Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo lista as origens de dados de entrada para o serviço Análise de Comportamento do Utilizador e da Entidade no Microsoft Sentinel. Também descreve os melhoramentos que o UEBA adiciona às entidades, fornecendo o contexto necessário para alertas e incidentes.
Importante
Após 31 de março de 2027, Microsoft Sentinel deixarão de ser suportados no portal do Azure e só estarão disponíveis no portal do Microsoft Defender. Todos os clientes que utilizem Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e utilizarão apenas Microsoft Sentinel no portal do Defender.
Se ainda estiver a utilizar Microsoft Sentinel no portal do Azure, recomendamos que comece a planear a transição para o portal do Defender para garantir uma transição suave e tirar o máximo partido da experiência de operações de segurança unificada oferecida pelo Microsoft Defender.
Origens de dados UEBA
Estas são as origens de dados a partir das quais o motor UEBA recolhe e analisa dados para preparar os respetivos modelos de ML e definir linhas de base comportamentais para utilizadores, dispositivos e outras entidades. Em seguida, a UEBA analisa os dados destas origens para encontrar anomalias e informações recolhidas.
| Origem de dados | Conector | Tabela do Log Analytics | Categorias de eventos analisadas |
|---|---|---|---|
| Registos de início de sessão de identidade gerida do AAD (Pré-visualização) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Todos os eventos de início de sessão de identidade gerida |
| Registos de início de sessão do principal de serviço do AAD (Pré-visualização) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Todos os eventos de início de sessão do principal de serviço |
| Registos de Auditoria | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Dispositivo RoleManagement UserManagementCategory |
| AWS CloudTrail (Pré-visualização) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Eventos de início de sessão na consola. Identificado por EventName = "ConsoleLogin" e EventSource = "signin.amazonaws.com". Os eventos têm de ter um UserIdentityPrincipalId. |
| Atividade Azure | Atividade Azure | AzureActivity | Autorização AzureActiveDirectory Faturação Calcular Consumo KeyVault Dispositivos Rede Recursos Intune Lógica Sql Armazenamento |
| Eventos de Início de Sessão do Dispositivo (Pré-visualização) | Microsoft Defender XDR | DeviceLogonEvents | Todos os eventos de início de sessão do dispositivo |
| Registos de Auditoria do GCP (Pré-visualização) | Registos de Pub/Sub audit do GCP | GCPAuditLogs |
apigee.googleapis.com- Plataforma Gestão de APIiam.googleapis.com - Serviço de Gestão de Identidades e Acessos (IAM)iamcredentials.googleapis.com - API de Credenciais da Conta de Serviço IAMcloudresourcemanager.googleapis.com- API de Resource Manager cloudcompute.googleapis.com - API do Motor de Computaçãostorage.googleapis.com - API de Armazenamento na Cloudcontainer.googleapis.com - API do Motor do Kubernetesk8s.io - API do Kubernetescloudsql.googleapis.com - API sql da cloudbigquery.googleapis.com - API BigQuerybigquerydatatransfer.googleapis.com - API do Serviço de Transferência de Dados BigQuerycloudfunctions.googleapis.com - API de Funções da Cloudappengine.googleapis.com - API do Motor de Aplicaçãodns.googleapis.com - API de DNS na Cloudbigquerydatapolicy.googleapis.com - API de Política de Dados BigQueryfirestore.googleapis.com - API firestoredataproc.googleapis.com - API do Dataprocosconfig.googleapis.com - API de Configuração do SOcloudkms.googleapis.com - API KMS na Cloudsecretmanager.googleapis.com - API do Gestor de SegredosOs eventos têm de ter um valor válido: - PrincipalEmail - A conta de utilizador ou serviço que chamou a API- MethodName - O método específico da API do Google denominado- E-mail principal, em user@domain.com formato. |
| OKta CL (Pré-visualização) | Okta Single Sign-On (com Funções do Azure) | Okta_CL | Autenticação, autenticação multifator (MFA) e eventos de sessão, incluindo:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startOs eventos têm de ter um ID de Utilizador válido ( actor_id_s). |
| Eventos de Segurança |
Segurança do Windows Eventos via AMA Eventos Reencaminhados do Windows |
WindowsEvent SecurityEvent |
4624: Uma conta foi iniciada com êxito 4625: Uma conta não conseguiu iniciar sessão 4648: Foi tentado um início de sessão com credenciais explícitas 4672: Privilégios especiais atribuídos ao novo início de sessão 4688: Foi criado um novo processo |
| Registos de Início de Sessão | Microsoft Entra ID | SigninLogs | Todos os eventos de início de sessão |
Melhoramentos da UEBA
Esta secção descreve os melhoramentos que a UEBA adiciona às entidades Microsoft Sentinel, que pode utilizar para focar e afiar as suas investigações de incidentes de segurança. Estes melhoramentos são apresentados em páginas de entidades e podem ser encontrados nas seguintes tabelas do Log Analytics, cujas informações e esquema estão listados abaixo:
A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.
Os três campos dinâmicos seguintes da tabela BehaviorAnalytics estão descritos na secção campos dinâmicos de melhoramentos de entidades abaixo.
Os campos UsersInsights e DevicesInsights contêm informações de entidade do Active Directory/Microsoft Entra ID e origens de Informações sobre Ameaças da Microsoft.
O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise de comportamento da entidade do Microsoft Sentinel.
As atividades dos utilizadores são analisadas relativamente a uma linha de base que é compilada dinamicamente sempre que é utilizada. Cada atividade tem o seu próprio período de procura definido a partir do qual a linha de base dinâmica é derivada. O período de pesquisa é especificado na coluna Linha de Base nesta tabela.
A tabela IdentityInfo é onde as informações de identidade sincronizadas com o UEBA a partir de Microsoft Entra ID (e de Active Directory no local através de Microsoft Defender para Identidade) são armazenadas.
Tabela BehaviorAnalytics
A tabela seguinte descreve os dados de análise de comportamento apresentados em cada página de detalhes da entidade no Microsoft Sentinel.
| Campo | Tipo | Descrição |
|---|---|---|
| TenantId | cadeia | O número de ID exclusivo do inquilino. |
| SourceRecordId | cadeia | O número de ID exclusivo do evento EBA. |
| TimeGenerated | datetime | O carimbo de data/hora da ocorrência da atividade. |
| TimeProcessed | datetime | O carimbo de data/hora do processamento da atividade pelo motor EBA. |
| ActivityType | cadeia | A categoria de alto nível da atividade. |
| ActionType | cadeia | O nome normalizado da atividade. |
| Nome de Utilizador | cadeia | O nome de utilizador do utilizador que iniciou a atividade. |
| UserPrincipalName | cadeia | O nome de utilizador completo do utilizador que iniciou a atividade. |
| EventSource | cadeia | A origem de dados que forneceu o evento original. |
| SourceIPAddress | cadeia | O endereço IP a partir do qual a atividade foi iniciada. |
| SourceIPLocation | cadeia | O país/região a partir do qual a atividade foi iniciada, enriquecida a partir do endereço IP. |
| SourceDevice | cadeia | O nome do anfitrião do dispositivo que iniciou a atividade. |
| DestinationIPAddress | cadeia | O endereço IP do destino da atividade. |
| DestinationIPLocation | cadeia | O país/região do destino da atividade, enriquecido a partir do endereço IP. |
| DestinationDevice | cadeia | O nome do dispositivo de destino. |
| UsersInsights | dinâmico | Os melhoramentos contextuais dos utilizadores envolvidos (detalhes abaixo). |
| DevicesInsights | dinâmico | Os melhoramentos contextuais dos dispositivos envolvidos (detalhes abaixo). |
| ActivityInsights | dinâmico | A análise contextual da atividade com base na nossa criação de perfis (detalhes abaixo). |
| InvestigationPriority | int | A pontuação de anomalias, entre 0-10 (0=benigno, 10=altamente anómalo). Esta classificação quantifica o grau de desvio do comportamento esperado. Classificações mais altas indicam um maior desvio da linha de base e são mais prováveis indicar anomalias verdadeiras. As classificações mais baixas ainda podem ser anómalos, mas são menos prováveis de serem significativas ou acionáveis. |
Campos dinâmicos de melhoramentos de entidades
Nota
A coluna Nome do melhoramento nas tabelas nesta secção apresenta duas linhas de informações.
- O primeiro, a negrito, é o "nome amigável" do melhoramento.
- O segundo (em itálico e parênteses) é o nome do campo do melhoramento, conforme armazenado na tabela Análise de Comportamento.
Campo UsersInsights
A tabela seguinte descreve os melhoramentos em destaque no campo dinâmico UsersInsights na tabela BehaviorAnalytics:
| Nome do melhoramento | Descrição | Valor de exemplo |
|---|---|---|
|
Nome a apresentar da conta (AccountDisplayName) |
O nome a apresentar da conta do utilizador. | Administração, Hayden Cook |
|
Domínio da conta (AccountDomain) |
O nome de domínio da conta do utilizador. | |
|
ID do objeto de conta (AccountObjectID) |
O ID de objeto da conta do utilizador. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Raio de explosão (BlastRadius) |
O raio de explosão é calculado com base em vários fatores: a posição do utilizador na árvore da organização e as funções e permissões Microsoft Entra do utilizador. O utilizador tem de ter a propriedade Manager preenchida no Microsoft Entra ID para que BlastRadius seja calculada. | Baixo, Médio, Alto |
|
A conta está inativa (IsDormantAccount) |
A conta não foi utilizada nos últimos 180 dias. | Verdadeiro, Falso |
|
É administrador local (IsLocalAdmin) |
A conta tem privilégios de administrador local. | Verdadeiro, Falso |
|
É uma nova conta (IsNewAccount) |
A conta foi criada nos últimos 30 dias. | Verdadeiro, Falso |
|
SID no local (OnPremisesSID) |
O SID no local do utilizador relacionado com a ação. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
A tabela seguinte descreve os melhoramentos apresentados no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:
| Nome do melhoramento | Descrição | Valor de exemplo |
|---|---|---|
|
Browser (Browser) |
O browser utilizado na ação. | Microsoft Edge, Chrome |
|
Família de dispositivos (DeviceFamily) |
A família de dispositivos utilizada na ação. | Windows |
|
Tipo de dispositivo (DeviceType) |
O tipo de dispositivo cliente utilizado na ação | Ambiente de trabalho |
|
ISP (ISP) |
O fornecedor de serviços Internet utilizado na ação. | |
|
Sistema operativo (OperatingSystem) |
O sistema operativo utilizado na ação. | Windows 10 |
|
Descrição do indicador de informações sobre ameaças (ThreatIntelIndicatorDescription) |
Descrição do indicador de ameaça observado resolvido a partir do endereço IP utilizado na ação. | O anfitrião é membro do botnet: azorult |
|
Tipo de indicador intel de ameaça (ThreatIntelIndicatorType) |
O tipo do indicador de ameaça resolvido a partir do endereço IP utilizado na ação. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Lista de Observação |
|
Agente de utilizador (UserAgent) |
O agente de utilizador utilizado na ação. | Biblioteca de Cliente do Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Família de agentes de utilizador (UserAgentFamily) |
A família de agentes de utilizadores utilizada na ação. | Chrome, Microsoft Edge, Firefox |
Campo ActivityInsights
As tabelas seguintes descrevem os melhoramentos apresentados no campo dinâmico ActivityInsights na tabela BehaviorAnalytics:
Ação executada
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
A primeira vez que o utilizador efetuou a ação (FirstTimeUserPerformedAction) |
180 | A ação foi executada pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Ação invulgarmente executada pelo utilizador (ActionUncommonlyPerformedByUser) |
10 | A ação não é normalmente executada pelo utilizador. | Verdadeiro, Falso |
|
Ação invulgarmente realizada entre colegas (ActionUncommonlyPerformedAmongPeers) |
180 | A ação não é geralmente executada entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Primeira ação executada no inquilino (FirstTimeActionPerformedInTenant) |
180 | A ação foi realizada pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
Ação invulgarmente executada no inquilino (ActionUncommonlyPerformedInTenant) |
180 | Normalmente, a ação não é executada na organização. | Verdadeiro, Falso |
Aplicação utilizada
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Aplicação utilizada pela primeira vez pelo utilizador (FirstTimeUserUsedApp) |
180 | A aplicação foi utilizada pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Aplicação invulgarmente utilizada pelo utilizador (AppUncommonlyUsedByUser) |
10 | A aplicação não é frequentemente utilizada pelo utilizador. | Verdadeiro, Falso |
|
Aplicação invulgarmente utilizada entre colegas (AppUncommonlyUsedAmongPeers) |
180 | A aplicação não é frequentemente utilizada entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Primeira aplicação observada no inquilino (FirstTimeAppObservedInTenant) |
180 | A aplicação foi observada pela primeira vez na organização. | Verdadeiro, Falso |
|
Aplicação invulgarmente utilizada no inquilino (AppUncommonlyUsedInTenant) |
180 | A aplicação não é frequentemente utilizada na organização. | Verdadeiro, Falso |
Browser utilizado
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Utilizador ligado pela primeira vez através do browser (FirstTimeUserConnectedViaBrowser) |
30 | O browser foi observado pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Browser invulgarmente utilizado pelo utilizador (BrowserUncommonlyUsedByUser) |
10 | O browser não é normalmente utilizado pelo utilizador. | Verdadeiro, Falso |
|
Browser invulgarmente utilizado entre colegas (BrowserUncommonlyUsedAmongPeers) |
30 | O browser não é frequentemente utilizado entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Browser observado pela primeira vez no inquilino (FirstTimeBrowserObservedInTenant) |
30 | O browser foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Browser invulgarmente utilizado no inquilino (BrowserUncommonlyUsedInTenant) |
30 | O browser não é frequentemente utilizado na organização. | Verdadeiro, Falso |
País/região ligado a partir de
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Utilizador ligado pela primeira vez a partir do país/região (FirstTimeUserConnectedFromCountry) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, foi ligada pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
País invulgarmente ligado por utilizador (CountryUncommonlyConnectedFromByUser) |
10 | A localização geográfica, conforme resolvido a partir do endereço IP, não é normalmente ligada pelo utilizador. | Verdadeiro, Falso |
|
País invulgarmente ligado de entre pares (CountryUncommonlyConnectedFromAmongPeers) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não está normalmente ligada entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Primeira ligação do país/região observada no inquilino (FirstTimeConnectionFromCountryObservedInTenant) |
90 | O país/região foi ligado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
País invulgarmente ligado a partir do inquilino (CountryUncommonlyConnectedFromInTenant) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não está normalmente ligada a partir da organização. | Verdadeiro, Falso |
Dispositivo utilizado para ligar
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Utilizador ligado pela primeira vez a partir do dispositivo (FirstTimeUserConnectedFromDevice) |
30 | O dispositivo de origem foi ligado pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Dispositivo invulgarmente utilizado pelo utilizador (DeviceUncommonlyUsedByUser) |
10 | O dispositivo não é frequentemente utilizado pelo utilizador. | Verdadeiro, Falso |
|
Dispositivo invulgarmente utilizado entre colegas (DeviceUncommonlyUsedAmongPeers) |
180 | O dispositivo não é frequentemente utilizado entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Dispositivo observado pela primeira vez no inquilino (FirstTimeDeviceObservedInTenant) |
30 | O dispositivo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Dispositivo invulgarmente utilizado no inquilino (DeviceUncommonlyUsedInTenant) |
180 | O dispositivo não é frequentemente utilizado na organização. | Verdadeiro, Falso |
Outros relacionados com o dispositivo
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Primeira vez que o utilizador iniciou sessão no dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | O dispositivo de destino foi ligado pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Família de dispositivos raramente utilizada no inquilino (DeviceFamilyUncommonlyUsedInTenant) |
30 | A família de dispositivos não é frequentemente utilizada na organização. | Verdadeiro, Falso |
Fornecedor de Serviços Internet utilizado para ligar
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Utilizador ligado pela primeira vez através do ISP (FirstTimeUserConnectedViaISP) |
30 | O ISP foi observado pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
ISP invulgarmente utilizado pelo utilizador (ISPUncommonlyUsedByUser) |
10 | O ISP não é frequentemente utilizado pelo utilizador. | Verdadeiro, Falso |
|
ISP invulgarmente utilizado entre pares (ISPUncommonlyUsedAmongPeers) |
30 | O ISP não é frequentemente utilizado entre os elementos da rede do utilizador. | Verdadeiro, Falso |
|
Primeira ligação através do ISP no inquilino (FirstTimeConnectionViaISPInTenant) |
30 | O ISP foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
ISP invulgarmente utilizado no inquilino (ISPUncommonlyUsedInTenant) |
30 | O ISP não é frequentemente utilizado na organização. | Verdadeiro, Falso |
Recurso acedido
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
Recurso acedido pela primeira vez pelo utilizador (FirstTimeUserAccessedResource) |
180 | O recurso foi acedido pela primeira vez pelo utilizador. | Verdadeiro, Falso |
|
Recurso invulgarmente acedido pelo utilizador (ResourceUncommonlyAccessedByUser) |
10 | Normalmente, o recurso não é acedido pelo utilizador. | Verdadeiro, Falso |
|
Recurso invulgarmente acedido entre colegas (ResourceUncommonlyAccessedAmongPeers) |
180 | Normalmente, o recurso não é acedido entre os pares do utilizador. | Verdadeiro, Falso |
|
Recurso acedido pela primeira vez no inquilino (FirstTimeResourceAccessedInTenant) |
180 | O recurso foi acedido pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
Recurso acedido invulgarmente no inquilino (ResourceUncommonlyAccessedInTenant) |
180 | Normalmente, o recurso não é acedido na organização. | Verdadeiro, Falso |
Diversos
| Nome do melhoramento | Linha base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
|
A última vez que o utilizador realizou a ação (LastTimeUserPerformedAction) |
180 | A última vez que o utilizador efetuou a mesma ação. | <Carimbo de data/hora> |
|
A ação semelhante não foi executada no passado (SimilarActionWasn'tPerformedInThePast) |
30 | O utilizador não realizou nenhuma ação no mesmo fornecedor de recursos. | Verdadeiro, Falso |
|
Localização do IP de origem (SourceIPLocation) |
N/D | O país/região resolvido a partir do IP de origem da ação. | [Surrey, Inglaterra] |
|
Volume elevado incomum de operações (UncommonHighVolumeOfOperations) |
7 | Um utilizador efetuou um pico de operações semelhantes no mesmo fornecedor | Verdadeiro, Falso |
|
Número invulgar de Microsoft Entra falhas de Acesso Condicional (UnusualNumberOfAADConditionalAccessFailures) |
5 | Um número invulgar de utilizadores não conseguiu autenticar-se devido ao acesso condicional | Verdadeiro, Falso |
|
Número invulgar de dispositivos adicionados (UnusualNumberOfDevicesAdded) |
5 | Um utilizador adicionou um número invulgar de dispositivos. | Verdadeiro, Falso |
|
Número invulgar de dispositivos eliminados (UnusualNumberOfDevicesDeleted) |
5 | Um utilizador eliminou um número invulgar de dispositivos. | Verdadeiro, Falso |
|
Número invulgar de utilizadores adicionados ao grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Um utilizador adicionou um número invulgar de utilizadores a um grupo. | Verdadeiro, Falso |
Tabela IdentityInfo
Depois de ativar e configurar o UEBA para a sua área de trabalho Microsoft Sentinel, os dados de utilizador dos seus fornecedores de identidade da Microsoft são sincronizados com a tabela IdentityInfo no Log Analytics para utilização no Microsoft Sentinel.
Esses fornecedores de identidade são ou ambos os seguintes, consoante o que selecionou quando configurou o UEBA:
- Microsoft Entra ID (baseado na cloud)
- Microsoft Active Directory (no local, requer Microsoft Defender para Identidade))
Pode consultar a tabela IdentityInfo em regras de análise, consultas de investigação e livros, melhorando a análise para se ajustar aos seus casos de utilização e reduzindo falsos positivos.
Embora a sincronização inicial possa demorar alguns dias, quando os dados estiverem totalmente sincronizados:
A cada 14 dias, Microsoft Sentinel ressincroniza com toda a sua Microsoft Entra ID (e a sua Active Directory no local, se aplicável) para garantir que os registos obsoletos são totalmente atualizados.
Para além destas sincronizações completas regulares, sempre que forem efetuadas alterações aos seus perfis de utilizador, grupos e funções incorporadas no Microsoft Entra ID, os registos de utilizadores afetados são novamente efetuados e atualizados na tabela IdentityInfo dentro de 15 a 30 minutos. Esta ingestão é faturada a taxas regulares. Por exemplo:
Um atributo de utilizador, como o nome a apresentar, o cargo ou o endereço de e-mail, foi alterado. É ingerido um novo registo para este utilizador na tabela IdentityInfo , com os campos relevantes atualizados.
O Grupo A tem 100 utilizadores. São adicionados 5 utilizadores ao grupo ou removidos do grupo. Neste caso, esses cinco registos de utilizador são reestestados e os respetivos campos GroupMembership são atualizados.
O Grupo A tem 100 utilizadores. São adicionados dez utilizadores ao Grupo A. Além disso, os grupos A1 e A2, cada um com 10 utilizadores, são adicionados ao Grupo A. Neste caso, são reestidos 30 registos de utilizador e os campos GroupMembership são atualizados. Isto acontece porque a associação a grupos é transitiva, pelo que as alterações aos grupos afetam todos os respetivos subgrupos.
O nome do Grupo B (com 50 utilizadores) foi mudado para Agrupar BeGood. Neste caso, são reestidos 50 registos de utilizador e os campos GroupMembership são atualizados. Se existirem subgrupos nesse grupo, o mesmo acontece com todos os registos dos membros.
O tempo de retenção predefinido na tabela IdentityInfo é de 30 dias.
Limitações
O campo AssignedRoles suporta apenas funções incorporadas.
O campo GroupMembership suporta a listagem de até 500 grupos por utilizador, incluindo subgrupos. Se um utilizador for membro de mais de 500 grupos, apenas os primeiros 500 são sincronizados com a tabela IdentityInfo . No entanto, os grupos não são avaliados por nenhuma ordem específica, pelo que, em cada nova sincronização (a cada 14 dias), é possível que um conjunto diferente de grupos seja atualizado para o registo de utilizador.
Quando um utilizador é eliminado, o registo desse utilizador não é imediatamente eliminado da tabela IdentityInfo . A razão para tal é que uma das finalidades desta tabela é auditar as alterações aos registos de utilizador. Por conseguinte, queremos que esta tabela tenha um registo de um utilizador a ser eliminado, o que só pode acontecer se o registo de utilizador na tabela IdentityInfo ainda existir, mesmo que o utilizador real (por exemplo, no Entra ID) seja eliminado.
Os utilizadores eliminados podem ser identificados pela presença de um valor no
deletedDateTimecampo. Por isso, se precisar de uma consulta para lhe mostrar uma lista de utilizadores, pode filtrar os utilizadores eliminados ao adicionar| where IsEmpty(deletedDateTime)à consulta.Num determinado intervalo de tempo após a eliminação de um utilizador, o registo do utilizador também será removido da tabela IdentityInfo .
Quando um grupo é eliminado ou se um grupo com mais de 100 membros tiver o respetivo nome alterado, os registos de utilizadores membros desse grupo não serão atualizados. Se uma alteração diferente fizer com que um dos registos desses utilizadores seja atualizado, as informações atualizadas do grupo serão incluídas nessa altura.
Outras versões da tabela IdentityInfo
Existem várias versões da tabela IdentityInfo :
A versão de esquema do Log Analytics, abordada neste artigo, serve Microsoft Sentinel no portal do Azure. Está disponível para os clientes que ativaram o UEBA.
A versão avançada do esquema de investigação serve o portal do Microsoft Defender através de Microsoft Defender para Identidade. Está disponível para clientes de Microsoft Defender XDR, com ou sem Microsoft Sentinel, e para clientes de Microsoft Sentinel por si só no portal do Defender.
O UEBA não tem de ser ativado para ter acesso a esta tabela. No entanto, para clientes sem UEBA ativado, os campos preenchidos por dados UEBA não estão visíveis ou disponíveis.
Para obter mais informações, veja a documentação da versão investigação avançada desta tabela.
A partir de maio de 2025, os clientes do Microsoft Sentinel no portal do Microsoft Defendercom UEBA ativadocomeçam a utilizar um novo lançamento da versão de investigação Avançada. Esta nova versão inclui todos os campos UEBA da versão do Log Analytics, bem como alguns campos novos, e é referida como a versão unificada ou a tabela identityInfo unificada.
Os clientes do portal do Defender sem UEBA ativado ou sem Microsoft Sentinel continuam a utilizar o lançamento anterior da versão de investigação Avançada, sem os campos gerados pela UEBA.
Para obter mais informações sobre a versão unificada, veja IdentityInfo na documentação Investigação avançada.
Importante
Quando efetua a transição para o portal do Defender, a IdentityInfo tabela torna-se uma tabela nativa do Defender que não suporta RBAC ao nível da tabela (Controlo de Acesso Baseado em Funções). Se a sua organização utilizar o RBAC ao nível da tabela para restringir o IdentityInfo acesso à tabela no portal do Azure, este controlo de acesso deixará de estar disponível após a transição para o portal do Defender.
Esquema
A tabela no seguinte separador "Esquema do Log Analytics" descreve os dados de identidade do utilizador incluídos na tabela IdentityInfo no Log Analytics no portal do Azure.
Se estiver a integrar Microsoft Sentinel no portal do Defender, selecione o separador "Comparar com o esquema unificado" para ver as alterações que podem afetar potencialmente as consultas nas suas regras e caças de deteção de ameaças.
| Nome do campo | Tipo | Descrição |
|---|---|---|
| AccountCloudSID | cadeia | O identificador de segurança Microsoft Entra da conta. |
| AccountCreationTime | datetime | A data em que a conta de utilizador foi criada (UTC). |
| AccountDisplayName | cadeia | O nome a apresentar da conta de utilizador. |
| AccountDomain | cadeia | O nome de domínio da conta de utilizador. |
| AccountName | cadeia | O nome de utilizador da conta de utilizador. |
| AccountObjectId | cadeia | O Microsoft Entra ID de objeto da conta de utilizador. |
| AccountSID | cadeia | O identificador de segurança no local da conta de utilizador. |
| AccountTenantId | cadeia | O ID de inquilino Microsoft Entra da conta de utilizador. |
| AccountUPN | cadeia | O nome principal de utilizador da conta de utilizador. |
| AdditionalMailAddresses | dinâmico | Os endereços de e-mail adicionais do utilizador. |
| AssignedRoles | dinâmico | O Microsoft Entra funções a que a conta de utilizador está atribuída. Só são suportadas funções incorporadas. |
| BlastRadius | cadeia | Um cálculo baseado na posição do utilizador na árvore da organização e nas funções e permissões Microsoft Entra do utilizador. Valores possíveis: Baixo, Médio, Alto |
| ChangeSource | cadeia | A origem da última alteração à entidade. Valores possíveis: |
| Localidade | cadeia | A cidade da conta de utilizador. |
| NomedaEmpresa | cadeia | O nome da empresa ao qual o utilizador pertence. |
| País/Região | cadeia | O país/região da conta de utilizador. |
| DeletedDateTime | datetime | A data e hora em que o utilizador foi eliminado. |
| Departamento | cadeia | O departamento da conta de utilizador. |
| EmployeeId | cadeia | O identificador do funcionário atribuído ao utilizador pela organização. |
| GivenName | cadeia | O nome especificado da conta de utilizador. |
| GroupMembership | dinâmico | Microsoft Entra ID grupos em que a conta de utilizador é membro. |
| IsAccountEnabled | bool | Uma indicação sobre se a conta de utilizador está ativada no Microsoft Entra ID ou não. |
| JobTitle | cadeia | O cargo da conta de utilizador. |
| Endereço de Correio | cadeia | O endereço de e-mail principal da conta de utilizador. |
| Gestor | cadeia | O alias do gestor da conta de utilizador. |
| OnPremisesDistinguishedName | cadeia | O Microsoft Entra ID nome único (DN). Um nome único é uma sequência de nomes distintos relativos (RDN), ligados por vírgulas. |
| Phone | cadeia | O número de telefone da conta de utilizador. |
| Nível de Risco | cadeia | O Microsoft Entra ID nível de risco da conta de utilizador. Valores possíveis: |
| RiskLevelDetails | cadeia | Detalhes sobre o nível de risco Microsoft Entra ID. |
| RiskState | cadeia | Indicação se a conta está em risco agora ou se o risco foi remediado. |
| SourceSystem | cadeia | O sistema onde o utilizador é gerido. Valores possíveis: |
| Estado | cadeia | O estado geográfico da conta de utilizador. |
| StreetAddress | cadeia | O endereço de rua do escritório da conta de utilizador. |
| Sobrenome | cadeia | O sobrenome do utilizador. conta. |
| TenantId | cadeia | O ID de inquilino do utilizador. |
| TimeGenerated | datetime | A hora em que o evento foi gerado (UTC). |
| Tipo | cadeia | O nome da tabela. |
| UserAccountControl | dinâmico | Atributos de segurança da conta de utilizador no domínio do AD. Valores possíveis (podem conter mais do que um): |
| UserState | cadeia | O estado atual da conta de utilizador no Microsoft Entra ID. Valores possíveis: |
| UserStateChangedOn | datetime | A data da última alteração do estado da conta (UTC). |
| UserType | cadeia | O tipo de utilizador. |
Os seguintes campos, embora existam no esquema do Log Analytics, devem ser ignorados, uma vez que não são utilizados ou suportados por Microsoft Sentinel:
- Aplicações
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Etiquetas
- UACFlags