Microsoft Sentinel用户和实体行为分析 (UEBA) 数据源和架构扩充

本文列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充，为警报和事件提供所需的上下文。

重要

2027 年 3 月 31 日之后，Azure 门户将不再支持Microsoft Sentinel，并且仅在Microsoft Defender门户中可用。 在Azure 门户中使用Microsoft Sentinel的所有客户都将重定向到 Defender 门户，并且仅在 Defender 门户中使用Microsoft Sentinel。

如果仍在Azure 门户中使用Microsoft Sentinel，建议开始规划到 Defender 门户的转换，以确保平稳过渡，并充分利用 Microsoft Defender 提供的统一安全操作体验。

UEBA 数据源

这些数据源是 UEBA 引擎从中收集和分析数据以训练其 ML 模型并为用户、设备和其他实体设置行为基线的数据源。 然后，UEBA 查看来自这些源的数据，以查找异常情况并收集见解。

数据源	Connector	Log Analytics 表	已分析的事件类别
AAD 托管标识登录日志 (预览版)	Microsoft Entra ID	AADManagedIdentitySignInLogs	所有托管标识登录事件
AAD 服务主体登录日志 (预览版)	Microsoft Entra ID	AADServicePrincipalSignInLogs	所有服务主体登录事件
审核日志	Microsoft Entra ID	AuditLogs	ApplicationManagement DirectoryManagement GroupManagement 设备 RoleManagement UserManagementCategory
AWS CloudTrail (预览版)	Amazon Web Services Amazon Web Services S3	AWSCloudTrail	控制台登录事件。 由 EventName = "ConsoleLogin" 和 EventSource = "signin.amazonaws.com"标识。 事件必须具有有效的 UserIdentityPrincipalId。
Azure活动	Azure活动	AzureActivity	Authorization AzureActiveDirectory 计费 计算 消耗 KeyVault 设备 网络 资源 Intune 逻辑 Sql 存储器
设备登录事件 (预览版)	Microsoft Defender XDR	DeviceLogonEvents	所有设备登录事件
GCP 审核日志 (预览版)	GCP 发布/订阅审核日志	GCPAuditLogs	apigee.googleapis.com- API 管理 平台 iam.googleapis.com - 标识和访问管理 (IAM) 服务 iamcredentials.googleapis.com - IAM 服务帐户凭据 API cloudresourcemanager.googleapis.com- 云资源管理器 API compute.googleapis.com - 计算引擎 API storage.googleapis.com - 云存储 API container.googleapis.com - Kubernetes 引擎 API k8s.io - Kubernetes API cloudsql.googleapis.com - 云 SQL API bigquery.googleapis.com - BigQuery API bigquerydatatransfer.googleapis.com - BigQuery 数据传输服务 API cloudfunctions.googleapis.com - 云函数 API appengine.googleapis.com - 应用引擎 API dns.googleapis.com - 云 DNS API bigquerydatapolicy.googleapis.com - BigQuery 数据策略 API firestore.googleapis.com - Firestore API dataproc.googleapis.com - Dataproc API osconfig.googleapis.com - OS 配置 API cloudkms.googleapis.com - 云 KMS API secretmanager.googleapis.com - 机密管理器 API 事件必须具有有效的： - PrincipalEmail - 调用 API 的用户或服务帐户 - MethodName - 名为 的特定 Google API 方法 - 主体电子邮件， user@domain.com 格式。
Okta CL (Preview)	使用 Azure Functions) 的 Okta 单 Sign-On (	Okta_CL	身份验证、多重身份验证 (MFA) 和会话事件，包括： app.oauth2.admin.consent.grant_success app.oauth2.authorize.code_success device.desktop_mfa.recovery_pin.generate user.authentication.auth_via_mfa user.mfa.attempt_bypass user.mfa.factor.deactivate user.mfa.factor.reset_all user.mfa.factor.suspend user.mfa.okta_verify user.session.impersonation.grant user.session.impersonation.initiate user.session.start 事件必须具有有效的用户 ID (actor_id_s) 。
安全事件	通过 AMA Windows 安全中心事件 Windows 转发事件	WindowsEvent SecurityEvent	4624：帐户已成功登录 4625：帐户登录失败 4648：尝试使用显式凭据登录 4672：分配给新登录的特权 4688：已创建新进程
登录日志	Microsoft Entra ID	SigninLogs	所有登录事件

UEBA 扩充

本部分介绍 UEBA 添加到Microsoft Sentinel实体的扩充，这些实体可用于集中和强化安全事件调查。 这些扩充显示在 实体页上 ，可以在以下 Log Analytics 表中找到，其内容和架构如下所列：

• BehaviorAnalytics 表是存储 UEBA 输出信息的位置。

  下面的实体扩充动态字段部分介绍了 BehaviorAnalytics 表中的以下三个 动态字段 。

  • UsersInsights 和 DevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID和Microsoft威胁情报源的实体信息。

  • ActivityInsights 字段包含基于Microsoft Sentinel实体行为分析生成的行为配置文件的实体信息。

    根据每次使用时动态编译的基线分析用户活动。 每个活动都有其自己定义的回溯期，动态基线是从中派生的。 此表中的 “基线 ”列中指定了回溯期。

• IdentityInfo 表存储从 Microsoft Entra ID (同步到 UEBA 的标识信息，以及通过 Microsoft Defender for Identity) 从 本地 Active Directory 同步的标识信息。

BehaviorAnalytics 表

下表描述了Microsoft Sentinel中每个实体详细信息页上显示的行为分析数据。

字段	类型	说明
TenantId	string	租户的唯一 ID 号。
SourceRecordId	string	EBA 事件的唯一 ID 号。
TimeGenerated	datetime	活动的时间戳。
TimeProcessed	datetime	EBA 引擎处理活动的时间戳。
ActivityType	string	活动的高级类别。
ActionType	string	活动的规范化名称。
UserName	string	发起活动的用户的用户名。
UserPrincipalName	string	发起活动的用户的完整用户名。
EventSource	string	提供原始事件的数据源。
SourceIPAddress	string	从中启动活动的 IP 地址。
SourceIPLocation	string	从中启动活动的国家/地区，从 IP 地址扩充。
SourceDevice	string	启动活动的设备的主机名。
DestinationIPAddress	string	活动目标的 IP 地址。
DestinationIPLocation	string	活动目标的国家/地区，从 IP 地址扩充。
DestinationDevice	string	目标设备的名称。
UsersInsights	动态	相关用户的上下文扩充 (下面) 的详细信息 。
DevicesInsights	动态	相关设备的上下文扩充 (下面) 的详细信息 。
ActivityInsights	动态	基于分析的活动上下文分析 (下面) 的详细信息 。
InvestigationPriority	int	异常分数介于 0-10 (0=良性，10=高度异常) 。 此分数限定了与预期行为的偏差程度。 分数越高表示与基线的偏差越大，更可能表示真实异常。 较低的分数可能仍然是异常的，但不太可能是显著或可操作的。

实体扩充动态字段

注意

此部分表中的 “扩充名称 ”列显示两行信息。

• 第一个 以粗体显示的是扩充的“友好名称”。
• 第二 个斜体和圆括号) (是 行为分析表中存储的扩充的字段名称。

UsersInsights 字段

下表介绍了 BehaviorAnalytics 表的 UsersInsights 动态字段中的扩充功能：

扩充名称	说明	示例值
帐户显示名称 (AccountDisplayName)	用户的帐户显示名称。	管理员海登·库克
帐户域 (AccountDomain)	用户的帐户域名。
帐户对象 ID (AccountObjectID)	用户的帐户对象 ID。	aaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb
爆炸半径 (BlastRadius)	爆炸半径是根据以下几个因素计算的：用户在组织树中的位置，以及用户的Microsoft Entra角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性，才能计算 BlastRadius。	低、中、高
帐户处于休眠状态 (IsDormantAccount)	过去 180 天未使用该帐户。	True、False
是本地管理员 (IsLocalAdmin)	该帐户具有本地管理员权限。	True、False
是新帐户 (IsNewAccount)	该帐户在过去 30 天内创建。	True、False
本地 SID (OnPremisesSID)	与操作相关的用户的本地 SID。	S-1-5-21-1112946627-1321165628-243734228-1103

DevicesInsights 字段

下表描述了 BehaviorAnalytics 表的 DevicesInsights 动态字段中的扩充功能：

扩充名称	说明	示例值
Browser (浏览器)	操作中使用的浏览器。	Microsoft Edge、Chrome
设备系列 (DeviceFamily)	操作中使用的设备系列。	Windows
设备类型 (DeviceType)	操作中使用的客户端设备类型	桌面
Isp (ISP)	操作中使用的 Internet 服务提供商。
操作系统 (OperatingSystem)	操作中使用的操作系统。	Windows 10
威胁 intel 指示器说明 (ThreatIntelIndicatorDescription)	从操作中使用的 IP 地址解析的观察到的威胁指示器的说明。	主机是僵尸网络的成员：azorult
威胁 intel 指示器类型 (ThreatIntelIndicatorType)	从操作中使用的 IP 地址解析的威胁指示器的类型。	Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist
用户代理 (UserAgent)	操作中使用的用户代理。	Microsoft Azure Graph 客户端库 1.0， Swagger-Codegen/1.4.0.0/csharp， EvoSTS
用户代理系列 (UserAgentFamily)	操作中使用的用户代理系列。	Chrome、Microsoft Edge、Firefox

ActivityInsights 字段

下表描述了 BehaviorAnalytics 表的 ActivityInsights 动态字段中的扩充功能：

执行的操作

扩充名称	基线 (天)	说明	示例值
用户首次执行操作时 (FirstTimeUserPerformedAction)	180	用户首次执行该操作。	True、False
用户不常执行的操作 (ActionUncommonlyPerformedByUser)	10	用户通常不执行该操作。	True、False
在对等方之间不常执行的操作 (ActionUncommonlyPerformedAmongPeers)	180	通常不会在用户的对等方之间执行该操作。	True、False
在租户中执行的首次操作 (FirstTimeActionPerformedInTenant)	180	该操作首次由组织中的任何人执行。	True、False
在租户中不经常执行的操作 (ActionUncommonlyPerformedInTenant)	180	通常不会在组织中执行该操作。	True、False

使用的应用

扩充名称	基线 (天)	说明	示例值
用户首次使用应用 (FirstTimeUserUsedApp)	180	该应用已由用户首次使用。	True、False
用户不常使用的应用 (AppUncommonlyUsedByUser)	10	该应用不常由用户使用。	True、False
在对等方之间不常使用的应用 (AppUncommonlyUsedAmongPeers)	180	该应用不常在用户的对等之间使用。	True、False
首次在租户中观察到的应用 (FirstTimeAppObservedInTenant)	180	首次在组织中观察到应用。	True、False
租户中不常使用的应用 (AppUncommonlyUsedInTenant)	180	该应用在组织中不常用。	True、False

使用的浏览器

扩充名称	基线 (天)	说明	示例值
用户首次通过浏览器连接 (FirstTimeUserConnectedViaBrowser)	30	用户首次观察到浏览器。	True、False
用户不常使用的浏览器 (BrowserUncommonlyUsedByUser)	10	用户通常不使用浏览器。	True、False
浏览器在对等方之间不常使用 (BrowserUncommonlyUsedAmongPeers)	30	浏览器不常在用户的对等之间使用。	True、False
首次在租户中观察到浏览器 (FirstTimeBrowserObservedInTenant)	30	首次在组织中观察到浏览器。	True、False
租户中不常使用的浏览器 (BrowserUncommonlyUsedInTenant)	30	浏览器在组织中不常用。	True、False

连接自的国家/地区

扩充名称	基线 (天)	说明	示例值
用户首次从国家/地区连接 (FirstTimeUserConnectedFromCountry)	90	从 IP 地址解析的地理位置由用户首次从 连接。	True、False
用户从不常见连接的国家/地区 (CountryUncommonlyConnectedFromByUser)	10	从 IP 地址解析的地理位置通常不由用户从中连接。	True、False
国家/地区在对等方之间不常见地连接 (CountryUncommonlyConnectedFromAmongPeers)	90	从 IP 地址解析的地理位置通常不会从用户的对等方之间建立连接。	True、False
从租户中观察到的国家/地区的首次连接 (FirstTimeConnectionFromCountryObservedInTenant)	90	国家/地区首次由组织中的任何人连接。	True、False
从租户中不常见连接的国家/地区 (CountryUncommonlyConnectedFromInTenant)	90	从 IP 地址解析的地理位置通常不是从组织中连接的。	True、False

用于连接的设备

扩充名称	基线 (天)	说明	示例值
用户首次从设备连接 (FirstTimeUserConnectedFromDevice)	30	源设备已由用户首次从 连接。	True、False
用户不常使用的设备 (DeviceUncommonlyUsedByUser)	10	用户不常使用该设备。	True、False
设备在对等方之间不常使用 (DeviceUncommonlyUsedAmongPeers)	180	设备不常在用户的对等方之间使用。	True、False
首次在租户中观察到设备 (FirstTimeDeviceObservedInTenant)	30	首次在组织中观察到设备。	True、False
租户中不常使用的设备 (DeviceUncommonlyUsedInTenant)	180	设备在组织中不常用。	True、False

其他与设备相关的

扩充名称	基线 (天)	说明	示例值
用户首次登录到设备 (FirstTimeUserLoggedOnToDevice)	180	目标设备已由用户首次连接到。	True、False
租户中不常使用的设备系列 (DeviceFamilyUncommonlyUsedInTenant)	30	设备系列在组织中不常用。	True、False

用于连接的 Internet 服务提供商

扩充名称	基线 (天)	说明	示例值
用户首次通过 ISP 连接 (FirstTimeUserConnectedViaISP)	30	用户首次观察到 ISP。	True、False
用户不常使用的 ISP (ISPUncommonlyUsedByUser)	10	ISP 不由用户使用。	True、False
ISP 在对等之间不常使用 (ISPUncommonlyUsedAmongPeers)	30	ISP 不常在用户的对等之间使用。	True、False
首次通过租户中的 ISP 进行连接 (FirstTimeConnectionViaISPInTenant)	30	ISP 首次在组织中观察到。	True、False
租户中不常使用的 ISP (ISPUncommonlyUsedInTenant)	30	ISP 在组织中不常用。	True、False

已访问的资源

扩充名称	基线 (天)	说明	示例值
用户首次访问资源时 (FirstTimeUserAccessedResource)	180	用户首次访问资源。	True、False
用户不常访问的资源 (ResourceUncommonlyAccessedByUser)	10	用户通常不访问资源。	True、False
资源在对等方之间不常访问 (ResourceUncommonlyAccessedAmongPeers)	180	资源不常在用户的对等方之间访问。	True、False
首次在租户中访问资源 (FirstTimeResourceAccessedInTenant)	180	组织中的任何人首次访问资源。	True、False
租户中不常访问的资源 (ResourceUncommonlyAccessedInTenant)	180	在组织中不经常访问资源。	True、False

其他

扩充名称	基线 (天)	说明	示例值
用户上次执行操作的时间 (LastTimeUserPerformedAction)	180	用户上次执行相同操作的时间。	<Timestamp>
过去未执行过类似的操作 (SimilarActionWasn'tPerformedInThePast)	30	用户未在同一资源提供程序中执行任何操作。	True、False
源 IP 位置 (SourceIPLocation)	N/A	从操作的源 IP 解析的国家/地区。	[英格兰萨里]
不常见的大量操作 (UncommonHighVolumeOfOperations)	7	用户在同一提供程序中执行了类似操作的突发	True、False
Microsoft Entra条件访问失败的异常数量 (UnusualNumberOfAADConditionalAccessFailures)	5	由于条件访问，异常数量的用户无法进行身份验证	True、False
添加的异常设备数 (UnusualNumberOfDevicesAdded)	5	用户添加了异常数量的设备。	True、False
删除的异常设备数 (UnusualNumberOfDevicesDeleted)	5	用户删除了异常数量的设备。	True、False
添加到组的用户数异常 (异常NumberOfUsersAddedToGroup)	5	用户向组添加了异常数量的用户。	True、False

IdentityInfo 表

为Microsoft Sentinel工作区启用并配置 UEBA 后，Microsoft标识提供者的用户数据将同步到 Log Analytics 中的 IdentityInfo 表，以便在 Microsoft Sentinel 中使用。

这些标识提供者是以下两种，具体取决于配置 UEBA 时选择的标识提供者：

• Microsoft Entra ID (基于云的)
• Microsoft Active Directory (本地，需要Microsoft Defender for Identity) )

可以在分析规则、搜寻查询和工作簿中查询 IdentityInfo 表，从而增强分析以适合你的用例并减少误报。

虽然初始同步可能需要几天时间，但数据完全同步后：

• 每 14 天，Microsoft Sentinel与整个Microsoft Entra ID (和本地 Active Directory重新同步，如果适用，) 以确保完全更新过时的记录。

• 除了这些常规完全同步之外，每当对 Microsoft Entra ID 中的用户配置文件、组和内置角色进行更改时，受影响的用户记录都会在 15-30 分钟内在 IdentityInfo 表中重新引入和更新。 此引入按常规费率计费。 例如：

  • 用户属性（如显示名称、职务或电子邮件地址）已更改。 此用户的新记录将引入 到 IdentityInfo 表中，并更新了相关字段。

  • 组 A 包含 100 个用户。5 个用户将添加到组或从组中删除。 在这种情况下，将重新引入这五条用户记录，并更新其 GroupMembership 字段。

  • 组 A 包含 100 个用户。 将 10 个用户添加到组 A。此外，组 A1 和 A2（每个组有 10 个用户）将添加到组 A。在这种情况下，将重新引入 30 条用户记录，并更新其 GroupMembership 字段。 这是因为组成员身份是可传递的，因此对组的更改会影响其所有子组。

  • 具有 50 个用户的 B 组 () 已重命名为 BeGood 组。 在这种情况下，将重新引入 50 条用户记录，并更新其 GroupMembership 字段。 如果该组中有子组，则其所有成员的记录也会发生相同的情况。

• IdentityInfo 表中的默认保留时间为 30 天。

限制

• AssignedRoles 字段仅支持内置角色。

• GroupMembership 字段支持列出每个用户最多 500 个组，包括子组。 如果用户是超过 500 个组的成员，则只有前 500 个组与 IdentityInfo 表同步。 不过，不会按任何特定顺序评估组，因此在每 14 天) 每 14 天进行一次新的同步 (时，可能会将一组不同的组更新为用户记录。

• 删除用户后，不会立即从 IdentityInfo 表中删除该用户的记录。 原因是此表的用途之一是审核对用户记录的更改。 因此，我们希望此表包含删除用户的记录，仅当 IdentityInfo 表中的用户记录仍然存在时，即使删除了实际用户 (Entra ID) 也是如此。

  可以通过字段中是否存在值 deletedDateTime 来标识已删除的用户。 因此，如果需要查询来显示用户列表，可以通过将 添加到 | where IsEmpty(deletedDateTime) 查询来筛选掉已删除的用户。

  在删除用户后的某个时间间隔内，用户的记录最终也会从 IdentityInfo 表中删除。

• 删除组时，或者如果成员超过 100 的组的名称已更改，则不会更新该组的成员用户记录。 如果不同的更改导致其中一个用户的记录被更新，则此时将包含更新的组信息。

IdentityInfo 表的其他版本

IdentityInfo 表有多个版本：

• 本文中讨论的 Log Analytics 架构版本Azure 门户提供Microsoft Sentinel。 它适用于启用了 UEBA 的客户。

• 高级搜寻架构版本通过Microsoft Defender for Identity为Microsoft Defender门户提供服务。 它可供Microsoft Defender XDR客户（无论是否使用Microsoft Sentinel）使用，也可在 Defender 门户中单独Microsoft Sentinel。

  无需启用 UEBA 即可访问此表。 但是，对于未启用 UEBA 的客户，由 UEBA 数据填充的字段不可见或不可用。

  有关详细信息，请参阅 此表 的高级搜寻 版本的文档。

• 从 2025 年 5 月开始，Microsoft Defender门户中启用了 UEBA 的Microsoft Sentinel的客户开始使用新版本的高级搜寻版本。 此新版本包括 Log Analytics 版本中的所有 UEBA 字段以及一些新字段，称为 统一版本 或 统一 IdentityInfo 表。

  未启用 UEBA 或根本没有Microsoft Sentinel的 Defender 门户客户继续使用之前发布的高级搜寻版本，而不使用 UEBA 生成的字段。

  有关统一版本的详细信息，请参阅高级搜寻文档中的 IdentityInfo。

重要

转换到 Defender 门户时，该IdentityInfo表将成为不支持表级 RBAC (基于角色的访问控制) 的本机 Defender 表。 如果组织使用表级 RBAC 来限制对IdentityInfoAzure 门户中表的访问，则转换到 Defender 门户后，此访问控制将不再可用。

架构

以下“Log Analytics 架构”选项卡中的表描述了 Azure 门户 Log Analytics 的 IdentityInfo 表中包含的用户标识数据。

如果要将Microsoft Sentinel加入 Defender 门户，请选择“与统一架构进行比较”选项卡，查看可能影响威胁检测规则和搜寻中查询的更改。

Log Analytics 架构

字段名	类型	说明
AccountCloudSID	string	帐户Microsoft Entra安全标识符。
AccountCreationTime	datetime	用户帐户的创建日期 (UTC) 。
AccountDisplayName	string	用户帐户的显示名称。
AccountDomain	string	用户帐户的域名。
AccountName	string	用户帐户的用户名。
AccountObjectId	string	用户帐户Microsoft Entra对象 ID。
AccountSID	string	用户帐户的本地安全标识符。
AccountTenantId	string	用户帐户的Microsoft Entra租户 ID。
AccountUPN	string	用户帐户的用户主体名称。
AdditionalMailAddresses	动态	用户的其他电子邮件地址。
AssignedRoles	动态	用户帐户分配到Microsoft Entra角色。 仅支持内置角色。
BlastRadius	string	基于用户在组织树中的位置以及用户Microsoft Entra角色和权限的计算。 可能的值： 低、中、高
ChangeSource	string	对实体的最新更改的源。 可能的值： AzureActiveDirectory ActiveDirectory UEBA 监视列表 FullSync
市/县	string	用户帐户的城市。
CompanyName	string	用户所属的公司名称。
国家/地区	string	用户帐户的国家/地区。
DeletedDateTime	datetime	删除用户的日期和时间。
Department	string	用户帐户的部门。
EmployeeId	string	由组织分配给该用户的员工标识符。
GivenName	string	用户帐户的给定名称。
GroupMembership	动态	Microsoft Entra ID用户帐户所属的组。
IsAccountEnabled	布尔值	指示是否在 Microsoft Entra ID 中启用用户帐户。
JobTitle	string	用户帐户的职务。
MailAddress	string	用户帐户的主电子邮件地址。
Manager	string	用户帐户的管理器别名。
OnPremisesDistinguishedName	string	Microsoft Entra ID可分辨名称 (DN) 。 可分辨名称是 RDN) (相对可分辨名称的序列，由逗号连接。
电话	string	用户帐户的电话号码。
RiskLevel	string	用户帐户Microsoft Entra ID风险级别。 可能的值： 低 中 High
RiskLevelDetails	string	有关Microsoft Entra ID风险级别的详细信息。
RiskState	string	指示帐户现在是否面临风险或风险是否已修正。
SourceSystem	string	管理用户的系统。 可能的值： AzureActiveDirectory ActiveDirectory 混合
状态	string	用户帐户的地理状态。
StreetAddress	string	用户帐户的办公室街道地址。
姓	string	用户的姓氏。 帐户。
TenantId	string	用户的租户 ID。
TimeGenerated	datetime	生成事件的时间 (UTC) 。
Type	string	表的名称。
UserAccountControl	动态	AD 域中用户帐户的安全属性。 可能的值 (可能包含多个) ： AccountDisabled HomedirRequired AccountLocked PasswordNotRequired CannotChangePassword EncryptedTextPasswordAllowed TemporaryDuplicateAccount NormalAccount InterdomainTrustAccount WorkstationTrustAccount ServerTrustAccount PasswordNeverExpires MnsLogonAccount SmartcardRequired TrustedForDelegation DelegationNotAllowed UseDesKeyOnly DontRequirePreauthentication PasswordExpired TrustedToAuthenticationForDelegation PartialSecretsAccount UseAesKeys
UserState	string	Microsoft Entra ID中用户帐户的当前状态。 可能的值： Active Disabled 休眠 锁定
UserStateChangedOn	datetime	上次更改帐户状态的日期 (UTC) 。
UserType	string	用户类型。

以下字段虽然存在于 Log Analytics 架构中，但应忽略它们，因为它们不受Microsoft Sentinel使用或支持：

• 应用程序
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• 标记
• UACFlags

与统一架构进行比较

以下字段已在统一版本中重命名。 因此，如果要将Microsoft Sentinel加入 Defender 门户，请检查查询对这些字段的任何引用，并在必要时对其进行更新。

Log Analytics 字段名称	统一架构字段名称
AccountCloudSID	CloudSid
AccountCreationTime	CreatedDateTime
AccountSID	OnPremSid
AccountTenantId	TenantId
AccountUPN	AccountUpn
AdditionalMailAddresses	OtherMailAddresses
MailAddress	EmailAddress
OnPremisesAccountObjectId	OnPremObjectId
OnPremisesDistinguishedName	DistinguishedName
RiskState	RiskStatus
SAMAccountName	AccountName
SourceSystem	IdentityEnvironment
StreetAddress	地址
Type	IdentityType
UserType	TenantMembershipType

统一版本中不再存在以下字段名称。 请务必从引用它们的任何查询中删除它们。

• TenantID - 此字段包含的信息与替换 AccountTenantId 字段的 TenantId 字段不同。
• UserState
• UserStateChangedOn

以下字段虽然存在于 Log Analytics 架构中，但应忽略它们，因为它们不受Microsoft Sentinel使用或支持：

• 应用程序
• EntityRiskScore
• ExtensionProperty
• InvestigationPriority
• InvestigationPriorityPercentile
• IsMFARegistered
• IsServiceAccount
• LastSeenDate
• OnPremisesExtensionAttributes
• RelatedAccounts
• ServicePrincipals
• 标记
• UACFlags

这些字段根本不存在于新的统一架构中。

后续步骤

本文档介绍了Microsoft Sentinel实体行为分析表架构。

• 详细了解 实体行为分析。
• 在 Microsoft Sentinel 中启用 UEBA。
• 在调查中使用 UEBA。