本文列出了 Microsoft Sentinel 中使用者與實體行為分析服務的輸入資料來源。 同時也描述了 UEBA 為實體所加入的豐富功能,為警示與事件提供必要的背景說明。
重要事項
自 2027 年 3 月 31 日起,Microsoft Sentinel 將不再支援 Azure 入口網站,僅能在 Microsoft Defender 入口網站中使用。 所有在 Azure 入口網站使用 Microsoft Sentinel 的客戶,將被重新導向至 Defender 入口網站,且僅在 Defender 入口網站使用 Microsoft Sentinel。
如果您仍在 Azure 入口網站使用 Microsoft Sentinel,建議您開始規劃轉換至 Defender 入口網站,以確保順利過渡並充分利用 Microsoft Defender 所提供的統一安全運營體驗。
UEBA 資料來源
這些是 UEBA 引擎用來收集和分析資料以訓練機器學習模型並為使用者、裝置及其他實體設定行為基準的資料來源。 UEBA 接著從這些來源中分析數據,找出異常並獲得洞見。
| 資料來源 | 連接器 | 日誌分析表 | 分析事件類別 |
|---|---|---|---|
| AAD 管理身份登入日誌 (預覽) | Microsoft Entra ID | AADManagedIdentitySignInLogs | 所有受管理身份登入事件 |
| AAD 服務主體登入日誌 (預覽) | Microsoft Entra ID | AADServicePrincipalSignInLogs | 所有服務主要負責人簽到活動 |
| 稽核記錄 | Microsoft Entra ID | 審計日誌 | 應用程式管理 目錄管理 集團管理 裝置 角色管理 使用者管理類別 |
| AWS CloudTrail (預覽) |
Amazon Web Services 亞馬遜網路服務 S3 |
AWSCloudTrail | 主機登入事件。 由 EventName = "ConsoleLogin" 和 EventSource = "signin.amazonaws.com"識別。 事件必須有有效 UserIdentityPrincipalId。 |
| Azure Activity | Azure Activity | AzureActivity | 授權 AzureActiveDirectory 計費 計算 消費 KeyVault 裝置 網路 資源 Intune 邏輯 SQL 儲存體 |
| 裝置登入事件 (預覽) | Microsoft Defender XDR | DeviceLogonEvents | 所有裝置登入事件 |
| GCP 稽核日誌 (預覽) | GCP 發佈/訂閱審核日誌 | GCPAudit日誌 |
apigee.googleapis.com- API 管理平台iam.googleapis.com - 身份與存取管理 (IAM) 服務iamcredentials.googleapis.com - IAM 服務帳號憑證 APIcloudresourcemanager.googleapis.com- Cloud Resource Manager APIcompute.googleapis.com - 計算引擎 APIstorage.googleapis.com - 雲端儲存 APIcontainer.googleapis.com - Kubernetes Engine APIk8s.io - Kubernetes APIcloudsql.googleapis.com - 雲端 SQL APIbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - BigQuery 資料傳輸服務 APIcloudfunctions.googleapis.com - 雲端功能 APIappengine.googleapis.com - App Engine APIdns.googleapis.com - 雲端 DNS APIbigquerydatapolicy.googleapis.com - BigQuery 資料政策 APIfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - Dataproc APIosconfig.googleapis.com - 作業系統設定 APIcloudkms.googleapis.com - 雲端KMS APIsecretmanager.googleapis.com - 秘密管理器 API事件必須具備有效條件: - PrincipalEmail - 呼叫 API 的使用者或服務帳號- MethodName - 特定的 Google API 方法,稱為- 主要電子郵件格式。 user@domain.com |
| Okta CL (預覽) | Okta 單 Sign-On (使用 Azure Functions) | Okta_CL | 認證、多重驗證 (多重認證) ,以及會話事件,包括:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.start活動必須有有效的使用者 ID ( actor_id_s) 。 |
| 安全事件 |
Windows 安全性事件透過 AMA 進行 視窗轉發事件 |
WindowsEvent 安全事件 |
4624:一個帳號成功登入 4625:帳號無法登入 4648:嘗試使用明確憑證登入 4672:新登入者獲得特殊權限 4688:新流程已誕生 |
| 登入記錄 | Microsoft Entra ID | 登入日誌 | 所有簽到活動 |
UEBA 濃縮
本節說明 UEBA 為 Microsoft Sentinel 實體所帶來的豐富功能,讓您能聚焦並強化安全事件調查。 這些豐富內容會顯示在 實體頁面 上,並可在以下 Log Analytics 表格中找到,其內容與結構如下:
行為 分析 表是 UEBA 輸出資訊的儲存點。
以下三個來自 BehaviorAnalytics 表格的動態欄位,詳見下方 實體豐富動態欄位 章節。
UsersInsights 與 DevicesInsights 欄位包含來自 Active Directory / Microsoft Entra ID 及 Microsoft Threat Intelligence 來源的實體資訊。
ActivityInsights 欄位包含基於 Microsoft Sentinel 實體行為分析所建立的行為剖面的實體資訊。
使用者活動會根據一個基線進行分析,該基準線每次使用都會動態編譯。 每個活動都有其定義的回顧期,動態基線可由此推導。 回溯期間在本表的 基線 欄位中指定。
IdentityInfo 表格是儲存來自 Microsoft Entra ID (與 UEBA 同步的身份資訊,以及經由 適用於身分識別的 Microsoft Defender) 從 內部部署的 Active Directory 同步的身份資訊。
行為分析表格
下表描述了 Microsoft Sentinel 中每個實體詳情頁面所顯示的行為分析資料。
| 欄位 | 類型 | 描述 |
|---|---|---|
| 租戶識別 | 字串 | 租戶唯一的ID號碼。 |
| 資料來源記錄ID | 字串 | EBA 事件的唯一 ID 號碼。 |
| 時間生成 | datetime | 活動發生的時間戳記。 |
| 時間處理 | datetime | EBA 引擎處理活動的時間戳。 |
| 活動類型 | 字串 | 活動的高階類別。 |
| ActionType | 字串 | 活動的標準化名稱。 |
| UserName | 字串 | 是發起該活動的使用者的用戶名稱。 |
| UserPrincipalName | 字串 | 該用戶的全名。 |
| EventSource | 字串 | 提供原始事件的資料來源。 |
| 資料來源IPAddress | 字串 | 活動發起的 IP 位址。 |
| 資料來源IPLocation | 字串 | 活動發起的國家/地區,透過IP位址獲得豐富資訊。 |
| SourceDevice | 字串 | 啟動該活動的裝置主機名稱。 |
| DestinationIPAddress | 字串 | 活動目標的 IP 位址。 |
| DestinationIPLocation | 字串 | 活動目標的國家/地區,並由 IP 位址獲得豐富資訊。 |
| 目的地裝置 | 字串 | 目標裝置的名稱。 |
| 使用者洞察 | 動態 | 參與使用者的情境豐富性 (詳) 。 |
| 裝置洞察 | 動態 | 相關裝置的情境豐富 (詳) 。 |
| 活動洞察 | 動態 | 根據我們的分析,對活動的情境分析 (如下) 。 |
| 調查優先 | int | 異常分數介於0至10 (0=良性,10=高度異常) 。 此分數量化與預期行為的偏差程度。 分數越高表示偏離基線越大,且更可能表示真正的異常。 較低的分數仍可能異常,但較不顯著或可採取的事件較不重要。 |
實體豐富動態場
UsersInsights 欄位
下表描述了 BehaviorAnalytics 表格中 UsersInsights 動態欄位所呈現的豐富內容:
| 富集名稱 | 描述 | 範例值 |
|---|---|---|
|
帳號顯示名稱 (帳戶顯示名稱) |
帳號顯示的使用者名稱。 | 管理員,海登·庫克 |
|
帳號網域 (AccountDomain) |
使用者的帳號網域名稱。 | |
|
帳號物件識別碼 (AccountObjectID) |
使用者的帳號物件 ID。 | 啊啊啊啊啊-0000-1111-2222-bbbbbbbbbb |
|
爆炸半徑 (爆破半徑) |
爆炸半徑的計算基於多項因素:使用者在組織樹中的位置,以及使用者在 Microsoft Entra 中的角色與權限。 使用者必須在 Microsoft Entra ID 中填入 Manager 屬性,才能計算 BlastRadius。 | 低、中、高 |
|
是休眠帳戶 (IsDormantAccount) |
這個帳戶已經有 180 天沒被使用過了。 | True, False |
|
是本地管理員 (IsLocalAdmin) |
該帳號擁有本地管理員權限。 | True, False |
|
是新帳號 (IsNewAccount) |
該帳號是在過去 30 天內建立的。 | True, False |
|
本地 SID (OnPremisesSID) |
使用者的本地 SID 與該動作相關。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 領域
下表描述了 BehaviorAnalytics 表格中 DevicesInsights 動態欄位所呈現的豐富內容:
| 富集名稱 | 描述 | 範例值 |
|---|---|---|
|
Browser (瀏覽器) |
行動中使用的瀏覽器。 | Microsoft Edge、Chrome |
|
裝置家族 (DeviceFamily) |
該裝置家族用於該機槍。 | Windows |
|
裝置類型 (裝置類型) |
動作中使用的用戶端裝置類型 | 電腦 |
|
網路服務供應商 (ISP) |
參與行動的網路服務供應商。 | |
|
作業系統 (操作系統) |
行動中使用的作業系統。 | Windows 10 |
|
威脅情報指標說明 (威脅情報指標描述) |
根據動作中使用的 IP 位址解析觀察到的威脅指示器描述。 | 主機是殭屍網路 Azoult 的成員 |
|
威脅情報指標類型 (威脅情報指標類型) |
威脅指示器的類型由行動中使用的 IP 位址解析。 | 殭屍網路、C2、加密貨幣挖礦、暗網、DDos、惡意網址、惡意軟體、釣魚、代理、PUA、監控清單 |
|
使用者代理程式 (UserAgent) |
使用在行動中的使用者代理。 | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, 進化STS |
|
使用者代理家族 (UserAgentFamily) |
使用者代理家族在行動中使用。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights 欄位
以下表格描述了行為分析表中動態欄位中所呈現的豐富內容:
執行的行動
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
首次使用者執行動作 (FirstTimeUserPerformedAction) |
180 | 這個動作是使用者第一次執行。 | True, False |
|
使用者罕見執行的動作 (動作UncommonlyPerformedByUser) |
10 | 這個動作通常不是使用者自己執行的。 | True, False |
|
同儕中罕見的行動 (行動罕見地在同儕中) |
180 | 這個動作在使用者的同儕之間並不常見。 | True, False |
|
首次在租戶中執行的行動 (首次在租客中執行的行動) |
180 | 這是組織內首次有人執行此行動。 | True, False |
|
租戶中罕見的行為 (在租客中罕見執行的行動) |
180 | 這種行動在組織中並不常見。 | True, False |
應用程式使用中
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
第一次使用者使用 App (FirstTimeUserUsedApp) |
180 | 用戶首次使用該應用程式。 | True, False |
|
使用者不常用的應用程式 (AppUncommonlyUsedByUser) |
10 | 這個應用程式並非使用者常用的。 | True, False |
|
應用程式在同儕間不常見使用 (AppUncommonlyUsedAmongPeers) |
180 | 這個應用程式在用戶的同儕中並不常見。 | True, False |
|
首次在租戶中發現應用程式 (首次應用在租戶中觀察) |
180 | 該應用程式首次在組織內被觀察到。 | True, False |
|
租戶中不常見的應用程式 (AppUncommonlyUsedInTenant) |
180 | 這個應用程式在組織中並不常用。 | True, False |
使用的瀏覽器
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
首次使用者透過瀏覽器連線 (FirstTimeUserConnected透過瀏覽器) |
30 | 使用者首次觀察到瀏覽器。 | True, False |
|
使用者不常用的瀏覽器 (瀏覽器UncommonlyUsedbyUser) |
10 | 使用者並不常用瀏覽器。 | True, False |
|
瀏覽器在同儕間不常見使用 (瀏覽器UncommonlyUsedAmongPeers) |
30 | 該瀏覽器在使用者的同儕中並不常見。 | True, False |
|
首次在租戶中觀察到瀏覽器 (FirstTimeBrowserObservedInTenant) |
30 | 該瀏覽器首次在組織中被觀察到。 | True, False |
|
租戶中不常見的瀏覽器 (瀏覽器UncommonlyUsedInTenant) |
30 | 這個瀏覽器在組織中並不常見。 | True, False |
國家/地區連結來源
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
第一次從國家連線的用戶 (第一次使用者連接國家) |
90 | 使用者首次從 IP 位址解析出的地理位置。 | True, False |
|
國家不常見地由使用者連結 (國家 UncommonlyConnectedFromByUser) |
10 | 根據 IP 位址解析的地理位置,使用者通常不會從那裡連接。 | True, False |
|
國家與同儕之間罕見地連結 (國家 UncommonlyConnectedFromAmong同儕) |
90 | 根據 IP 位址解析的地理位置,通常不會從使用者的同儕間連線。 | True, False |
|
首次與租戶國家的連結 (第一次連線 來自國家 觀察到的租客) |
90 | 該國家/地區是組織中首次有人與之連結。 | True, False |
|
國家與租戶之間罕見地連結 (國家 UncommonlyConnectedFromInTenant) |
90 | 根據 IP 位址解析的地理位置,通常不會從組織內部連線。 | True, False |
連接裝置
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
首次使用者從裝置連線 (第一次使用者連接裝置) |
30 | 使用者首次從來源裝置連接。 | True, False |
|
使用者不常用的裝置 (裝置使用者不常見使用) |
10 | 使用者並不常用這個裝置。 | True, False |
|
裝置在同儕間不常見使用 (裝置不常見的同儕) |
180 | 此裝置在使用者的同儕間並不常見。 | True, False |
|
首次在租戶中觀察到裝置 (FirstTimeDeviceObservedInTenant) |
30 | 該裝置首次在組織內被觀察到。 | True, False |
|
租戶中不常見的裝置 (裝置UncommonlyUsedInTenant) |
180 | 這種裝置在組織中並不常見。 | True, False |
其他與裝置相關的
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
首次使用者登入裝置 (FirstTimeUserLoggedOnToDevice) |
180 | 使用者首次連接目標裝置。 | True, False |
|
裝置家族在租戶中不常見使用 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 這個裝置系列在組織中並不常見。 | True, False |
過去連接的網際網路服務提供商
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
第一次透過 ISP 連線的用戶 (FirstTimeUserConnectedViaISP) |
30 | 使用者首次觀察到ISP。 | True, False |
|
使用者不常用的ISP (ISPUncommonlyUsedbyUser) |
10 | 使用者通常不會使用ISP。 | True, False |
|
ISP 在同儕間不常見使用 (ISPUncommonlyUsedAmongPeers) |
30 | ISP 在用戶的同儕間並不常用。 | True, False |
|
首次透過 ISP 在租戶連線 (FirstTimeConnectionViaISPInTenant) |
30 | 該ISP首次在組織中被觀察到。 | True, False |
|
ISP 在租戶中不常見使用 (ISPUncommonlyUsedInTenant) |
30 | ISP 在組織中並不常見。 | True, False |
存取資源
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
首次使用者存取資源 (FirstTimeUserAccessedResource) |
180 | 該資源是使用者首次存取的。 | True, False |
|
使用者不常存取的資源 (資源UncommonlyAccessedByUser) |
10 | 使用者通常不會存取該資源。 | True, False |
|
資源在同儕間不常見地被存取 (資源UncommonlyAccessedAmongPeers) |
180 | 該資源在使用者的同儕間並不常見。 | True, False |
|
首次在租戶中存取資源 (FirstTimeResourceAccessedInTenant) |
180 | 該資源首次被組織內任何人存取。 | True, False |
|
租戶中不常見存取的資源 (ResourceUncommonlyAccessedInTenant) |
180 | 該資源在組織中並不常見。 | True, False |
雜項
| 富集名稱 | 基線 是 (天) | 描述 | 範例值 |
|---|---|---|---|
|
上次使用者執行動作 (LastTimeUserPerformedAction) |
180 | 上次使用者也做了同樣的操作。 | <時間戳記> |
|
過去並未進行過類似的行動 (類似行動在過去) |
30 | 使用者在同一資源提供者中並未執行任何操作。 | True, False |
|
來源 IP 位置 (資料來源IPLocation) |
不適用 | 該國家/地區是從行動的來源 IP 解析出來的。 | [英格蘭薩里郡] |
|
罕見的高作業量 (罕見的高作業量) |
7 | 使用者在同一提供者內執行了一連串類似操作 | True, False |
|
Microsoft Entra 條件存取失敗數量異常頻繁 (異常數量的AADConditionalAccess失敗) |
5 | 有異常數量的使用者因條件存取而未能驗證 | True, False |
|
新增的裝置數量異常多 (新增的裝置數量異常) |
5 | 有使用者新增了異常數量的裝置。 | True, False |
|
異常數量的裝置被刪除 (異常數量的裝置被刪除) |
5 | 有位使用者刪除了異常數量的裝置。 | True, False |
|
新增的群組使用者數量異常 (異常新增的用戶數量) |
5 | 有使用者新增了異常數量的用戶到群組。 | True, False |
IdentityInfo 表格
啟用並設定 UEBA 後,Microsoft Sentinel工作空間會將Microsoft身份提供者的使用者資料同步至 Log Analytics 中的 IdentityInfo 表格,供 Microsoft Sentinel 使用。
這些身份提供者是以下之一或兩者,取決於你設定 UEBA 時選擇的哪一種:
- Microsoft Entra ID (雲端)
- Microsoft Active Directory (本地端,需要適用於身分識別的 Microsoft Defender) )
你可以在分析規則、搜尋查詢和工作簿中查詢 IdentityInfo 表格,強化分析以符合你的使用情境,並減少誤判。
雖然初步同步可能需要幾天時間,但一旦資料完全同步:
每14天,Microsoft Sentinel會重新同步你的整個Microsoft Entra ID (和內部部署的 Active Directory,如果適用) 以確保過時紀錄能完全更新。
除了這些定期的全面同步外,每當你在 Microsoft Entra ID 中對使用者設定檔、群組和內建角色做了變更時,受影響的使用者紀錄會在 15 到 30 分鐘內重新匯入並更新到 IdentityInfo 表格中。 這種攝取會按固定費率計費。 例如:
使用者屬性,如顯示名稱、職稱或電子郵件地址,皆被更改。 該使用者的新紀錄會被匯入 IdentityInfo 資料表,相關欄位也會更新。
A 群組有 100 名使用者。群組新增或移除 5 名使用者。 在這種情況下,這五個使用者紀錄會被重新輸入,並且它們的 GroupMembership 欄位會被更新。
A 組有 100 名用戶。 10 位使用者被加入 A 群組。此外,A1 和 A2 群組各有 10 位使用者,也被加入 A 群組。在此情況下,30 筆使用者紀錄會被重新匯入,並更新其 GroupMembership 欄位。 這是因為群體成員關係是傳遞性的,群體的變化會影響其所有子群。
B組 (,擁有50名使用者) 改名為Group BeGood。 在此情況下,會重新輸入 50 筆使用者紀錄,並更新其 GroupMembership 欄位。 如果該群組中有子群組,所有成員的紀錄也會相同。
IdentityInfo 表格中的預設保留時間為 30 天。
限制
AssignedRoles 欄位僅支援內建角色。
GroupMembership 欄位支援每位使用者最多列出 500 個群組,包含子群組。 如果使用者是超過 500 個群組的成員,只有前 500 個會與 IdentityInfo 資料表同步。 不過群組的評估順序沒有特定,因此每 14 天) 一次新的同步 (,可能會有不同的群組被更新到使用者紀錄中。
當使用者被刪除時,該使用者的紀錄不會立即從 IdentityInfo 資料表中被刪除。 原因是這個表格的其中一個目的是審核使用者紀錄的變更。 因此,我們希望這個資料表中有使用者被刪除的紀錄,這只有在 IdentityInfo 資料表中的使用者紀錄仍然存在時才會發生,即使實際使用者 (ID Entra) 已被刪除。
刪除的使用者可透過欄位中
deletedDateTime是否有值來識別。 所以如果你需要查詢顯示使用者清單,可以透過新增| where IsEmpty(deletedDateTime)資料來過濾已刪除的使用者。在使用者被刪除後的某個時間間隔內,該使用者的紀錄也會從 IdentityInfo 資料表中移除。
當群組被刪除,或成員超過100人的群組名稱被更改時,該群組的成員使用者紀錄不會更新。 如果其他變更導致其中一位使用者的紀錄被更新,更新後的群組資訊會在該時包含在內。
IdentityInfo 表格的其他版本
IdentityInfo 表格有多個版本:
本文討論的 Log Analytics 架構版本,服務於 Azure 入口網站中的 Microsoft Sentinel。 它只提供給啟用 UEBA 的客戶。
進階狩獵模式版本透過適用於身分識別的 Microsoft Defender服務Microsoft Defender入口。 Microsoft Defender 全面偵測回應用戶可使用,無論是否使用 Microsoft Sentinel,也能單獨在 Defender 入口網站中使用 Microsoft Sentinel 用戶。
不需要啟用 UEBA 才能存取這個表格。 然而,對於未啟用 UEBA 的客戶來說,包含 UEBA 資料的欄位不會顯示或可用。
欲了解更多資訊,請參閱 本表格進 階狩獵 版本的文件。
截至 2025 年 5 月,啟用 UEBA 的 Microsoft Defender 入口網站Microsoft Sentinel用戶開始使用新版本的 Advanced 狩獵版本。 此新版本包含 Log Analytics 版本的所有 UEBA 欄位,以及一些新增欄位,稱為 統一版本 或 統一 IdentityInfo 資料表。
未啟用 UEBA 或完全未啟用 Microsoft Sentinel 的 Defender 入口網站用戶,仍可繼續使用先前版本的 Advanced 狩獵版本,且不使用 UEBA 產生的欄位。
欲了解更多統一版本資訊,請參閱進階狩獵文件中的 IdentityInfo。
重要事項
當你轉換到 Defender 入口網站時,該IdentityInfo表格會變成原生的 Defender 表格,不支援桌級 RBAC (角色基礎存取控制) 。 如果您的組織使用資料表層級的 RBAC 來限制 Azure 入口網站中對IdentityInfo該資料表的存取,當您轉換到 Defender 入口後,這個存取控制將不再可用。
Schema
以下「Log Analytics 架構」分頁中的表格描述了 Azure 入口網站 Log Analytics 中 IdentityInfo 表格中包含的使用者身份資料。
如果你正在將 Microsoft Sentinel 導入 Defender 入口網站,請選擇「與統一架構比較」標籤,查看可能影響你威脅偵測規則與搜尋查詢的變更。
| 欄位名稱 | 類型 | 描述 |
|---|---|---|
| AccountCloudSID | 字串 | 帳號的 Microsoft Entra 安全識別碼。 |
| AccountCreationTime | datetime | 使用者帳號建立日期 (UTC) 。 |
| 帳號顯示名稱 | 字串 | 使用者帳號的顯示名稱。 |
| AccountDomain | 字串 | 使用者帳號的網域名稱。 |
| 帳號名稱 | 字串 | 使用者帳號的使用者名稱。 |
| AccountObjectId | 字串 | 使用者帳號的 Microsoft Entra 物件 ID。 |
| AccountSID | 字串 | 使用者帳號的本地安全識別碼。 |
| 帳號租戶ID | 字串 | 使用者帳號的 Microsoft Entra 租戶 ID。 |
| AccountUPN | 字串 | 使用者帳號的主體名稱。 |
| 附加郵箱 | 動態 | 使用者的額外電子郵件地址。 |
| 指定角色 | 動態 | 使用者帳號所指派的 Microsoft Entra 角色。 只支援內建角色。 |
| 爆炸半徑 | 字串 | 這是基於使用者在組織樹中的位置以及使用者在 Microsoft Entra 中的角色與權限所做的計算。 可能數值: 低、中、高 |
| ChangeSource | 字串 | 這是實體最新變化的來源。 可能的數值: |
| City | 字串 | 使用者帳號所在的城市。 |
| CompanyName | 字串 | 使用者所屬的公司名稱。 |
| 國家/地區 | 字串 | 使用者帳號的國家/地區。 |
| 刪除日期時間 | datetime | 使用者被刪除的日期和時間。 |
| 部門 | 字串 | 使用者帳號的部門。 |
| 員工識別碼 | 字串 | 由組織指派給使用者的員工識別碼。 |
| 名義 | 字串 | 使用者帳號的名稱。 |
| 團體會員資格 | 動態 | Microsoft Entra ID 群組,使用者帳號是成員。 |
| IsAccountEnabled | bool | 提示使用者帳號是否在 Microsoft Entra ID 中啟用。 |
| JobTitle | 字串 | 使用者帳號的職稱。 |
| 電子郵件地址 | 字串 | 使用者帳號的主要電子郵件地址。 |
| Manager | 字串 | 使用者帳號的管理員別名。 |
| 現場識別名稱 | 字串 | Microsoft Entra ID個著名名稱 (DN) 。 尊貴名稱是一連串 (RDN) 相關的尊貴名稱,並以逗號相連。 |
| 電話 | 字串 | 使用者帳號的電話號碼。 |
| 風險等級 | 字串 | 使用者帳號的 Microsoft Entra ID 風險等級。 可能的數值: |
| 風險等級詳細資料 | 字串 | 關於 Microsoft Entra ID 風險等級的詳細資訊。 |
| 風險州 | 字串 | 提示該帳戶現在是否處於風險中,或風險已被修復。 |
| 原始碼系統 | 字串 | 使用者被管理的系統。 可能的數值: |
| State | 字串 | 使用者帳號的地理狀態。 |
| StreetAddress | 字串 | 使用者帳號的辦公街道地址。 |
| 姓氏 | 字串 | 使用者的姓氏。 帳號。 |
| 租戶識別 | 字串 | 使用者的租戶 ID。 |
| 時間生成 | datetime | 事件產生的時間 (UTC) 。 |
| Type | 字串 | 表格的名稱。 |
| 使用者帳號控制 | 動態 | 使用者帳號在 AD 網域中的安全屬性。 可能的值 (可能包含多個) : |
| 使用者狀態 | 字串 | Microsoft Entra ID 中使用者帳號的當前狀態。 可能的數值: |
| 使用者狀態改變 | datetime | 帳戶狀態最後一次更改的日期 (UTC) 。 |
| UserType | 字串 | 使用者類型。 |
以下欄位雖然存在於 Log Analytics 架構中,但應忽略,因為它們未被 Microsoft Sentinel 使用或支援:
- 應用程式
- EntityRiskScore
- 擴展性質
- 調查優先
- 調查優先百分位
- IsMFARegistered
- IsServiceAccount
- 最後見面日期
- OnPremisesExtensionAttributes
- 相關帳號
- 服務主要負責人
- 標記
- UACFlags