Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule referencyjnym wymieniono wejściowe źródła danych dla usługi Analizy zachowań użytkowników i jednostek w usłudze Microsoft Sentinel. Opisano w nim również wzbogacanie, które usługa UEBA dodaje do jednostek, zapewniając kontekst wymagany do alertów i zdarzeń.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna w portalu Microsoft Defender, w tym dla klientów bez licencji XDR usługi Microsoft Defender lub E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Źródła danych UEBA
Są to źródła danych, z których aparat UEBA zbiera i analizuje dane w celu trenowania modeli uczenia maszynowego oraz ustawiania planów bazowych zachowań dla użytkowników, urządzeń i innych jednostek. Następnie analiza UEBA analizuje dane z tych źródeł, aby znaleźć anomalie i uzyskać szczegółowe informacje.
Źródło danych | Zdarzenia |
---|---|
Identyfikator usługi Microsoft Entra Dzienniki logowania |
wszystkie |
Identyfikator usługi Microsoft Entra Dzienniki inspekcji |
Zarządzanie aplikacjami Zarządzanie katalogami Zarządzanie grupą Urządzenie Zarządzanie rolami UserManagementCategory |
Dzienniki aktywności platformy Azure | Autoryzacja AzureActiveDirectory Rozliczenia Obliczyć Zużycie KeyVault Urządzenia Sieć Zasoby Intune Logika SQL Przechowywanie danych |
Zdarzenia zabezpieczeń systemu Windows WindowsEvent lub SecurityEvent |
4624: Pomyślnie zalogowano konto 4625: Logowanie konta nie powiodło się 4648: Próbowano zalogować się przy użyciu jawnych poświadczeń 4672: Specjalne uprawnienia przypisane do nowego logowania 4688: Utworzono nowy proces |
Wzbogacanie z użyciem analizy behawioralnej użytkowników i jednostek
W tej sekcji opisano wzbogacania analizy UEBA dodaje do jednostek usługi Microsoft Sentinel wraz ze wszystkimi szczegółami, których można użyć do skoncentrowania i wyostrzenia badań dotyczących zdarzeń zabezpieczeń. Te wzbogacenia są wyświetlane na stronach jednostek i można je znaleźć w następujących tabelach usługi Log Analytics, zawartości i schematach wymienionych poniżej:
Tabela BehaviorAnalytics to miejsce przechowywania informacji wyjściowych usługi UEBA.
Poniższe trzy pola dynamiczne z tabeli BehaviorAnalytics zostały opisane w poniższej sekcji pola dynamiczne wzbogacania jednostek.
Pola UsersInsights i DevicesInsights zawierają informacje o jednostkach ze źródeł usługi Active Directory/Microsoft Entra ID i Microsoft Threat Intelligence.
Pole ActivityInsights zawiera informacje o jednostkach oparte na profilach behawioralnych utworzonych przez analizę zachowań jednostek usługi Microsoft Sentinel.
Działania użytkownika są analizowane pod kątem punktu odniesienia, który jest dynamicznie kompilowany za każdym razem, gdy jest używany. Każde działanie ma własny zdefiniowany okres wyszukiwania, z którego pochodzi dynamiczny punkt odniesienia. Okres wyszukiwania jest określony w kolumnie Punkt odniesienia w tej tabeli.
Tabela IdentityInfo to miejsce przechowywania informacji o tożsamości synchronizowanych z usługą UEBA z identyfikatora Entra firmy Microsoft (i lokalnej usługi Active Directory za pośrednictwem usługi Microsoft Defender for Identity).
Tabela BehaviorAnalytics
W poniższej tabeli opisano dane analizy zachowań wyświetlane na każdej stronie szczegółów jednostki w usłudze Microsoft Sentinel.
Pole | Typ | Opis |
---|---|---|
Identyfikator dzierżawy | sznurek | Unikatowy identyfikator dzierżawy. |
Identyfikatorrekordu źródłowego | sznurek | Unikatowy identyfikator zdarzenia EBA. |
TimeGenerated | data i godzina | Sygnatura czasowa wystąpienia działania. |
TimeProcessed | data i godzina | Sygnatura czasowa przetwarzania działania przez aparat EBA. |
Typ działania | sznurek | Kategoria wysokiego poziomu działania. |
Typ akcji | sznurek | Znormalizowana nazwa działania. |
Nazwa użytkownika | sznurek | Nazwa użytkownika, który zainicjował działanie. |
NazwaGłównaUżytkownika | sznurek | Pełna nazwa użytkownika, który zainicjował działanie. |
Źródło zdarzeń | sznurek | Źródło danych, które dostarczyło oryginalne zdarzenie. |
SourceIPAddress | sznurek | Adres IP, z którego zainicjowano działanie. |
SourceIPLocation | sznurek | Kraj/region, z którego zainicjowano działanie, wzbogacone o adres IP. |
SourceDevice | sznurek | Nazwa hosta urządzenia, które zainicjowało działanie. |
DestinationIPAddress | sznurek | Adres IP docelowego działania. |
DestinationIPLocation | sznurek | Kraj/region docelowego działania wzbogacony o adres IP. |
DestinationDevice | sznurek | Nazwa urządzenia docelowego. |
UsersInsights | dynamiczna | Kontekstowe wzbogacanie zaangażowanych użytkowników (szczegóły poniżej). |
UrządzeniaInsights | dynamiczna | Kontekstowe wzbogacania zaangażowanych urządzeń (szczegóły poniżej). |
ActivityInsights | dynamiczna | Kontekstowa analiza aktywności na podstawie profilowania (szczegóły poniżej). |
InvestigationPriority | int (integer) | Wynik anomalii z zakresu od 0 do 10 (0 = łagodny, 10 = wysoce nietypowy). |
Pola dynamiczne wzbogacania jednostek
Uwaga
Kolumna Nazwa wzbogacania w tabelach w tej sekcji zawiera dwa wiersze informacji.
- Pierwszy, pogrubiony, jest "przyjazną nazwą" wzbogacania.
- Drugi (w kursywach i nawiasach) jest nazwą pola wzbogacania przechowywanego w tabeli Analiza zachowania.
Pole UsersInsights
W poniższej tabeli opisano wzbogacania polecane w polu dynamicznym UsersInsights w tabeli BehaviorAnalytics:
Nazwa wzbogacania | Opis | Przykładowa wartość |
---|---|---|
Nazwa wyświetlana konta (AccountDisplayName) |
Nazwa wyświetlana konta użytkownika. | Administrator, Hayden Cook |
Domena konta (AccountDomain) |
Nazwa domeny konta użytkownika. | |
Identyfikator obiektu konta (AccountObjectID) |
Identyfikator obiektu konta użytkownika. | aaaa-0000-1111-2222-bbbbbbbbbbbb |
Promień wybuchu (BlastRadius) |
Promień wybuchu jest obliczany na podstawie kilku czynników: pozycji użytkownika w drzewie organizacji oraz ról i uprawnień firmy Microsoft użytkownika Entra. Użytkownik musi mieć właściwość Manager wypełnioną w identyfikatorze Entra firmy Microsoft, aby można było obliczyć właściwość BlastRadius . | Niski, średni, wysoki |
Czy konto jest uśpione (IsDormantAccount) |
Konto nie zostało użyte w ciągu ostatnich 180 dni. | Prawda, fałsz |
Jest administratorem lokalnym (IsLocalAdmin) |
Konto ma uprawnienia administratora lokalnego. | Prawda, fałsz |
Czy nowe konto (IsNewAccount) |
Konto zostało utworzone w ciągu ostatnich 30 dni. | Prawda, fałsz |
Lokalny identyfikator SID (OnPremisesSID) |
Lokalny identyfikator SID użytkownika powiązany z akcją. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Pole DevicesInsights
W poniższej tabeli opisano wzbogacenia polecane w polu dynamicznym DevicesInsights w tabeli BehaviorAnalytics:
Nazwa wzbogacania | Opis | Przykładowa wartość |
---|---|---|
Przeglądarka (Przeglądarka) |
Przeglądarka używana w akcji. | Edge, Chrome |
Rodzina urządzeń (DeviceFamily) |
Rodzina urządzeń używana w akcji. | Windows |
Typ urządzenia (Typ urządzenia) |
Typ urządzenia klienckiego używany w akcji | Klasyczna |
Usługodawca isp (ISP) |
Dostawca usług internetowych używany w akcji. | |
System operacyjny (OperatingSystem) |
System operacyjny używany w akcji. | Windows 10 |
Opis wskaźnika analizy zagrożeń (ThreatIntelIndicatorDescription) |
Opis obserwowanego wskaźnika zagrożenia rozpoznanego z adresu IP używanego w akcji. | Host jest członkiem botnetu: azorult |
Typ wskaźnika analizy zagrożeń (ThreatIntelIndicatorType) |
Typ wskaźnika zagrożenia rozpoznany z adresu IP używanego w akcji. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
Agent użytkownika (UserAgent) |
Agent użytkownika używany w akcji. | Biblioteka klienta programu Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
Rodzina agentów użytkowników (UserAgentFamily) |
Rodzina agentów użytkownika używana w akcji. | Chrome, Edge, Firefox |
Pole ActivityInsights
W poniższych tabelach opisano wzbogacania polecane w polu dynamicznym ActivityInsights w tabeli BehaviorAnalytics:
Wykonano akcję
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Po raz pierwszy użytkownik wykonał akcję (FirstTimeUserPerformedAction) |
180 | Akcja została wykonana po raz pierwszy przez użytkownika. | Prawda, fałsz |
Akcja rzadko wykonywana przez użytkownika (ActionUncommonlyPerformedByUser) |
10 | Akcja nie jest często wykonywana przez użytkownika. | Prawda, fałsz |
Akcja rzadko wykonywana wśród elementów równorzędnych (ActionUncommonlyPerformedAmongPeers) |
180 | Akcja nie jest często wykonywana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
Akcja wykonywana po raz pierwszy w dzierżawie (FirstTimeActionPerformedInTenant) |
180 | Akcja została wykonana po raz pierwszy przez wszystkich użytkowników w organizacji. | Prawda, fałsz |
Akcja rzadko wykonywana w dzierżawie (ActionUncommonlyPerformedInTenant) |
180 | Akcja nie jest często wykonywana w organizacji. | Prawda, fałsz |
Używana aplikacja
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Aplikacja używana przez użytkownika po raz pierwszy (FirstTimeUserUsedApp) |
180 | Aplikacja była używana po raz pierwszy przez użytkownika. | Prawda, fałsz |
Aplikacja rzadko używana przez użytkownika (AppUncommonlyUsedByUser) |
10 | Aplikacja nie jest często używana przez użytkownika. | Prawda, fałsz |
Rzadko używana aplikacja między elementami równorzędnymi (AppUncommonlyUsedAmongPeers) |
180 | Aplikacja nie jest często używana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
Aplikacja po raz pierwszy zaobserwowana w dzierżawie (FirstTimeAppObservedInTenant) |
180 | Aplikacja była obserwowana po raz pierwszy w organizacji. | Prawda, fałsz |
Rzadko używana aplikacja w dzierżawie (AppUncommonlyUsedInTenant) |
180 | Aplikacja nie jest często używana w organizacji. | Prawda, fałsz |
Użyto przeglądarki
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Użytkownik po raz pierwszy połączony za pośrednictwem przeglądarki (FirstTimeUserConnectedViaBrowser) |
30 | Przeglądarka była obserwowana po raz pierwszy przez użytkownika. | Prawda, fałsz |
Przeglądarka rzadko używana przez użytkownika (BrowserUncommonlyUsedByUser) |
10 | Przeglądarka nie jest często używana przez użytkownika. | Prawda, fałsz |
Przeglądarka rzadko używana między elementami równorzędnymi (BrowserUncommonlyUsedAmongPeers) |
30 | Przeglądarka nie jest często używana wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
Przeglądarka zaobserwowana po raz pierwszy w dzierżawie (FirstTimeBrowserObservedInTenant) |
30 | Przeglądarka była obserwowana po raz pierwszy w organizacji. | Prawda, fałsz |
Przeglądarka rzadko używana w dzierżawie (BrowserUncommonlyUsedInTenant) |
30 | Przeglądarka nie jest często używana w organizacji. | Prawda, fałsz |
Kraj/region połączony z
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Użytkownik po raz pierwszy połączony z kraju (FirstTimeUserConnectedFromCountry) |
90 | Lokalizacja geograficzna, jak rozpoznano z adresu IP, została połączona z użytkownika po raz pierwszy. | Prawda, fałsz |
Kraj rzadko połączony z użytkownikami (CountryUncommonlyConnectedFromByUser) |
10 | Lokalizacja geograficzna, rozpoznawana na podstawie adresu IP, nie jest często połączona z użytkownikami. | Prawda, fałsz |
Kraj rzadko połączony między elementami równorzędnymi (CountryUncommonlyConnectedFromAmongPeers) |
90 | Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona między elementami równorzędnymi użytkownika. | Prawda, fałsz |
Pierwsze połączenie z kraju obserwowanego w dzierżawie (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Kraj/region został połączony po raz pierwszy przez wszystkich w organizacji. | Prawda, fałsz |
Kraj rzadko połączony z dzierżawy (CountryUncommonlyConnectedFromInTenant) |
90 | Lokalizacja geograficzna rozpoznawana na podstawie adresu IP nie jest często połączona z organizacji. | Prawda, fałsz |
Urządzenie używane do nawiązywania połączenia
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Użytkownik po raz pierwszy połączony z urządzenia (FirstTimeUserConnectedFromDevice) |
30 | Urządzenie źródłowe zostało połączone od użytkownika po raz pierwszy. | Prawda, fałsz |
Urządzenie rzadko używane przez użytkownika (DeviceUncommonlyUsedByUser) |
10 | Urządzenie nie jest często używane przez użytkownika. | Prawda, fałsz |
Urządzenie rzadko używane między elementami równorzędnymi (DeviceUncommonlyUsedAmongPeers) |
180 | Urządzenie nie jest często używane między elementami równorzędnymi użytkownika. | Prawda, fałsz |
Urządzenie zaobserwowane po raz pierwszy w dzierżawie (FirstTimeDeviceObservedInTenant) |
30 | Urządzenie zostało zaobserwowane po raz pierwszy w organizacji. | Prawda, fałsz |
Urządzenie rzadko używane w dzierżawie (DeviceUncommonlyUsedInTenant) |
180 | Urządzenie nie jest często używane w organizacji. | Prawda, fałsz |
Inne urządzenia związane z urządzeniem
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Użytkownik zalogowany po raz pierwszy na urządzeniu (FirstTimeUserLoggedOnToDevice) |
180 | Urządzenie docelowe zostało połączone z użytkownikiem po raz pierwszy. | Prawda, fałsz |
Rodzina urządzeń rzadko używana w dzierżawie (DeviceFamilyUncommonlyUsedInTenant) |
30 | Rodzina urządzeń nie jest często używana w organizacji. | Prawda, fałsz |
Dostawca usług internetowych używany do nawiązywania połączenia
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Użytkownik po raz pierwszy połączony za pośrednictwem usługodawcy internetowego (FirstTimeUserConnectedViaISP) |
30 | Usługodawca internetowy był obserwowany po raz pierwszy przez użytkownika. | Prawda, fałsz |
Usługodawca isP rzadko używany przez użytkownika (ISPUncommonlyUsedByUser) |
10 | Usługodawca nie jest często używany przez użytkownika. | Prawda, fałsz |
Usługodawca isP rzadko używany między elementami równorzędnymi (ISPUncommonlyUsedAmongPeers) |
30 | Usługodawca nie jest często używany wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
Pierwsze połączenie za pośrednictwem usługodawcy internetowego w dzierżawie (FirstTimeConnectionViaISPInTenant) |
30 | Usługodawca internetowy zaobserwowano po raz pierwszy w organizacji. | Prawda, fałsz |
Usługodawca isP rzadko używany w dzierżawie (ISPUncommonlyUsedInTenant) |
30 | Usługodawca nie jest często używany w organizacji. | Prawda, fałsz |
Dostęp do zasobów
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Zasób uzyskiwany przez użytkownika po raz pierwszy (FirstTimeUserAccessedResource) |
180 | Zasób był uzyskiwany po raz pierwszy przez użytkownika. | Prawda, fałsz |
Zasób rzadko uzyskiwany przez użytkownika (ResourceUncommonlyAccessedByUser) |
10 | Zasób nie jest często uzyskiwany przez użytkownika. | Prawda, fałsz |
Zasób rzadko używany między elementami równorzędnymi (ResourceUncommonlyAccessedAmongPeers) |
180 | Zasób nie jest często dostępny wśród elementów równorzędnych użytkownika. | Prawda, fałsz |
Przy pierwszym dostępie do zasobu w dzierżawie (FirstTimeResourceAccessedInTenant) |
180 | Zasób był uzyskiwany po raz pierwszy przez wszystkich użytkowników w organizacji. | Prawda, fałsz |
Zasób rzadko uzyskiwany w dzierżawie (ResourceUncommonlyAccessedInTenant) |
180 | Zasób nie jest często dostępny w organizacji. | Prawda, fałsz |
Różne
Nazwa wzbogacania | Plan bazowy (dni) | Opis | Przykładowa wartość |
---|---|---|---|
Czas ostatniego wykonania akcji przez użytkownika (LastTimeUserPerformedAction) |
180 | Ostatni raz użytkownik wykonał tę samą akcję. | <Sygnatura czasowa> |
Podobna akcja nie została wykonana w przeszłości (SimilarActionWasn'tPerformedInThePast) |
30 | Użytkownik nie wykonał żadnej akcji u tego samego dostawcy zasobów. | Prawda, fałsz |
Lokalizacja źródłowego adresu IP (SourceIPLocation) |
N/A | Kraj/region został rozpoznany ze źródłowego adresu IP akcji. | [Surrey, Anglia] |
Nietypowa duża liczba operacji (NietypoweHighVolumeOfOperations) |
7 | Użytkownik wykonał serię podobnych operacji w ramach tego samego dostawcy | Prawda, fałsz |
Nietypowa liczba niepowodzeń dostępu warunkowego firmy Microsoft (UnusualNumberOfAADConditionalAccessFailures) |
5 | Nie można uwierzytelnić nietypowej liczby użytkowników z powodu dostępu warunkowego | Prawda, fałsz |
Nietypowa liczba dodanych urządzeń (UnusualNumberOfDevicesAdded) |
5 | Użytkownik dodał nietypową liczbę urządzeń. | Prawda, fałsz |
Nietypowa liczba usuniętych urządzeń (UnusualNumberOfDevicesDeleted) |
5 | Użytkownik usunął nietypową liczbę urządzeń. | Prawda, fałsz |
Nietypowa liczba użytkowników dodanych do grupy (UnusualNumberOfUsersAddedToGroup) |
5 | Użytkownik dodał nietypową liczbę użytkowników do grupy. | Prawda, fałsz |
Tabela IdentityInfo
Po włączeniu i skonfigurowaniu analizy UEBA dla obszaru roboczego usługi Microsoft Sentinel dane użytkowników od dostawców tożsamości firmy Microsoft są synchronizowane z tabelą IdentityInfo w usłudze Log Analytics do użycia w usłudze Microsoft Sentinel.
Ci dostawcy tożsamości są lub oba następujące elementy, w zależności od tego, który został wybrany podczas konfigurowania analizy UEBA:
- Microsoft Entra ID (oparty na chmurze)
- Usługa Microsoft Active Directory (lokalna, wymaga usługi Microsoft Defender for Identity))
Tabelę IdentityInfo można wykonywać w regułach analizy, zapytaniach wyszukiwania zagrożeń i skoroszytach, zwiększając analizę w celu dopasowania ich do przypadków użycia i zmniejszając liczbę wyników fałszywie dodatnich.
Synchronizacja początkowa może potrwać kilka dni, gdy dane zostaną w pełni zsynchronizowane:
Co 14 dni usługa Microsoft Sentinel ponownie synchronizuje się z całym identyfikatorem entra firmy Microsoft (i lokalną usługą Active Directory, jeśli ma to zastosowanie), aby upewnić się, że nieaktualne rekordy są w pełni aktualizowane.
Oprócz tych regularnych pełnych synchronizacji, za każdym razem, gdy zmiany zostaną wprowadzone w profilach użytkowników, grupach i wbudowanych rolach w identyfikatorze Firmy Microsoft Entra, rekordy użytkowników, których dotyczy problem, zostaną ponownie pozyskane i zaktualizowane w tabeli IdentityInfo w ciągu 15–30 minut. To pozyskiwanie jest rozliczane według regularnych stawek. Przykład:
Zmieniono atrybut użytkownika, taki jak nazwa wyświetlana, stanowisko lub adres e-mail. Nowy rekord dla tego użytkownika jest pozyskiwany do tabeli IdentityInfo z zaktualizowanymi odpowiednimi polami.
Grupa A ma w nim 100 użytkowników. 5 użytkowników jest dodawanych do grupy lub usuwanych z grupy. W takim przypadku te 5 rekordów użytkowników zostanie ponownie pozyskanych, a ich pola GroupMembership zostaną zaktualizowane.
Grupa A ma w nim 100 użytkowników. Dziesięciu użytkowników jest dodawanych do grupy A. Ponadto grupy A1 i A2, z których każdy ma 10 użytkowników, są dodawane do grupy A. W takim przypadku 30 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Dzieje się tak, ponieważ członkostwo w grupie jest przechodnie, więc zmiany w grupach mają wpływ na wszystkie ich podgrupy.
Nazwa grupy B (z 50 użytkownikami) została zmieniona na Grupa BeGood. W takim przypadku 50 rekordów użytkownika jest ponownie pozyskiwanych, a ich pola GroupMembership są aktualizowane. Jeśli w tej grupie znajdują się podgrupy, dzieje się tak samo dla wszystkich rekordów ich członków.
Domyślny czas przechowywania w tabeli IdentityInfo wynosi 30 dni.
Ograniczenia
Pole AssignedRoles obsługuje tylko wbudowane role.
Pole GroupMembership obsługuje wyświetlanie listy do 500 grup na użytkownika, w tym podgrup. Jeśli użytkownik jest członkiem ponad 500 grup, tylko pierwsze 500 jest synchronizowanych z tabelą IdentityInfo . Grupy nie są jednak oceniane w żadnej określonej kolejności, więc przy każdej nowej synchronizacji (co 14 dni) możliwe, że inny zestaw grup zostanie zaktualizowany do rekordu użytkownika.
Po usunięciu użytkownika rekord tego użytkownika nie zostanie natychmiast usunięty z tabeli IdentityInfo . Powodem jest to, że jednym z celów tej tabeli jest inspekcja zmian w rekordach użytkowników. W związku z tym chcemy, aby ta tabela miała rekord użytkownika, który może wystąpić tylko wtedy, gdy rekord użytkownika w tabeli IdentityInfo nadal istnieje, mimo że rzeczywisty użytkownik (np. w entra ID) jest usuwany.
Usunięci użytkownicy mogą być identyfikowani przez obecność wartości w
deletedDateTime
polu. Jeśli więc potrzebujesz zapytania, aby wyświetlić listę użytkowników, możesz odfiltrować usuniętych użytkowników, dodając| where IsEmpty(deletedDateTime)
je do zapytania.W pewnym przedziale czasu po usunięciu użytkownika rekord użytkownika zostanie ostatecznie usunięty z tabeli IdentityInfo .
Po usunięciu grupy lub zmianie nazwy grupy zawierającej więcej niż 100 członków, rekordy użytkowników należących do tej grupy nie są aktualizowane. Jeśli inna zmiana spowoduje zaktualizowanie jednego z rekordów tych użytkowników, zaktualizowane informacje o grupie zostaną uwzględnione w tym momencie.
Inne wersje tabeli IdentityInfo
Istnieje wiele wersji tabeli IdentityInfo :
Wersja schematu usługi Log Analytics omówiona w tym artykule obsługuje usługę Microsoft Sentinel w witrynie Azure Portal. Jest ona dostępna dla tych klientów, którzy włączyli analizę UEBA.
Wersja schematu Zaawansowane wyszukiwanie zagrożeń obsługuje portal Usługi Microsoft Defender za pośrednictwem usługi Microsoft Defender for Identity. Jest ona dostępna dla klientów usługi Microsoft Defender XDR z usługą Microsoft Sentinel lub bez niej oraz dla klientów usługi Microsoft Sentinel samodzielnie w portalu usługi Defender.
Nie trzeba włączać analizy UEBA w celu uzyskania dostępu do tej tabeli. Jednak w przypadku klientów bez włączonej analizy UEBA pola wypełnione danymi UEBA nie są widoczne ani dostępne.
Aby uzyskać więcej informacji, zobacz dokumentację zaawansowanej wersji wyszukiwania zagrożeń w tej tabeli.
Od maja 2025 r. klienci usługi Microsoft Sentinel w portalu Microsoft Defenderz włączoną funkcją UEBAzaczynają korzystać z nowej wersjirozwiązania Advanced hunting . Ta nowa wersja zawiera wszystkie pola ANALIZY UEBA z wersji usługi Log Analytics, a także niektóre nowe pola i są określane jako ujednolicona wersja lub ujednolicona tabela IdentityInfo.
Klienci portalu usługi Defender bez włączonej usługi UEBA lub bez usługi Microsoft Sentinel nadal korzystają z wcześniejszej wersji zaawansowanej wyszukiwania zagrożeń bez pól generowanych przez UEBA.
Aby uzyskać więcej informacji na temat ujednoliconej wersji, zobacz IdentityInfo w dokumentacji zaawansowanego wyszukiwania zagrożeń.
Schemat
W tabeli na poniższej karcie "Schemat usługi Log Analytics" opisano dane tożsamości użytkownika zawarte w tabeli IdentityInfo w usłudze Log Analytics w witrynie Azure Portal.
Jeśli dołączasz usługę Microsoft Sentinel do portalu usługi Defender, wybierz kartę "Porównaj z ujednoliconym schematem", aby wyświetlić zmiany, które mogą potencjalnie wpłynąć na zapytania w regułach wykrywania zagrożeń i wyszukiwaniach.
Nazwa pola | Typ | Opis |
---|---|---|
AccountCloudSID | sznurek | Identyfikator zabezpieczeń microsoft Entra konta. |
AccountCreationTime | data i godzina | Data utworzenia konta użytkownika (UTC). |
AccountDisplayName | sznurek | Nazwa wyświetlana konta użytkownika. |
AccountDomain | sznurek | Nazwa domeny konta użytkownika. |
Nazwa konta | sznurek | Nazwa użytkownika konta użytkownika. |
AccountObjectId | sznurek | Identyfikator obiektu Entra firmy Microsoft dla konta użytkownika. |
AccountSID | sznurek | Lokalny identyfikator zabezpieczeń konta użytkownika. |
AccountTenantId | sznurek | Identyfikator dzierżawy usługi Microsoft Entra konta użytkownika. |
AccountUPN | sznurek | Główna nazwa użytkownika konta użytkownika. |
AdditionalMailAddresses | dynamiczna | Dodatkowe adresy e-mail użytkownika. |
Przypisanerole | dynamiczna | Role Firmy Microsoft Entra, do których jest przypisane konto użytkownika. Obsługiwane są tylko wbudowane role. |
BlastRadius | sznurek | Obliczenie oparte na pozycji użytkownika w drzewie organizacji oraz rolach i uprawnieniach firmy Microsoft użytkownika. Możliwe wartości: Niski, Średni, Wysoki |
Źródło zmiany | sznurek | Źródło najnowszej zmiany jednostki. Możliwe wartości: |
Miasto | sznurek | Miasto konta użytkownika. |
Nazwa firmy | sznurek | Nazwa firmy, do której należy użytkownik. |
Kraj | sznurek | Kraj/region konta użytkownika. |
DeletedDateTime | data i godzina | Data i godzina usunięcia użytkownika. |
Dział | sznurek | Dział konta użytkownika. |
Identyfikator pracownika | sznurek | Identyfikator pracownika przypisany do użytkownika przez organizację. |
GivenName | sznurek | Podana nazwa konta użytkownika. |
GroupMembership | dynamiczna | Grupy identyfikatorów Entra firmy Microsoft, w których konto użytkownika jest członkiem. |
IsAccountEnabled | Bool | Wskazanie, czy konto użytkownika jest włączone w identyfikatorze Entra firmy Microsoft, czy nie. |
Stanowisko | sznurek | Stanowisko konta użytkownika. |
Adresy e-mail | sznurek | Podstawowy adres e-mail konta użytkownika. |
Menedżer | sznurek | Alias menedżera konta użytkownika. |
OnPremisesDistinguishedName | sznurek | Nazwa wyróżniająca identyfikatora entra firmy Microsoft (DN). Nazwa wyróżniająca jest sekwencją względnych nazw wyróżniających (RDN), połączonych przecinkami. |
Telefon | sznurek | Numer telefonu konta użytkownika. |
Poziom ryzyka | sznurek | Poziom ryzyka identyfikatora entra firmy Microsoft dla konta użytkownika. Możliwe wartości: |
RiskLevelDetails | sznurek | Szczegóły dotyczące poziomu ryzyka identyfikatora entra firmy Microsoft. |
RiskState | sznurek | Wskazanie, czy konto jest teraz zagrożone lub czy ryzyko zostało skorygowane. |
SourceSystem | sznurek | System, w którym użytkownik jest zarządzany. Możliwe wartości: |
Stan | sznurek | Stan geograficzny konta użytkownika. |
StreetAddress | sznurek | Adres ulicy biura konta użytkownika. |
Nazwisko | sznurek | Nazwisko użytkownika. usługi. |
Identyfikator dzierżawy | sznurek | Identyfikator dzierżawy użytkownika. |
TimeGenerated | data i godzina | Godzina wygenerowania zdarzenia (UTC). |
Typ | sznurek | Nazwa tabeli. |
UserAccountControl | dynamiczna | Atrybuty zabezpieczeń konta użytkownika w domenie usługi AD. Możliwe wartości (mogą zawierać więcej niż jedną): |
UserState | sznurek | Bieżący stan konta użytkownika w identyfikatorze Entra firmy Microsoft. Możliwe wartości: |
UserStateChangedOn | data i godzina | Data ostatniej zmiany stanu konta (UTC). |
Typ użytkownika | sznurek | Typ użytkownika. |
Następujące pola, chociaż istnieją w schemacie usługi Log Analytics, powinny zostać zignorowane, ponieważ nie są używane ani obsługiwane przez usługę Microsoft Sentinel:
- Aplikacje
- Ocena Ryzyka Podmiotu
- Właściwość rozszerzenia
- Priorytet Śledztwa
- Percentyl Priorytetu Dochodzenia
- IsMFARegistered
- IsServiceAccount
- DataOstatniegoWidziania
- OnPremisesExtensionAttributes
- Powiązane konta
- ServicePrincipals
- Etykiety
- Opóźnienie funkcji UACFlags
Następne kroki
W tym dokumencie opisano schemat tabeli analizy zachowań jednostek usługi Microsoft Sentinel.
- Dowiedz się więcej o analizie zachowań jednostek.
- Włącz analizę UEBA w usłudze Microsoft Sentinel.
- Umieść analizę UEBA do użycia w badaniach.