Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Denne artikkelen viser inndatadatakildene for bruker- og enhetsatferdsanalysetjenesten i Microsoft Sentinel. Den beskriver også berikelsene som UEBA legger til i enheter, noe som gir nødvendig kontekst til varsler og hendelser.
Viktig
Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.
Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.
UEBA-datakilder
Dette er datakildene som UEBA-motoren samler inn og analyserer data fra for å lære opp ML-modellene og angi atferdsmessige grunnlinjer for brukere, enheter og andre enheter. UEBA ser deretter på data fra disse kildene for å finne avvik og få innsikt.
| Datakilde | Kontakt | Log Analytics-tabell | Analyserte hendelseskategorier |
|---|---|---|---|
| Påloggingslogger for AAD-administrert identitet (forhåndsvisning) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alle påloggingshendelser for administrert identitet |
| Påloggingslogger for AAD-tjenestekontohaver (forhåndsversjon) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alle påloggingshendelser for tjenestekontohaver |
| Overvåkingslogger | Microsoft Entra ID | Overvåkingslogger | ApplicationManagement DirectoryManagement GroupManagement Enhet RoleManagement UserManagementCategory |
| AWS CloudTrail (forhåndsversjon) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Påloggingshendelser for konsollen. Identifisert av EventName = "ConsoleLogin" og EventSource = "signin.amazonaws.com". Hendelser må ha en gyldig UserIdentityPrincipalId. |
| Azure aktivitet | Azure aktivitet | AzureActivity | Authorization AzureActiveDirectory Fakturering Beregne Forbruk KeyVault Enheter Nettverk Ressurser Intune Logikk Sql Lagring |
| Påloggingshendelser for enhet (forhåndsvisning) | Microsoft Defender XDR | DeviceLogonEvents | Alle påloggingshendelser for enheter |
| GCP-overvåkingslogger (forhåndsversjon) | GCP Pub/Sub Audit Logs | GCPAuditLogs |
apigee.googleapis.com- API Management Platformiam.googleapis.com – IAM-tjeneste (Identity and Access Management)iamcredentials.googleapis.com – API for legitimasjon for IAM-tjenestekontocloudresourcemanager.googleapis.com– Skybasert Resource Manager-APIcompute.googleapis.com - API for databehandlingsmotorstorage.googleapis.com – API for skylagringcontainer.googleapis.com - Kubernetes-motor-APIk8s.io - Kubernetes APIcloudsql.googleapis.com – Sql-API i skyenbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com – API for BigQuery-dataoverføringstjenestecloudfunctions.googleapis.com – Cloud Functions APIappengine.googleapis.com – Appmotor-APIdns.googleapis.com – Dns-API i skyenbigquerydatapolicy.googleapis.com – API for BigQuery-datapolicyfirestore.googleapis.com - Firestore APIdataproc.googleapis.com – Dataproc-APIosconfig.googleapis.com - API for OS-konfigurasjoncloudkms.googleapis.com – Skybasert KMS-APIsecretmanager.googleapis.com - Secret Manager APIHendelser må ha en gyldig: - PrincipalEmail – Bruker- eller tjenestekontoen som kalles API-en- MethodName – Den spesifikke Google API-metoden kalles- Hovedpost, i user@domain.com format. |
| Okta CL (forhåndsvisning) | Okta Enkel Sign-On (ved hjelp av Azure Functions) | Okta_CL | Godkjenning, godkjenning med flere faktorer (MFA) og økthendelser, inkludert:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startHendelser må ha en gyldig bruker-ID ( actor_id_s). |
| Sikkerhetshendelser |
Windows Sikkerhet-hendelser via AMA Windows Videresendte hendelser |
WindowsEvent SecurityEvent |
4624: En konto ble logget på 4625: En konto kan ikke logge på 4648: En pålogging ble forsøkt ved hjelp av eksplisitt legitimasjon 4672: Spesielle rettigheter tilordnet til ny pålogging 4688: En ny prosess er opprettet |
| Påloggingslogger | Microsoft Entra ID | SigninLogs | Alle påloggingshendelser |
UEBA-berikelser
Denne delen beskriver berikelsene UEBA legger til i Microsoft Sentinel enheter, som du kan bruke til å fokusere og gjøre undersøkelser av sikkerhetshendelser skarpere. Disse berikelsene vises på enhetssider og finnes i følgende Log Analytics-tabeller, hvor innholdet og skjemaet er oppført nedenfor:
BehaviorAnalytics-tabellen er der UEBAs utdatainformasjon lagres.
De følgende tre dynamiske feltene fra Tabellen BehaviorAnalytics er beskrevet i delen dynamiske felt for enhetsberikelser nedenfor.
Feltene UsersInsights og DevicesInsights inneholder enhetsinformasjon fra Active Directory-/Microsoft Entra ID- og Microsoft Threat Intelligence-kilder.
ActivityInsights-feltet inneholder enhetsinformasjon basert på atferdsprofilene som er bygget av Microsoft Sentinel enhetsatferdsanalyse.
Brukeraktiviteter analyseres mot en opprinnelig plan som kompileres dynamisk hver gang den brukes. Hver aktivitet har sin egen definerte tilbakeslagsperiode som den dynamiske grunnlinjen er avledet fra. Tilbakeslagsperioden er angitt i Kolonnen Opprinnelig plan i denne tabellen.
IdentityInfo-tabellen er der identitetsinformasjon som synkroniseres til UEBA fra Microsoft Entra ID (og fra lokal Active Directory via Microsoft Defender for identitet) lagres.
BehaviorAnalytics-tabell
Tabellen nedenfor beskriver virkemåteanalysedataene som vises på hver enhetsdetaljside i Microsoft Sentinel.
| Felt | Type: | Beskrivelse |
|---|---|---|
| TenantId | Streng | Det unike ID-nummeret til leieren. |
| SourceRecordId | Streng | Det unike ID-nummeret for EBA-hendelsen. |
| TimeGenerated | Datetime | Tidsstempelet for aktivitetens forekomst. |
| TimeProcessed | Datetime | Tidsstempelet for aktivitetens behandling av EBA-motoren. |
| ActivityType | Streng | Kategorien på høyt nivå for aktiviteten. |
| ActionType | Streng | Det normaliserte navnet på aktiviteten. |
| Brukernavn | Streng | Brukernavnet til brukeren som startet aktiviteten. |
| UserPrincipalName | Streng | Det fullstendige brukernavnet til brukeren som startet aktiviteten. |
| EventSource | Streng | Datakilden som leverte den opprinnelige hendelsen. |
| SourceIPAddress | Streng | IP-adressen som aktiviteten ble startet fra. |
| SourceIPLocation | Streng | Landet/området som aktiviteten ble startet fra, beriket fra IP-adressen. |
| SourceDevice | Streng | Vertsnavnet til enheten som startet aktiviteten. |
| DestinationIPAddress | Streng | IP-adressen til målet for aktiviteten. |
| DestinationIPLocation | Streng | Landet/området for målet for aktiviteten, beriket fra IP-adressen. |
| DestinationDevice | Streng | Navnet på målenheten. |
| UsersInsights | Dynamisk | De kontekstavhengige berikelsene til involverte brukere (detaljer nedenfor). |
| DevicesInsights | Dynamisk | De kontekstavhengige berikelsene av involverte enheter (detaljer nedenfor). |
| ActivityInsights | Dynamisk | Den kontekstavhengige analysen av aktiviteten basert på profileringen vår (detaljer nedenfor). |
| InvestigationPriority | Int | Avvikspoengsummen, mellom 0-10 (0=godartet, 10=svært uregelmessig). Denne poengsummen kvantifiserer avviksgraden fra den forventede virkemåten. Høyere poengsummer indikerer større avvik fra grunnlinjen og er mer sannsynlig å indikere sanne avvik. Lavere poengsummer kan fortsatt være uregelmessige, men er mindre sannsynlig å være betydelige eller gjennomførbare. |
Dynamiske felt for enhetsberikelser
Obs!
Kolonnen For berikelsesnavn i tabellene i denne delen viser to rader med informasjon.
- Den første, i fet skrift, er det "vennlige navnet" på berikelsen.
- Den andre (i kursiv og parentes) er feltnavnet for berikelsen slik den er lagret i tabellen Behavior Analytics.
UsersInsights-feltet
Tabellen nedenfor beskriver berikelsene som er utvalgt i det dynamiske feltet UsersInsights i Tabellen BehaviorAnalytics:
| Berikelsesnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
|
Visningsnavn for konto (AccountDisplayName) |
Brukerens visningsnavn for kontoen. | Admin, Hayden Cook |
|
Kontodomene (AccountDomain) |
Brukerens kontodomenenavn. | |
|
Objekt-ID for konto (AccountObjectID) |
Brukerens kontoobjekt-ID. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Eksplosjonsradius (BlastRadius) |
Eksplosjonsradiusen beregnes basert på flere faktorer: posisjonen til brukeren i organisasjonstreet, og brukerens Microsoft Entra roller og tillatelser. Brukeren må ha manageregenskapen fylt ut i Microsoft Entra ID for at BlastRadius skal beregnes. | Lav, middels, høy |
|
Er sovende konto (IsDormantAccount) |
Kontoen har ikke blitt brukt de siste 180 dagene. | Sann, usann |
|
Er lokal administrator (IsLocalAdmin) |
Kontoen har lokale administratorrettigheter. | Sann, usann |
|
Er ny konto (IsNewAccount) |
Kontoen ble opprettet i løpet av de siste 30 dagene. | Sann, usann |
|
Lokal SID (OnPremisesSID) |
Den lokale SID-en til brukeren som er relatert til handlingen. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights-feltet
Tabellen nedenfor beskriver berikelsene som er utvalgt i det dynamiske feltet DevicesInsights i Tabellen BehaviorAnalytics:
| Berikelsesnavn | Beskrivelse | Eksempelverdi |
|---|---|---|
|
Nettleser (Nettleser) |
Nettleseren som brukes i handlingen. | Microsoft Edge, Chrome |
|
Enhetsfamilie (DeviceFamily) |
Enhetsfamilien som brukes i handlingen. | Windows |
|
Enhetstype (DeviceType) |
Klientenhetstypen som brukes i handlingen | Desktop |
|
ISP (ISP) |
Internett-leverandøren som brukes i handlingen. | |
|
Operativsystem (OperatingSystem) |
Operativsystemet som brukes i handlingen. | Windows 10 |
|
Beskrivelse av indikator for trusselintellise (ThreatIntelIndicatorDescription) |
Beskrivelse av den observerte trusselindikatoren løst fra IP-adressen som brukes i handlingen. | Verten er medlem av botnet: azorult |
|
Indikatortype for trusselintelliser (ThreatIntelIndicatorType) |
Typen trusselindikator som er løst fra IP-adressen som brukes i handlingen. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Brukeragent (UserAgent) |
Brukeragenten som brukes i handlingen. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Brukeragentfamilie (UserAgentFamily) |
Brukeragentfamilien som brukes i handlingen. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-feltet
Tabellene nedenfor beskriver berikelsene som er utvalgt i det dynamiske Feltet ActivityInsights i Tabellen BehaviorAnalytics:
Handling utført
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren utførte handlingen (FirstTimeUserPerformedAction) |
180 | Handlingen ble utført for første gang av brukeren. | Sann, usann |
|
Handling som er uvanlig utført av brukeren (ActionUncommonlyPerformedByUser) |
10 | Handlingen utføres vanligvis ikke av brukeren. | Sann, usann |
|
Handling uvanlig utført blant jevnaldrende (ActionUncommonlyPerformedAmongPeers) |
180 | Handlingen utføres vanligvis ikke blant brukerens kolleger. | Sann, usann |
|
Første gang handling utføres i leieren (FirstTimeActionPerformedInTenant) |
180 | Handlingen ble utført for første gang av noen i organisasjonen. | Sann, usann |
|
Handling som er uvanlig utført i tenant (ActionUncommonlyPerformedInTenant) |
180 | Handlingen utføres vanligvis ikke i organisasjonen. | Sann, usann |
Appen er brukt
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukerbrukerapp (FirstTimeUserUsedApp) |
180 | Appen ble brukt for første gang av brukeren. | Sann, usann |
|
Appen brukes uvanlig av bruker (AppUncommonlyUsedByUser) |
10 | Appen brukes vanligvis ikke av brukeren. | Sann, usann |
|
App uvanlig brukt blant jevnaldrende (AppUncommonlyUsedAmongPeers) |
180 | Appen brukes vanligvis ikke blant brukerens kolleger. | Sann, usann |
|
Første gang appen ble observert i tenanten (FirstTimeAppObservedInTenant) |
180 | Appen ble observert for første gang i organisasjonen. | Sann, usann |
|
Appen brukes uvanlig i leieren (AppUncommonlyUsedInTenant) |
180 | Appen brukes vanligvis ikke i organisasjonen. | Sann, usann |
Nettleser brukt
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren er tilkoblet via nettleseren (FirstTimeUserConnectedViaBrowser) |
30 | Nettleseren ble observert for første gang av brukeren. | Sann, usann |
|
Nettleseren brukes uvanlig av bruker (BrowserUncommonlyUsedByUser) |
10 | Nettleseren brukes vanligvis ikke av brukeren. | Sann, usann |
|
Nettleseren brukes uvanlig blant noder (BrowserUncommonlyUsedAmongPeers) |
30 | Nettleseren brukes vanligvis ikke blant brukerens kolleger. | Sann, usann |
|
Første gang nettleser observert i leieren (FirstTimeBrowserObservedInTenant) |
30 | Nettleseren ble observert for første gang i organisasjonen. | Sann, usann |
|
Nettleser som er uvanlig brukt i tenant (BrowserUncommonlyUsedInTenant) |
30 | Nettleseren brukes vanligvis ikke i organisasjonen. | Sann, usann |
Land/område tilkoblet fra
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren er tilkoblet fra landet (FirstTimeUserConnectedFromCountry) |
90 | Den geografiske plasseringen, som løst fra IP-adressen, ble koblet fra for første gang av brukeren. | Sann, usann |
|
Land som er uvanlig koblet fra av bruker (CountryUncommonlyConnectedFromByUser) |
10 | Den geografiske plasseringen, som løst fra IP-adressen, er vanligvis ikke koblet fra av brukeren. | Sann, usann |
|
Land uvanlig tilkoblet blant jevnaldrende (CountryUncommonlyConnectedFromAmongPeers) |
90 | Den geografiske plasseringen, som løst fra IP-adressen, er vanligvis ikke koblet mellom brukerens kolleger. | Sann, usann |
|
Første gangs tilkobling fra land observert i tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Landet/området ble koblet fra for første gang av noen i organisasjonen. | Sann, usann |
|
Land som er uvanlig tilkoblet fra leieren (CountryUncommonlyConnectedFromInTenant) |
90 | Den geografiske plasseringen, som løst fra IP-adressen, er vanligvis ikke koblet fra organisasjonen. | Sann, usann |
Enhet som brukes til å koble til
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren er koblet til fra enheten (FirstTimeUserConnectedFromDevice) |
30 | Kildeenheten ble koblet fra for første gang av brukeren. | Sann, usann |
|
Enhet uvanlig brukt av bruker (DeviceUncommonlyUsedByUser) |
10 | Enheten brukes vanligvis ikke av brukeren. | Sann, usann |
|
Enhet uvanlig brukt blant jevnaldrende (DeviceUncommonlyUsedAmongPeers) |
180 | Enheten brukes vanligvis ikke blant brukerens kolleger. | Sann, usann |
|
Første gang enheten ble observert i leieren (FirstTimeDeviceObservedInTenant) |
30 | Enheten ble observert for første gang i organisasjonen. | Sann, usann |
|
Enhet som er uvanlig brukt i tenant (DeviceUncommonlyUsedInTenant) |
180 | Enheten brukes vanligvis ikke i organisasjonen. | Sann, usann |
Annen enhetsrelatert
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren logget på enheten (FirstTimeUserLoggedOnToDevice) |
180 | Målenheten ble koblet til for første gang av brukeren. | Sann, usann |
|
Enhetsfamilien brukes uvanlig i leieren (DeviceFamilyUncommonlyUsedInTenant) |
30 | Enhetsfamilien brukes vanligvis ikke i organisasjonen. | Sann, usann |
Internett-leverandør som brukes til å koble til
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang brukeren er tilkoblet via Internett-leverandøren (FirstTimeUserConnectedViaISP) |
30 | Isp ble observert for første gang av brukeren. | Sann, usann |
|
ISP brukes uvanlig av bruker (ISPUncommonlyUsedByUser) |
10 | Isp brukes vanligvis ikke av brukeren. | Sann, usann |
|
ISP brukes uvanlig blant jevnaldrende (ISPUncommonlyUsedAmongPeers) |
30 | Isp brukes vanligvis ikke blant brukerens kolleger. | Sann, usann |
|
Første gangs tilkobling via Internett-leverandøren i leieren (FirstTimeConnectionViaISPInTenant) |
30 | Isp ble observert for første gang i organisasjonen. | Sann, usann |
|
ISP brukes uvanlig i leieren (ISPUncommonlyUsedInTenant) |
30 | Isp brukes vanligvis ikke i organisasjonen. | Sann, usann |
Ressurs åpnet
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Første gang bruker åpnet ressursen (FirstTimeUserAccessedResource) |
180 | Brukeren fikk tilgang til ressursen for første gang. | Sann, usann |
|
Bruker får uvanlig tilgang til ressurs (ResourceUncommonlyAccessedByUser) |
10 | Brukeren får ikke ofte tilgang til ressursen. | Sann, usann |
|
Ressurs som er uvanlig tilgjengelig blant noder (ResourceUncommonlyAccessedAmongPeers) |
180 | Ressursen er ofte ikke tilgjengelig blant brukerens kolleger. | Sann, usann |
|
Første gang ressurs åpnet i tenant (FirstTimeResourceAccessedInTenant) |
180 | Ressursen ble åpnet for første gang av noen i organisasjonen. | Sann, usann |
|
Ressurs som er uvanlig tilgjengelig i leieren (ResourceUncommonlyAccessedInTenant) |
180 | Ressursen er ofte ikke tilgjengelig i organisasjonen. | Sann, usann |
Diverse
| Berikelsesnavn | Opprinnelig plan (dager) | Beskrivelse | Eksempelverdi |
|---|---|---|---|
|
Siste gang brukeren utførte handlingen (LastTimeUserPerformedAction) |
180 | Sist gang brukeren utførte den samme handlingen. | <Tidsstempel> |
|
Lignende handling ble ikke utført tidligere (SimilarActionWasn'tPerformedInThePast) |
30 | Ingen handling i samme ressursleverandør ble utført av brukeren. | Sann, usann |
|
Ip-plassering for kilde (SourceIPLocation) |
N/A | Landet/området som er løst fra kilde-IP-en for handlingen. | [Surrey, England] |
|
Uvanlig høyt volum av operasjoner (UncommonHighVolumeOfOperations) |
7 | En bruker utførte et utbrudd av lignende operasjoner i samme leverandør | Sann, usann |
|
Uvanlig antall mislykkede Microsoft Entra betinget tilgang (UnusualNumberOfAADConditionalAccessFailures) |
5 | Et uvanlig antall brukere kan ikke godkjennes på grunn av betinget tilgang | Sann, usann |
|
Uvanlig antall enheter som er lagt til (UnusualNumberOfDevicesAdded) |
5 | En bruker har lagt til et uvanlig antall enheter. | Sann, usann |
|
Uvanlig antall enheter slettet (UnusualNumberOfDevicesDeleted) |
5 | En bruker slettet et uvanlig antall enheter. | Sann, usann |
|
Uvanlig antall brukere som er lagt til i gruppen (UnusualNumberOfUsersAddedToGroup) |
5 | En bruker har lagt til et uvanlig antall brukere i en gruppe. | Sann, usann |
IdentityInfo-tabell
Når du har aktivert og konfigurert UEBA for Microsoft Sentinel arbeidsområdet, synkroniseres brukerdata fra Microsofts identitetsleverandører til IdentityInfo-tabellen i Log Analytics for bruk i Microsoft Sentinel.
Disse identitetsleverandørene er enten eller begge av følgende, avhengig av hvilken du valgte da du konfigurerte UEBA:
- Microsoft Entra ID (skybasert)
- Microsoft Active Directory (lokalt krever Microsoft Defender for identitet))
Du kan spørre IdentityInfo-tabellen i analyseregler, jakte spørringer og arbeidsbøker, forbedre analysene slik at de passer til brukstilfellene og redusere falske positiver.
Selv om den første synkroniseringen kan ta noen dager, synkroniseres dataene fullstendig:
Hver 14. dag Microsoft Sentinel synkroniseres på nytt med hele Microsoft Entra ID (og lokal Active Directory, hvis aktuelt) for å sikre at foreldede poster oppdateres fullstendig.
I tillegg til disse vanlige fullstendige synkroniseringene, blir de berørte brukerpostene gjeninntatt og oppdatert i IdentityInfo-tabellen innen 15–30 minutter når det gjøres endringer i brukerprofiler, grupper og innebygde roller i Microsoft Entra ID. Denne inntak faktureres til vanlige priser. Eksempel:
Et brukerattributt, for eksempel visningsnavn, stilling eller e-postadresse, ble endret. En ny post for denne brukeren blir inntatt i IdentityInfo-tabellen , med de relevante feltene oppdatert.
Gruppe A har 100 brukere. Fem brukere legges til i gruppen eller fjernes fra gruppen. I dette tilfellet blir disse fem brukerpostene inntatt på nytt, og gruppemedlemsfeltene deres oppdateres .
Gruppe A har 100 brukere. Ti brukere legges til i gruppe A. Grupper A1 og A2, hver med 10 brukere, legges også til gruppe A. I dette tilfellet blir 30 brukerposter inntatt på nytt og groupmembership-feltene oppdatert. Dette skjer fordi gruppemedlemskap er transitivt, slik at endringer i grupper påvirker alle undergruppene.
Gruppe B (med 50 brukere) har fått nytt navn til Gruppe BeGood. I dette tilfellet blir 50 brukerposter inntatt på nytt og gruppemedlemsfeltene oppdatert. Hvis det finnes undergrupper i gruppen, skjer det samme for alle medlemmenes poster.
Standard oppbevaringstid i IdentityInfo-tabellen er 30 dager.
Begrensninger
AssignedRoles-feltet støtter bare innebygde roller.
GroupMembership-feltet støtter oppføring av opptil 500 grupper per bruker, inkludert undergrupper. Hvis en bruker er medlem av mer enn 500 grupper, synkroniseres bare de første 500 med IdentityInfo-tabellen . Gruppene evalueres imidlertid ikke i en bestemt rekkefølge, så ved hver nye synkronisering (hver 14. dag) er det mulig at et annet sett med grupper oppdateres til brukerposten.
Når en bruker slettes, slettes ikke denne brukerens post umiddelbart fra IdentityInfo-tabellen . Årsaken til dette er at et av formålet med denne tabellen er å overvåke endringer i brukerposter. Derfor vil vi at denne tabellen skal ha en post over en bruker som slettes, noe som bare kan skje hvis brukerposten i IdentityInfo-tabellen fremdeles finnes, selv om den faktiske brukeren (for eksempel i Entra-ID) slettes.
Slettede brukere kan identifiseres ved tilstedeværelsen av en verdi i feltet
deletedDateTime. Så hvis du trenger en spørring for å vise deg en liste over brukere, kan du filtrere ut slettede brukere ved å legge| where IsEmpty(deletedDateTime)til spørringen.Ved et bestemt tidsintervall etter at en bruker ble slettet, blir brukerens post etter hvert også fjernet fra IdentityInfo-tabellen .
Når en gruppe slettes, eller hvis en gruppe med mer enn 100 medlemmer har endret navn, oppdateres ikke gruppens medlemsbrukeroppføringer. Hvis en annen endring fører til at en av disse brukernes poster oppdateres, inkluderes den oppdaterte gruppeinformasjonen på dette tidspunktet.
Andre versjoner av IdentityInfo-tabellen
Det finnes flere versjoner av IdentityInfo-tabellen :
Log Analytics-skjemaversjonen, som beskrives i denne artikkelen, fungerer Microsoft Sentinel i Azure Portal. Den er tilgjengelig for de kundene som aktiverte UEBA.
Skjemaversjonen avansert jakt betjener Microsoft Defender-portalen via Microsoft Defender for identitet. Den er tilgjengelig for kunder av Microsoft Defender XDR, med eller uten Microsoft Sentinel, og for kunder av Microsoft Sentinel alene i Defender-portalen.
UEBA trenger ikke å være aktivert for å få tilgang til denne tabellen. Men for kunder uten UEBA aktivert, er feltene som fylles ut av UEBA-data, ikke synlige eller tilgjengelige.
Hvis du vil ha mer informasjon, kan du se dokumentasjonen for Avansert jakt-versjonen av denne tabellen.
Fra og med mai 2025 begynner kunder av Microsoft Sentinel i Microsoft Defender-portalenmed UEBA aktivert å bruke en ny utgivelse av avansert jaktversjon. Denne nye versjonen inkluderer alle UEBA-feltene fra Log Analytics-versjonen samt noen nye felt, og kalles den enhetlige versjonen eller den enhetlige IdentityInfo-tabellen.
Defender Portal-kunder uten UEBA aktivert, eller uten Microsoft Sentinel i det hele tatt, fortsetter å bruke den tidligere utgivelsen av avansert jaktversjon, uten UEBA-genererte felt.
Hvis du vil ha mer informasjon om den enhetlige versjonen, kan du se IdentityInfo i dokumentasjonen for avansert jakt.
Viktig
Når du går over til Defender-portalenIdentityInfo, blir tabellen en opprinnelig Defender-tabell som ikke støtter RBAC på tabellnivå (rollebasert Access Control). Hvis organisasjonen bruker RBAC på tabellnivå til å begrense tilgangen IdentityInfo til tabellen i Azure Portal, vil ikke denne tilgangskontrollen lenger være tilgjengelig etter overgangen til Defender-portalen.
Skjemaet
Tabellen i følgende «Log Analytics schema»-fane beskriver brukeridentitetsdataene som er inkludert i IdentityInfo-tabellen i Log Analytics i Azure Portal.
Hvis du er pålasting Microsoft Sentinel til Defender-portalen, velger du fanen Sammenlign med enhetlig skjema for å vise endringene som potensielt kan påvirke spørringene i regler og jakter på trusler.
| Feltnavn | Type: | Beskrivelse |
|---|---|---|
| AccountCloudSID | Streng | Den Microsoft Entra sikkerhetsidentifikatoren for kontoen. |
| AccountCreationTime | Datetime | Datoen brukerkontoen ble opprettet (UTC). |
| AccountDisplayName | Streng | Visningsnavnet for brukerkontoen. |
| AccountDomain | Streng | Domenenavnet til brukerkontoen. |
| Kontonavn | Streng | Brukernavnet til brukerkontoen. |
| AccountObjectId | Streng | Objekt-ID-en for Microsoft Entra for brukerkontoen. |
| AccountSID | Streng | Den lokale sikkerhetsidentifikatoren for brukerkontoen. |
| AccountTenantId | Streng | Den Microsoft Entra leier-ID-en for brukerkontoen. |
| AccountUPN | Streng | Brukerhovednavn for brukerkontoen. |
| AdditionalMailAddresses | Dynamisk | Brukerens ekstra e-postadresser. |
| Tilordnederoles | Dynamisk | De Microsoft Entra rollene brukerkontoen er tilordnet til. Bare innebygde roller støttes. |
| BlastRadius | Streng | En beregning basert på brukerens posisjon i organisasjonstreet og brukerens Microsoft Entra roller og tillatelser. Mulige verdier: Lav, Middels, Høy |
| ChangeSource | Streng | Kilden til den siste endringen i enheten. Mulige verdier: |
| By | Streng | Poststed for brukerkontoen. |
| Firmanavn | Streng | Firmanavnet brukeren tilhører. |
| Land | Streng | Landet/området for brukerkontoen. |
| DeletedDateTime | Datetime | Datoen og klokkeslettet brukeren ble slettet. |
| Avdeling | Streng | Avdelingen for brukerkontoen. |
| Ansattid | Streng | Den ansattes identifikator tilordnet brukeren av organisasjonen. |
| GivenName | Streng | Det angitte navnet på brukerkontoen. |
| GroupMembership | Dynamisk | Microsoft Entra ID grupper der brukerkontoen er medlem. |
| IsAccountEnabled | Bool | En indikasjon på om brukerkontoen er aktivert i Microsoft Entra ID eller ikke. |
| JobTitle | Streng | Stillingstittelen for brukerkontoen. |
| Postadresse | Streng | Den primære e-postadressen til brukerkontoen. |
| Manager | Streng | Lederaliaset for brukerkontoen. |
| OnPremisesDistinguishedName | Streng | Det Microsoft Entra ID unike navnet (DN). Et unikt navn er en sekvens med relative unike navn (RDN), som er koblet til med komma. |
| Phone | Streng | Telefonnummeret til brukerkontoen. |
| RiskLevel | Streng | Det Microsoft Entra ID risikonivået for brukerkontoen. Mulige verdier: |
| RiskLevelDetails | Streng | Detaljer om Microsoft Entra ID risikonivå. |
| RiskState | Streng | Indikasjon på om kontoen er i fare nå, eller om risikoen ble utbedret. |
| SourceSystem | Streng | Systemet der brukeren administreres. Mulige verdier: |
| Tilstand | Streng | Den geografiske tilstanden til brukerkontoen. |
| StreetAddress | Streng | Gateadressen til office for brukerkontoen. |
| Etternavn | Streng | Etternavnet til brukeren. Konto. |
| TenantId | Streng | Brukerens leier-ID. |
| TimeGenerated | Datetime | Tidspunktet da hendelsen ble generert (UTC). |
| Type | Streng | Navnet på tabellen. |
| Useraccountcontrol | Dynamisk | Sikkerhetsattributter for brukerkontoen i AD-domenet. Mulige verdier (kan inneholde mer enn én): |
| UserState | Streng | Gjeldende status for brukerkontoen i Microsoft Entra ID. Mulige verdier: |
| UserStateChangedOn | Datetime | Datoen for siste gang kontotilstanden ble endret (UTC). |
| UserType | Streng | Brukertypen. |
Følgende felt, mens de finnes i Log Analytics-skjemaet, bør ignoreres fordi de ikke brukes eller støttes av Microsoft Sentinel:
- Applikasjoner
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags