Dokumentacja analizy UEBA usługi Microsoft Sentinel

W tym artykule referencyjnym wymieniono wejściowe źródła danych dla usługi Analizy zachowań użytkowników i jednostek w usłudze Microsoft Sentinel. Opisano w nim również wzbogacanie, które usługa UEBA dodaje do jednostek, zapewniając kontekst wymagany do alertów i zdarzeń.

Ważne

Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Źródła danych UEBA

Są to źródła danych, z których aparat UEBA zbiera i analizuje dane w celu trenowania modeli uczenia maszynowego oraz ustawiania planów bazowych zachowań dla użytkowników, urządzeń i innych jednostek. Następnie analiza UEBA analizuje dane z tych źródeł, aby znaleźć anomalie i uzyskać szczegółowe informacje.

Źródło danych	Zdarzenia
Identyfikator usługi Microsoft Entra Dzienniki logowania	wszystkie
Identyfikator usługi Microsoft Entra Dzienniki inspekcji	Zarządzanie aplikacjami Zarządzanie katalogami Zarządzanie grupą Urządzenie Zarządzanie rolami UserManagementCategory
Dzienniki aktywności platformy Azure	Autoryzacja AzureActiveDirectory Rozliczenia Obliczyć Zużycie KeyVault Urządzenia Sieć Zasoby Intune Logika SQL Przechowywanie danych
Zdarzenia zabezpieczeń systemu Windows WindowsEvent lub SecurityEvent	4624: Pomyślnie zalogowano konto 4625: Logowanie konta nie powiodło się 4648: Próbowano zalogować się przy użyciu jawnych poświadczeń 4672: Specjalne uprawnienia przypisane do nowego logowania 4688: Utworzono nowy proces

Wzbogacanie z użyciem analizy behawioralnej użytkowników i jednostek

W tej sekcji opisano wzbogacania analizy UEBA dodaje do jednostek usługi Microsoft Sentinel wraz ze wszystkimi szczegółami, których można użyć do skoncentrowania i wyostrzenia badań dotyczących zdarzeń zabezpieczeń. Te wzbogacenia są wyświetlane na stronach jednostek i można je znaleźć w następujących tabelach usługi Log Analytics, zawartości i schematach wymienionych poniżej:

• Tabela BehaviorAnalytics to miejsce przechowywania informacji wyjściowych usługi UEBA.

  Poniższe trzy pola dynamiczne z tabeli BehaviorAnalytics zostały opisane w poniższej sekcji pola dynamiczne wzbogacania jednostek.

  • Pola UsersInsights i DevicesInsights zawierają informacje o jednostkach ze źródeł usługi Active Directory/Microsoft Entra ID i Microsoft Threat Intelligence.

  • Pole ActivityInsights zawiera informacje o jednostkach oparte na profilach behawioralnych utworzonych przez analizę zachowań jednostek usługi Microsoft Sentinel.

    Działania użytkownika są analizowane pod kątem punktu odniesienia, który jest dynamicznie kompilowany za każdym razem, gdy jest używany. Każde działanie ma własny zdefiniowany okres wyszukiwania, z którego pochodzi dynamiczny punkt odniesienia. Okres wyszukiwania jest określony w kolumnie Punkt odniesienia w tej tabeli.

• Tabela IdentityInfo to miejsce przechowywania informacji o tożsamości synchronizowanych z usługą UEBA z identyfikatora Entra firmy Microsoft (i lokalnej usługi Active Directory za pośrednictwem usługi Microsoft Defender for Identity).

Tabela BehaviorAnalytics

W poniższej tabeli opisano dane analizy zachowań wyświetlane na każdej stronie szczegółów jednostki w usłudze Microsoft Sentinel.

Pole	Typ	Opis
Identyfikator dzierżawy	sznurek	Unikatowy identyfikator dzierżawy.
Identyfikatorrekordu źródłowego	sznurek	Unikatowy identyfikator zdarzenia EBA.
TimeGenerated	data i godzina	Sygnatura czasowa wystąpienia działania.
TimeProcessed	data i godzina	Sygnatura czasowa przetwarzania działania przez aparat EBA.
Typ działania	sznurek	Kategoria wysokiego poziomu działania.
Typ akcji	sznurek	Znormalizowana nazwa działania.
Nazwa użytkownika	sznurek	Nazwa użytkownika, który zainicjował działanie.
NazwaGłównaUżytkownika	sznurek	Pełna nazwa użytkownika, który zainicjował działanie.
Źródło zdarzeń	sznurek	Źródło danych, które dostarczyło oryginalne zdarzenie.
SourceIPAddress	sznurek	Adres IP, z którego zainicjowano działanie.
SourceIPLocation	sznurek	Kraj/region, z którego zainicjowano działanie, wzbogacone o adres IP.
SourceDevice	sznurek	Nazwa hosta urządzenia, które zainicjowało działanie.
DestinationIPAddress	sznurek	Adres IP docelowego działania.
DestinationIPLocation	sznurek	Kraj/region docelowego działania wzbogacony o adres IP.
DestinationDevice	sznurek	Nazwa urządzenia docelowego.
UsersInsights	dynamiczna	Kontekstowe wzbogacanie zaangażowanych użytkowników (szczegóły poniżej).
UrządzeniaInsights	dynamiczna	Kontekstowe wzbogacania zaangażowanych urządzeń (szczegóły poniżej).
ActivityInsights	dynamiczna	Kontekstowa analiza aktywności na podstawie profilowania (szczegóły poniżej).
InvestigationPriority	int (integer)	Wynik anomalii z zakresu od 0 do 10 (0 = łagodny, 10 = wysoce nietypowy).

Pola dynamiczne wzbogacania jednostek

Uwaga

Kolumna Nazwa wzbogacania w tabelach w tej sekcji zawiera dwa wiersze informacji.

• Pierwszy, pogrubiony, jest "przyjazną nazwą" wzbogacania.
• Drugi (w kursywach i nawiasach) jest nazwą pola wzbogacania przechowywanego w tabeli Analiza zachowania.

Pole UsersInsights

W poniższej tabeli opisano wzbogacania polecane w polu dynamicznym UsersInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania	Opis	Przykładowa wartość
Nazwa wyświetlana konta (AccountDisplayName)	Nazwa wyświetlana konta użytkownika.	Administrator, Hayden Cook
Domena konta (AccountDomain)	Nazwa domeny konta użytkownika.
Identyfikator obiektu konta (AccountObjectID)	Identyfikator obiektu konta użytkownika.	aaaa-0000-1111-2222-bbbbbbbbbbbb
Promień wybuchu (BlastRadius)	Promień wybuchu jest obliczany na podstawie kilku czynników: pozycji użytkownika w drzewie organizacji oraz ról i uprawnień firmy Microsoft użytkownika Entra. Użytkownik musi mieć właściwość Manager wypełnioną w identyfikatorze Entra firmy Microsoft, aby można było obliczyć właściwość BlastRadius .	Niski, średni, wysoki
Czy konto jest uśpione (IsDormantAccount)	Konto nie zostało użyte w ciągu ostatnich 180 dni.	Prawda, fałsz
Jest administratorem lokalnym (IsLocalAdmin)	Konto ma uprawnienia administratora lokalnego.	Prawda, fałsz
Czy nowe konto (IsNewAccount)	Konto zostało utworzone w ciągu ostatnich 30 dni.	Prawda, fałsz
Lokalny identyfikator SID (OnPremisesSID)	Lokalny identyfikator SID użytkownika powiązany z akcją.	S-1-5-21-1112946627-1321165628-2437342228-1103

Pole DevicesInsights

W poniższej tabeli opisano wzbogacenia polecane w polu dynamicznym DevicesInsights w tabeli BehaviorAnalytics:

Nazwa wzbogacania	Opis	Przykładowa wartość
Przeglądarka (Przeglądarka)	Przeglądarka używana w akcji.	Edge, Chrome
Rodzina urządzeń (DeviceFamily)	Rodzina urządzeń używana w akcji.	Windows
Typ urządzenia (Typ urządzenia)	Typ urządzenia klienckiego używany w akcji	Klasyczna
Usługodawca isp (ISP)	Dostawca usług internetowych używany w akcji.
System operacyjny (OperatingSystem)	System operacyjny używany w akcji.	Windows 10
Opis wskaźnika analizy zagrożeń (ThreatIntelIndicatorDescription)	Opis obserwowanego wskaźnika zagrożenia rozpoznanego z adresu IP używanego w akcji.	Host jest członkiem botnetu: azorult
Typ wskaźnika analizy zagrożeń (ThreatIntelIndicatorType)	Typ wskaźnika zagrożenia rozpoznany z adresu IP używanego w akcji.	Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Agent użytkownika (UserAgent)	Agent użytkownika używany w akcji.	Biblioteka klienta programu Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS
Rodzina agentów użytkowników (UserAgentFamily)	Rodzina agentów użytkownika używana w akcji.	Chrome, Edge, Firefox

Pole ActivityInsights

W poniższych tabelach opisano wzbogacania polecane w polu dynamicznym ActivityInsights w tabeli BehaviorAnalytics:

Wykonano akcję

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Po raz pierwszy użytkownik wykonał akcję (FirstTimeUserPerformedAction)	180	Akcja została wykonana po raz pierwszy przez użytkownika.	Prawda, fałsz
Akcja rzadko wykonywana przez użytkownika (ActionUncommonlyPerformedByUser)	10	Akcja nie jest często wykonywana przez użytkownika.	Prawda, fałsz
Akcja rzadko wykonywana wśród elementów równorzędnych (ActionUncommonlyPerformedAmongPeers)	180	Akcja nie jest często wykonywana wśród elementów równorzędnych użytkownika.	Prawda, fałsz
Akcja wykonywana po raz pierwszy w dzierżawie (FirstTimeActionPerformedInTenant)	180	Akcja została wykonana po raz pierwszy przez wszystkich użytkowników w organizacji.	Prawda, fałsz
Akcja rzadko wykonywana w dzierżawie (ActionUncommonlyPerformedInTenant)	180	Akcja nie jest często wykonywana w organizacji.	Prawda, fałsz

Używana aplikacja

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Aplikacja używana przez użytkownika po raz pierwszy (FirstTimeUserUsedApp)	180	Aplikacja była używana po raz pierwszy przez użytkownika.	Prawda, fałsz
Aplikacja rzadko używana przez użytkownika (AppUncommonlyUsedByUser)	10	Aplikacja nie jest często używana przez użytkownika.	Prawda, fałsz
Rzadko używana aplikacja między elementami równorzędnymi (AppUncommonlyUsedAmongPeers)	180	Aplikacja nie jest często używana wśród elementów równorzędnych użytkownika.	Prawda, fałsz
Aplikacja po raz pierwszy zaobserwowana w dzierżawie (FirstTimeAppObservedInTenant)	180	Aplikacja była obserwowana po raz pierwszy w organizacji.	Prawda, fałsz
Rzadko używana aplikacja w dzierżawie (AppUncommonlyUsedInTenant)	180	Aplikacja nie jest często używana w organizacji.	Prawda, fałsz

Użyto przeglądarki

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem przeglądarki (FirstTimeUserConnectedViaBrowser)	30	Przeglądarka była obserwowana po raz pierwszy przez użytkownika.	Prawda, fałsz
Przeglądarka rzadko używana przez użytkownika (BrowserUncommonlyUsedByUser)	10	Przeglądarka nie jest często używana przez użytkownika.	Prawda, fałsz
Przeglądarka rzadko używana między elementami równorzędnymi (BrowserUncommonlyUsedAmongPeers)	30	Przeglądarka nie jest często używana wśród elementów równorzędnych użytkownika.	Prawda, fałsz
Przeglądarka zaobserwowana po raz pierwszy w dzierżawie (FirstTimeBrowserObservedInTenant)	30	Przeglądarka była obserwowana po raz pierwszy w organizacji.	Prawda, fałsz
Przeglądarka rzadko używana w dzierżawie (BrowserUncommonlyUsedInTenant)	30	Przeglądarka nie jest często używana w organizacji.	Prawda, fałsz

Kraj/region połączony z

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Użytkownik po raz pierwszy połączony z kraju (FirstTimeUserConnectedFromCountry)	90	Lokalizacja geograficzna, jak rozpoznano z adresu IP, została połączona z użytkownika po raz pierwszy.	Prawda, fałsz
Kraj rzadko połączony z użytkownikami (CountryUncommonlyConnectedFromByUser)	10	Lokalizacja geograficzna, rozpoznawana na podstawie adresu IP, nie jest często połączona z użytkownikami.	Prawda, fałsz
Kraj rzadko połączony między elementami równorzędnymi (CountryUncommonlyConnectedFromAmongPeers)	90	Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona między elementami równorzędnymi użytkownika.	Prawda, fałsz
Pierwsze połączenie z kraju obserwowanego w dzierżawie (FirstTimeConnectionFromCountryObservedInTenant)	90	Kraj/region został połączony po raz pierwszy przez wszystkich w organizacji.	Prawda, fałsz
Kraj rzadko połączony z dzierżawy (CountryUncommonlyConnectedFromInTenant)	90	Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona z organizacji.	Prawda, fałsz

Urządzenie używane do nawiązywania połączenia

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Użytkownik po raz pierwszy połączony z urządzenia (FirstTimeUserConnectedFromDevice)	30	Urządzenie źródłowe zostało połączone od użytkownika po raz pierwszy.	Prawda, fałsz
Urządzenie rzadko używane przez użytkownika (DeviceUncommonlyUsedByUser)	10	Urządzenie nie jest często używane przez użytkownika.	Prawda, fałsz
Urządzenie rzadko używane między elementami równorzędnymi (DeviceUncommonlyUsedAmongPeers)	180	Urządzenie nie jest często używane między elementami równorzędnymi użytkownika.	Prawda, fałsz
Urządzenie zaobserwowane po raz pierwszy w dzierżawie (FirstTimeDeviceObservedInTenant)	30	Urządzenie zostało zaobserwowane po raz pierwszy w organizacji.	Prawda, fałsz
Urządzenie rzadko używane w dzierżawie (DeviceUncommonlyUsedInTenant)	180	Urządzenie nie jest często używane w organizacji.	Prawda, fałsz

Inne urządzenia związane z urządzeniem

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Użytkownik zalogowany po raz pierwszy na urządzeniu (FirstTimeUserLoggedOnToDevice)	180	Urządzenie docelowe zostało połączone z użytkownikiem po raz pierwszy.	Prawda, fałsz
Rodzina urządzeń rzadko używana w dzierżawie (DeviceFamilyUncommonlyUsedInTenant)	30	Rodzina urządzeń nie jest często używana w organizacji.	Prawda, fałsz

Dostawca usług internetowych używany do nawiązywania połączenia

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Użytkownik po raz pierwszy połączony za pośrednictwem usługodawcy internetowego (FirstTimeUserConnectedViaISP)	30	Usługodawca internetowy był obserwowany po raz pierwszy przez użytkownika.	Prawda, fałsz
Usługodawca isP rzadko używany przez użytkownika (ISPUncommonlyUsedByUser)	10	Usługodawca nie jest często używany przez użytkownika.	Prawda, fałsz
Usługodawca isP rzadko używany między elementami równorzędnymi (ISPUncommonlyUsedAmongPeers)	30	Usługodawca nie jest często używany wśród elementów równorzędnych użytkownika.	Prawda, fałsz
Pierwsze połączenie za pośrednictwem usługodawcy internetowego w dzierżawie (FirstTimeConnectionViaISPInTenant)	30	Usługodawca internetowy zaobserwowano po raz pierwszy w organizacji.	Prawda, fałsz
Usługodawca isP rzadko używany w dzierżawie (ISPUncommonlyUsedInTenant)	30	Usługodawca nie jest często używany w organizacji.	Prawda, fałsz

Dostęp do zasobów

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Zasób uzyskiwany przez użytkownika po raz pierwszy (FirstTimeUserAccessedResource)	180	Zasób był uzyskiwany po raz pierwszy przez użytkownika.	Prawda, fałsz
Zasób rzadko uzyskiwany przez użytkownika (ResourceUncommonlyAccessedByUser)	10	Zasób nie jest często uzyskiwany przez użytkownika.	Prawda, fałsz
Zasób rzadko używany między elementami równorzędnymi (ResourceUncommonlyAccessedAmongPeers)	180	Zasób nie jest często dostępny wśród elementów równorzędnych użytkownika.	Prawda, fałsz
Przy pierwszym dostępie do zasobu w dzierżawie (FirstTimeResourceAccessedInTenant)	180	Zasób był uzyskiwany po raz pierwszy przez wszystkich użytkowników w organizacji.	Prawda, fałsz
Zasób rzadko uzyskiwany w dzierżawie (ResourceUncommonlyAccessedInTenant)	180	Zasób nie jest często dostępny w organizacji.	Prawda, fałsz

Różne

Nazwa wzbogacania	Plan bazowy (dni)	Opis	Przykładowa wartość
Czas ostatniego wykonania akcji przez użytkownika (LastTimeUserPerformedAction)	180	Ostatni raz użytkownik wykonał tę samą akcję.	<Sygnatura czasowa>
Podobna akcja nie została wykonana w przeszłości (SimilarActionWasn'tPerformedInThePast)	30	Użytkownik nie wykonał żadnej akcji u tego samego dostawcy zasobów.	Prawda, fałsz
Lokalizacja źródłowego adresu IP (SourceIPLocation)	N/A	Kraj/region został rozpoznany ze źródłowego adresu IP akcji.	[Surrey, Anglia]
Nietypowa duża liczba operacji (NietypoweHighVolumeOfOperations)	7	Użytkownik wykonał serię podobnych operacji w ramach tego samego dostawcy	Prawda, fałsz
Nietypowa liczba niepowodzeń dostępu warunkowego firmy Microsoft (UnusualNumberOfAADConditionalAccessFailures)	5	Nie można uwierzytelnić nietypowej liczby użytkowników z powodu dostępu warunkowego	Prawda, fałsz
Nietypowa liczba dodanych urządzeń (UnusualNumberOfDevicesAdded)	5	Użytkownik dodał nietypową liczbę urządzeń.	Prawda, fałsz
Nietypowa liczba usuniętych urządzeń (UnusualNumberOfDevicesDeleted)	5	Użytkownik usunął nietypową liczbę urządzeń.	Prawda, fałsz
Nietypowa liczba użytkowników dodanych do grupy (UnusualNumberOfUsersAddedToGroup)	5	Użytkownik dodał nietypową liczbę użytkowników do grupy.	Prawda, fałsz

Tabela IdentityInfo

Po włączeniu i skonfigurowaniu analizy UEBA dla obszaru roboczego usługi Microsoft Sentinel dane użytkowników od dostawców tożsamości firmy Microsoft są synchronizowane z tabelą IdentityInfo w usłudze Log Analytics do użycia w usłudze Microsoft Sentinel.

Ci dostawcy tożsamości są lub oba następujące elementy, w zależności od tego, który został wybrany podczas konfigurowania analizy UEBA:

• Microsoft Entra ID (oparty na chmurze)
• Usługa Microsoft Active Directory (lokalna, wymaga usługi Microsoft Defender for Identity))

Tabelę IdentityInfo można wykonywać w regułach analizy, zapytaniach wyszukiwania zagrożeń i skoroszytach, zwiększając analizę w celu dopasowania ich do przypadków użycia i zmniejszając liczbę wyników fałszywie dodatnich.

Synchronizacja początkowa może potrwać kilka dni, gdy dane zostaną w pełni zsynchronizowane:

• Co 14 dni usługa Microsoft Sentinel ponownie synchronizuje się z całym identyfikatorem entra firmy Microsoft (i lokalną usługą Active Directory, jeśli ma to zastosowanie), aby upewnić się, że nieaktualne rekordy są w pełni aktualizowane.

• Oprócz tych regularnych pełnych synchronizacji, za każdym razem, gdy zmiany zostaną wprowadzone w profilach użytkowników, grupach i wbudowanych rolach w identyfikatorze Firmy Microsoft Entra, rekordy użytkowników, których dotyczy problem, zostaną ponownie pozyskane i zaktualizowane w tabeli IdentityInfo w ciągu 15–30 minut. To pozyskiwanie jest rozliczane według regularnych stawek. Przykład:

  • Zmieniono atrybut użytkownika, taki jak nazwa wyświetlana, stanowisko lub adres e-mail. Nowy rekord dla tego użytkownika jest pozyskiwany do tabeli IdentityInfo z zaktualizowanymi odpowiednimi polami.

  • Grupa A ma w nim 100 użytkowników. 5 użytkowników jest dodawanych do grupy lub usuwanych z grupy. W takim przypadku te 5 rekordów użytkowników zostanie ponownie pozyskanych, a ich pola GroupMembership zostaną zaktualizowane.

  • Grupa A ma w nim 100 użytkowników. Dziesięciu użytkowników jest dodawanych do grupy A. Ponadto grupy A1 i A2, z których każdy ma 10 użytkowników, są dodawane do grupy A. W takim przypadku 30 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Dzieje się tak, ponieważ członkostwo w grupie jest przechodnie, więc zmiany w grupach mają wpływ na wszystkie ich podgrupy.

  • Nazwa grupy B (z 50 użytkownikami) została zmieniona na Grupa BeGood. W takim przypadku 50 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Jeśli w tej grupie znajdują się podgrupy, dzieje się tak samo dla wszystkich rekordów ich członków.

• Domyślny czas przechowywania w tabeli IdentityInfo wynosi 30 dni.

Ograniczenia

• Pole AssignedRoles obsługuje tylko wbudowane role.

• Pole GroupMembership obsługuje wyświetlanie listy do 500 grup na użytkownika, w tym podgrup. Jeśli użytkownik jest członkiem ponad 500 grup, tylko pierwsze 500 jest synchronizowanych z tabelą IdentityInfo . Grupy nie są jednak oceniane w żadnej określonej kolejności, więc przy każdej nowej synchronizacji (co 14 dni) możliwe, że inny zestaw grup zostanie zaktualizowany do rekordu użytkownika.

• Po usunięciu użytkownika rekord tego użytkownika nie zostanie natychmiast usunięty z tabeli IdentityInfo . Powodem jest to, że jednym z celów tej tabeli jest inspekcja zmian w rekordach użytkowników. W związku z tym chcemy, aby ta tabela miała rekord użytkownika, który może wystąpić tylko wtedy, gdy rekord użytkownika w tabeli IdentityInfo nadal istnieje, mimo że rzeczywisty użytkownik (np. w entra ID) jest usuwany.

  Usunięci użytkownicy mogą być identyfikowani przez obecność wartości w deletedDateTime polu. Jeśli więc potrzebujesz zapytania, aby wyświetlić listę użytkowników, możesz odfiltrować usuniętych użytkowników, dodając | where IsEmpty(deletedDateTime) je do zapytania.

  W pewnym przedziale czasu po usunięciu użytkownika rekord użytkownika zostanie ostatecznie usunięty z tabeli IdentityInfo .

• Po usunięciu grupy lub zmianie nazwy grupy zawierającej więcej niż 100 członków, rekordy użytkowników należących do tej grupy nie są aktualizowane. Jeśli inna zmiana spowoduje zaktualizowanie jednego z rekordów tych użytkowników, zaktualizowane informacje o grupie zostaną uwzględnione w tym momencie.

Inne wersje tabeli IdentityInfo

Istnieje wiele wersji tabeli IdentityInfo :

• Wersja schematu usługi Log Analytics omówiona w tym artykule obsługuje usługę Microsoft Sentinel w witrynie Azure Portal. Jest ona dostępna dla tych klientów, którzy włączyli analizę UEBA.

• Wersja schematu Zaawansowane wyszukiwanie zagrożeń obsługuje portal Usługi Microsoft Defender za pośrednictwem usługi Microsoft Defender for Identity. Jest ona dostępna dla klientów usługi Microsoft Defender XDR z usługą Microsoft Sentinel lub bez niej oraz dla klientów usługi Microsoft Sentinel samodzielnie w portalu usługi Defender.

  Nie trzeba włączać analizy UEBA w celu uzyskania dostępu do tej tabeli. Jednak w przypadku klientów bez włączonej analizy UEBA pola wypełnione danymi UEBA nie są widoczne ani dostępne.

  Aby uzyskać więcej informacji, zobacz dokumentację zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli.

• Od maja 2025 r. klienci usługi Microsoft Sentinel w portalu Microsoft Defenderz włączoną funkcją UEBAzaczynają korzystać z nowej wersjirozwiązania Advanced hunting . Ta nowa wersja zawiera wszystkie pola ANALIZY UEBA z wersji usługi Log Analytics, a także niektóre nowe pola i są określane jako ujednolicona wersja lub ujednolicona tabela IdentityInfo.

  Klienci portalu usługi Defender bez włączonej usługi UEBA lub bez usługi Microsoft Sentinel nadal korzystają z wcześniejszej wersji zaawansowanej wyszukiwania zagrożeń bez pól generowanych przez UEBA.

  Aby uzyskać więcej informacji na temat ujednoliconej wersji, zobacz IdentityInfo w dokumentacji zaawansowanego wyszukiwania zagrożeń.

Schemat

W tabeli na poniższej karcie "Schemat usługi Log Analytics" opisano dane tożsamości użytkownika zawarte w tabeli IdentityInfo w usłudze Log Analytics w witrynie Azure Portal.

Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Defender, wybierz kartę "Porównaj z ujednoliconym schematem", aby wyświetlić zmiany, które mogą potencjalnie wpłynąć na zapytania w regułach wykrywania zagrożeń i wyszukiwaniach.

Schemat usługi Log Analytics

Nazwa pola	Typ	Opis
AccountCloudSID	sznurek	Identyfikator zabezpieczeń microsoft Entra konta.
AccountCreationTime	data i godzina	Data utworzenia konta użytkownika (UTC).
AccountDisplayName	sznurek	Nazwa wyświetlana konta użytkownika.
AccountDomain	sznurek	Nazwa domeny konta użytkownika.
Nazwa konta	sznurek	Nazwa użytkownika konta użytkownika.
AccountObjectId	sznurek	Identyfikator obiektu Entra firmy Microsoft dla konta użytkownika.
AccountSID	sznurek	Lokalny identyfikator zabezpieczeń konta użytkownika.
AccountTenantId	sznurek	Identyfikator dzierżawy usługi Microsoft Entra konta użytkownika.
AccountUPN	sznurek	Główna nazwa użytkownika konta użytkownika.
AdditionalMailAddresses	dynamiczna	Dodatkowe adresy e-mail użytkownika.
Przypisanerole	dynamiczna	Role Firmy Microsoft Entra, do których jest przypisane konto użytkownika. Obsługiwane są tylko wbudowane role.
BlastRadius	sznurek	Obliczenie oparte na pozycji użytkownika w drzewie organizacji oraz rolach i uprawnieniach firmy Microsoft użytkownika. Możliwe wartości: Niski, Średni, Wysoki
Źródło zmiany	sznurek	Źródło najnowszej zmiany jednostki. Możliwe wartości: AzureActiveDirectory (usługa AzureActiveDirectory) Usługa ActiveDirectory UEBA Lista do obejrzenia FullSync
Miasto	sznurek	Miasto konta użytkownika.
Nazwa firmy	sznurek	Nazwa firmy, do której należy użytkownik.
Kraj	sznurek	Kraj/region konta użytkownika.
DeletedDateTime	data i godzina	Data i godzina usunięcia użytkownika.
Dział	sznurek	Dział konta użytkownika.
Identyfikator pracownika	sznurek	Identyfikator pracownika przypisany do użytkownika przez organizację.
GivenName	sznurek	Podana nazwa konta użytkownika.
GroupMembership	dynamiczna	Grupy identyfikatorów Entra firmy Microsoft, w których konto użytkownika jest członkiem.
IsAccountEnabled	Bool	Wskazanie, czy konto użytkownika jest włączone w identyfikatorze Entra firmy Microsoft, czy nie.
Stanowisko	sznurek	Stanowisko konta użytkownika.
Adresy e-mail	sznurek	Podstawowy adres e-mail konta użytkownika.
Menedżer	sznurek	Alias menedżera konta użytkownika.
OnPremisesDistinguishedName	sznurek	Nazwa wyróżniająca identyfikatora entra firmy Microsoft (DN). Nazwa wyróżniająca jest sekwencją względnych nazw wyróżniających (RDN), połączonych przecinkami.
Telefon	sznurek	Numer telefonu konta użytkownika.
Poziom ryzyka	sznurek	Poziom ryzyka identyfikatora entra firmy Microsoft dla konta użytkownika. Możliwe wartości: Niski Średni Wysoki
RiskLevelDetails	sznurek	Szczegóły dotyczące poziomu ryzyka identyfikatora entra firmy Microsoft.
RiskState	sznurek	Wskazanie, czy konto jest teraz zagrożone lub czy ryzyko zostało skorygowane.
SourceSystem	sznurek	System, w którym użytkownik jest zarządzany. Możliwe wartości: AzureActiveDirectory (usługa AzureActiveDirectory) Usługa ActiveDirectory Hybryda
Stan	sznurek	Stan geograficzny konta użytkownika.
StreetAddress	sznurek	Adres ulicy biura konta użytkownika.
Nazwisko	sznurek	Nazwisko użytkownika. usługi.
Identyfikator dzierżawy	sznurek	Identyfikator dzierżawy użytkownika.
TimeGenerated	data i godzina	Godzina wygenerowania zdarzenia (UTC).
Typ	sznurek	Nazwa tabeli.
UserAccountControl	dynamiczna	Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD. Możliwe wartości (mogą zawierać więcej niż jedną): AccountDisabled HomedirRequired AccountLocked PasswordNotRequired CannotChangePassword EncryptedTextPasswordAllowed TemporaryDuplicateAccount NormalAccount InterdomainTrustAccount WorkstationTrustAccount ServerTrustAccount PasswordNeverExpires MnsLogonAccount Karta inteligentnaWymagane TrustedForDelegation DelegowanieNotAllowed UseDesKeyOnly DontRequirePreauthentication PasswordExpired TrustedToAuthenticationForDelegation PartialSecretsAccount UseAesKeys
UserState	sznurek	Bieżący stan konta użytkownika w identyfikatorze Entra firmy Microsoft. Możliwe wartości: Aktywny Niepełnosprawny Uśpiony Blokady
UserStateChangedOn	data i godzina	Data ostatniej zmiany stanu konta (UTC).
Typ użytkownika	sznurek	Typ użytkownika.

Następujące pola, chociaż istnieją w schemacie usługi Log Analytics, powinny zostać zignorowane, ponieważ nie są używane ani obsługiwane przez usługę Microsoft Sentinel:

• Aplikacje
• Ocena Ryzyka Podmiotu
• Właściwość rozszerzenia
• Priorytet Śledztwa
• Percentyl Priorytetu Dochodzenia
• IsMFARegistered
• IsServiceAccount
• DataOstatniegoWidziania
• OnPremisesExtensionAttributes
• Powiązane konta
• ServicePrincipals
• Etykiety
• Opóźnienie funkcji UACFlags

Porównanie z ujednoliconym schematem

Nazwy następujących pól zostały zmienione w ujednoliconej wersji. W związku z tym, jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Defender, sprawdź zapytania dotyczące wszelkich odwołań do tych pól i zaktualizuj je w razie potrzeby.

Nazwa pola usługi Log Analytics	Ujednolicona nazwa pola schematu
AccountCloudSID	CloudSid
AccountCreationTime	CreatedDateTime
AccountSID	Identyfikator onPremSid
AccountTenantId	Identyfikator dzierżawy
AccountUPN	AccountUpn
AdditionalMailAddresses	OtherMailAddresses
Adresy e-mail	Adres e-mail
OnPremisesAccountObjectId	OnPremObjectId
OnPremisesDistinguishedName	Nazwa wyróżniająca
RiskState	RiskStatus
SAMAccountName	Nazwa konta
SourceSystem	IdentityEnvironment
StreetAddress	Adres
Typ	IdentityType
Typ użytkownika	TenantMembershipType

Następujące nazwy pól nie istnieją już w ujednoliconej wersji. Pamiętaj, aby usunąć je ze wszystkich zapytań, które odwołują się do nich.

• TenantID — to pole nie zawiera tych samych informacji co pole TenantId , które zastępuje pole AccountTenantId .
• UserState
• UserStateChangedOn

Następujące pola, chociaż istnieją w schemacie usługi Log Analytics, powinny zostać zignorowane, ponieważ nie są używane ani obsługiwane przez usługę Microsoft Sentinel:

• Aplikacje
• Ocena Ryzyka Podmiotu
• Właściwość rozszerzenia
• Priorytet Śledztwa
• Percentyl Priorytetu Dochodzenia
• IsMFARegistered
• IsServiceAccount
• DataOstatniegoWidziania
• OnPremisesExtensionAttributes
• Powiązane konta
• ServicePrincipals
• Etykiety
• Opóźnienie funkcji UACFlags

Te pola w ogóle nie istnieją w nowym, ujednoliconym schemacie.

Następne kroki

W tym dokumencie opisano schemat tabeli analizy zachowań jednostek usługi Microsoft Sentinel.

• Dowiedz się więcej o analizie zachowań jednostek.
• Włącz analizę UEBA w usłudze Microsoft Sentinel.
• Umieść analizę UEBA do użycia w badaniach.