra firmy Microsoft (DN). Nazwa wyróżniająca jest sekwencją względnych nazw wyróżniających (RDN), połączonych przecinkami.
    Telefon sznurek Numer telefonu konta użytkownika.
    Poziom ryzyka sznurek Poziom ryzyka identyfikatora entra firmy Microsoft dla konta użytkownika.
    Możliwe wartości:
  • Niski
  • Średni
  • Wysoki
  • RiskLevelDetails sznurek Szczegóły dotyczące poziomu ryzyka identyfikatora entra firmy Microsoft.
    RiskState sznurek Wskazanie, czy konto jest teraz zagrożone lub czy ryzyko zostało skorygowane.
    SourceSystem sznurek System, w którym użytkownik jest zarządzany.
    Możliwe wartości:
  • AzureActiveDirectory (usługa AzureActiveDirectory)
  • Usługa ActiveDirectory
  • Hybryda
  • Stan sznurek Stan geograficzny konta użytkownika.
    StreetAddress sznurek Adres ulicy biura konta użytkownika.
    Nazwisko sznurek Nazwisko użytkownika. usługi.
    Identyfikator dzierżawy sznurek Identyfikator dzierżawy użytkownika.
    TimeGenerated data i godzina Godzina wygenerowania zdarzenia (UTC).
    Typ sznurek Nazwa tabeli.
    UserAccountControl dynamiczna Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD.
    Możliwe wartości (mogą zawierać więcej niż jedną):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • Karta inteligentnaWymagane
  • TrustedForDelegation
  • DelegowanieNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState sznurek Bieżący stan konta użytkownika w identyfikatorze Entra firmy Microsoft.
    Możliwe wartości:
  • Aktywny
  • Niepełnosprawny
  • Uśpiony
  • Blokady
  • UserStateChangedOn data i godzina Data ostatniej zmiany stanu konta (UTC).
    Typ użytkownika sznurek Typ użytkownika.

    Następujące pola, chociaż istnieją w schemacie usługi Log Analytics, powinny zostać zignorowane, ponieważ nie są używane ani obsługiwane przez usługę Microsoft Sentinel:

    • Aplikacje
    • Ocena Ryzyka Podmiotu
    • Właściwość rozszerzenia
    • Priorytet Śledztwa
    • Percentyl Priorytetu Dochodzenia
    • IsMFARegistered
    • IsServiceAccount
    • DataOstatniegoWidziania
    • OnPremisesExtensionAttributes
    • Powiązane konta
    • ServicePrincipals
    • Etykiety
    • Opóźnienie funkcji UACFlags

    Następne kroki

    W tym dokumencie opisano schemat tabeli analizy zachowań jednostek usługi Microsoft Sentinel.