Bemærk
Adgang til denne side kræver godkendelse. Du kan prøve at logge på eller ændre mapper.
Adgang til denne side kræver godkendelse. Du kan prøve at ændre mapper.
I denne artikel vises inputdatakilderne for tjenesten User and Entity Behavior Analytics i Microsoft Sentinel. Den beskriver også de berigelser, som UEBA føjer til enheder, hvilket giver den nødvendige kontekst til beskeder og hændelser.
Vigtigt!
Efter den 31. marts 2027 understøttes Microsoft Sentinel ikke længere i Azure Portal og er kun tilgængelig på Microsoft Defender-portalen. Alle kunder, der bruger Microsoft Sentinel i Azure Portal, omdirigeres til Defender-portalen og bruger kun Microsoft Sentinel på Defender-portalen.
Hvis du stadig bruger Microsoft Sentinel i Azure Portal, anbefaler vi, at du begynder at planlægge overgangen til Defender-portalen for at sikre en problemfri overgang og drage fuld fordel af den samlede oplevelse med sikkerhedshandlinger, der tilbydes af Microsoft Defender.
UEBA-datakilder
Dette er de datakilder, som UEBA-programmet indsamler og analyserer data fra for at oplære sine ML-modeller og angive grundlæggende funktionsmåder for brugere, enheder og andre enheder. UEBA kigger derefter på data fra disse kilder for at finde uregelmæssigheder og få indsigt.
| Datakilde | Stik | Log Analytics-tabel | Analyserede hændelseskategorier |
|---|---|---|---|
| AAD-administrerede logge for identitetslogge (prøveversion) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alle administrerede identitetslogonhændelser |
| Logonlogge for AAD-tjenesteprincipal (prøveversion) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alle logonhændelser for tjenesteprincipal |
| Overvågningslogge | Microsoft Entra ID | Overvågningslogs | ApplicationManagement DirectoryManagement GroupManagement Enhed Rolleadministration UserManagementCategory |
| AWS CloudTrail (prøveversion) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsollogonhændelser. Identificeret af EventName = "ConsoleLogin" og EventSource = "signin.amazonaws.com". Hændelser skal have en gyldig UserIdentityPrincipalId. |
| Azure aktivitet | Azure aktivitet | AzureActivity | Tilladelse AzureActiveDirectory Fakturering Beregning Forbrug KeyVault Enheder Netværk Ressourcer Intune Logik Sql Lager |
| Enhedslogonhændelser (prøveversion) | Microsoft Defender XDR | DeviceLogonEvents | Alle logonhændelser for enheden |
| GCP-overvågningslogge (prøveversion) | GCP Pub/Sub Audit Logs | GCPAuditLogs |
apigee.googleapis.com- API Management platformiam.googleapis.com - IAM-tjenesten (Identity and Access Management)iamcredentials.googleapis.com – API til legitimationsoplysninger til IAM-tjenestekontocloudresourcemanager.googleapis.com– API til cloud-Resource Managercompute.googleapis.com – BEREGNINGSPROGRAM-APIstorage.googleapis.com – API til cloudlagercontainer.googleapis.com - Kubernetes Engine APIk8s.io - Kubernetes APIcloudsql.googleapis.com – Cloud SQL APIbigquery.googleapis.com – BigQuery-APIbigquerydatatransfer.googleapis.com – API til BigQuery-dataoverførselstjenestecloudfunctions.googleapis.com – Api til cloudfunktionerappengine.googleapis.com - App Engine APIdns.googleapis.com – Cloud DNS-APIbigquerydatapolicy.googleapis.com – API til BigQuery-datapolitikfirestore.googleapis.com - Firestore APIdataproc.googleapis.com – API til dataprocosconfig.googleapis.com - KONFIGURATIONS-API til operativsystemetcloudkms.googleapis.com – KMS-API for skyensecretmanager.googleapis.com – SECRET Manager-APIHændelser skal have en gyldig: - PrincipalEmail – Den bruger- eller tjenestekonto, der kaldte API'en- MethodName - Den specifikke Google API-metode, der kaldes– Hovedmail i user@domain.com format. |
| Okta CL (prøveversion) | Okta Single Sign-On (ved hjælp af Azure Functions) | Okta_CL | Godkendelses-, multifaktorgodkendelses- og sessionshændelser, herunder:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startHændelser skal have et gyldigt bruger-id ( actor_id_s). |
| Sikkerhedshændelser |
Windows Sikkerhed hændelser via AMA Videresendte Windows-hændelser |
WindowsEvent SecurityEvent |
4624: En konto blev logget på 4625: En konto kunne ikke logge på 4648: Der blev gjort forsøg på at logge på ved hjælp af eksplicitte legitimationsoplysninger. 4672: Særlige rettigheder tildelt til nyt logon 4688: Der er oprettet en ny proces |
| Logonlogge | Microsoft Entra ID | SigninLogs | Alle logonhændelser |
UEBA-berigelser
I dette afsnit beskrives de forbedringer, som UEBA føjer til Microsoft Sentinel enheder, som du kan bruge til at fokusere og skærpe dine efterforskninger af sikkerhedshændelser. Disse forbedringer vises på objektsider og kan findes i følgende Log Analytics-tabeller, hvis indhold og skema er angivet nedenfor:
I tabellen BehaviorAnalytics gemmes UEBA's outputoplysninger.
Følgende tre dynamiske felter fra tabellen BehaviorAnalytics er beskrevet i afsnittet dynamiske felter for objektforbedringer nedenfor.
Felterne UsersInsights og DevicesInsights indeholder objektoplysninger fra Active Directory-/Microsoft Entra ID- og Microsoft Threat Intelligence-kilder.
Feltet ActivityInsights indeholder objektoplysninger, der er baseret på de adfærdsprofiler, der er oprettet af Microsoft Sentinel's analyse af objektfunktionsmåder.
Brugeraktiviteter analyseres i forhold til en oprindelig plan, der kompileres dynamisk, hver gang den bruges. Hver aktivitet har sin egen definerede tilbageslagsperiode, som den dynamiske oprindelige plan er afledt af. Tilbageslagsperioden er angivet i kolonnen Oprindelig plan i denne tabel.
I tabellen IdentityInfo gemmes identitetsoplysninger, der synkroniseres med UEBA fra Microsoft Entra ID (og fra Active Directory i det lokale miljø via Microsoft Defender for Identity).
BehaviorAnalytics-tabel
I følgende tabel beskrives de adfærdsanalysedata, der vises på hver side med objektoplysninger i Microsoft Sentinel.
| Feltet | Type | Beskrivelse |
|---|---|---|
| Lejer-id | Streng | Lejerens entydige id-nummer. |
| Kildepost-id | Streng | EBA-hændelsens entydige id-nummer. |
| Tid genereret | Datetime | Tidsstemplet for aktivitetens forekomst. |
| TimeProcessed | Datetime | Tidsstemplet for aktivitetens behandling af EBA-programmet. |
| Aktivitetstype | Streng | Aktivitetens kategori på højt niveau. |
| ActionType | Streng | Det normaliserede navn på aktiviteten. |
| Brugernavn | Streng | Brugernavnet for den bruger, der startede aktiviteten. |
| UserPrincipalName | Streng | Det fulde brugernavn for den bruger, der startede aktiviteten. |
| EventSource | Streng | Datakilden, der leverede den oprindelige hændelse. |
| SourceIPAddress | Streng | Den IP-adresse, som aktiviteten blev startet fra. |
| SourceIPLocation | Streng | Det land/område, hvorfra aktiviteten blev påbegyndt, beriget med IP-adresse. |
| SourceDevice | Streng | Værtsnavnet på den enhed, der startede aktiviteten. |
| DestinationIPAddress | Streng | IP-adressen for aktivitetens mål. |
| DestinationIPLocation | Streng | Landet/området for målet for aktiviteten, beriget med IP-adressen. |
| Destinationsdevice | Streng | Navnet på destinationsenheden. |
| UsersInsights | Dynamisk | Kontekstafhængig berigelse af de involverede brugere (detaljer nedenfor). |
| DevicesInsights | Dynamisk | Kontekstafhængig berigelse af involverede enheder (detaljer nedenfor). |
| ActivityInsights | Dynamisk | Kontekstafhængig analyse af aktiviteter baseret på vores profilering (detaljer nedenfor). |
| Undersøgelsesprioritet | Int | Scoren for uregelmæssigheder mellem 0-10 (0 = godartet, 10 = meget uregelmæssig). Denne score kvantificerer afvigelsen fra den forventede funktionsmåde. Højere scorer angiver en større afvigelse fra den oprindelige plan og angiver mere sandsynligt sande uregelmæssigheder. Lavere scorer kan stadig være unormale, men er mindre tilbøjelige til at være signifikante eller handlingsvenlige. |
Dynamiske felter til enhedsforbedringer
Bemærk!
Kolonnen Berigelsesnavn i tabellerne i dette afsnit viser to rækker med oplysninger.
- Den første med fed skrift er berigelsens "brugervenlige navn".
- Den anden (med kursiv og parenteser) er feltnavnet på berigelsen, som er gemt i tabellen Behavior Analytics.
Feltet UsersInsights
I følgende tabel beskrives de forbedringer, der er fremhævet i det dynamiske felt UsersInsights i tabellen BehaviorAnalytics:
| Navn på berigelse | Beskrivelse | Eksempelværdi |
|---|---|---|
|
Vist navn for konto (AccountDisplayName) |
Brugerens viste kontonavn. | Administration, Hayden Cook |
|
Kontodomæne (Kontodomæne) |
Brugerens kontodomænenavn. | |
|
Kontoobjekt-id (AccountObjectID) |
Brugerens kontoobjekt-id. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Eksplosionsradius - Jeg har ikke noget at gøre med dig. |
Eksplosionsradiussen beregnes på baggrund af flere faktorer: brugerens placering i organisationstræet og brugerens Microsoft Entra roller og tilladelser. Egenskaben Manager skal være udfyldt i Microsoft Entra ID for at BlastRadius kan beregnes. | Lav, mellem, høj |
|
Er passiv konto (IsDormantAccount) |
Kontoen har ikke været brugt i de seneste 180 dage. | Sand, Falsk |
|
Er lokal administrator (IsLocalAdmin) |
Kontoen har lokale administratorrettigheder. | Sand, Falsk |
|
Er ny konto (IsNewAccount) |
Kontoen blev oprettet inden for de seneste 30 dage. | Sand, Falsk |
|
SID i det lokale miljø (OnPremisesSID) |
SID'et i det lokale miljø for den bruger, der er relateret til handlingen. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Feltet DevicesInsights
I følgende tabel beskrives de forbedringer, der er fremhævet i det dynamiske felt DevicesInsights i tabellen BehaviorAnalytics:
| Navn på berigelse | Beskrivelse | Eksempelværdi |
|---|---|---|
|
Browser (Browser) |
Den browser, der bruges i handlingen. | Microsoft Edge, Chrome |
|
Enhedsfamilie (DeviceFamily) |
Den enhedsfamilie, der bruges i handlingen. | Windows |
|
Enhedstype (DeviceType) |
Den klientenhedstype, der bruges i handlingen | Desktop |
|
INTERNETUDBYDER (INTERNETUDBYDER) |
Den internetudbyder, der bruges i handlingen. | |
|
Operativsystem (OperatingSystem) |
Det operativsystem, der bruges i handlingen. | Windows 10 |
|
Beskrivelse af Intel-trusselsindikator (ThreatIntelIndicatorDescription) |
Beskrivelse af den observerede trusselsindikator, der er løst fra den IP-adresse, der bruges i handlingen. | Værten er medlem af botnet: azorult |
|
Intel-indikatortype for trussel (ThreatIntelIndicatorType) |
Typen af trusselsindikator, der er løst fra den IP-adresse, der bruges i handlingen. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Brugeragent (UserAgent) |
Den brugeragent, der bruges i handlingen. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, Fremkalder |
|
Brugeragentfamilie (UserAgentFamily) |
Den brugeragentfamilie, der bruges i handlingen. | Chrome, Microsoft Edge, Firefox |
Feltet ActivityInsights
I følgende tabeller beskrives de forbedringer, der er vist i det dynamiske felt ActivityInsights i tabellen BehaviorAnalytics:
Udført handling
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren udførte en handling (FirstTimeUserPerformedAction) |
180 | Handlingen blev udført første gang af brugeren. | Sand, Falsk |
|
Handling, der udføres ualmindeligt af brugeren (ActionUncommonlyPerformedByUser) |
10 | Handlingen udføres ikke ofte af brugeren. | Sand, Falsk |
|
Handling, der udføres ualmindeligt mellem peers (ActionUncommonlyPerformedAmongPeers) |
180 | Handlingen udføres ikke ofte blandt brugerens peers. | Sand, Falsk |
|
Første gang der udføres en handling i lejeren (FirstTimeActionPerformedInTenant) |
180 | Handlingen blev udført for første gang af alle i organisationen. | Sand, Falsk |
|
Handling, der udføres ualmindeligt i lejeren (Usammenlignelig handlingperformeretintenant) |
180 | Handlingen udføres ikke ofte i organisationen. | Sand, Falsk |
App brugt
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren brugte en app (FirstTimeUserUsedApp) |
180 | Appen blev brugt første gang af brugeren. | Sand, Falsk |
|
App bruges ualmindeligt af brugeren (AppUncommonlyUsedByUser) |
10 | Appen bruges ikke ofte af brugeren. | Sand, Falsk |
|
App bruges ualmindeligt blandt peers (AppUncommonlyUsedAmongPeers) |
180 | Appen bruges ikke ofte blandt brugerens peers. | Sand, Falsk |
|
Første gang, appen blev observeret i lejer (FirstTimeAppObservedInTenant) |
180 | Appen blev observeret for første gang i organisationen. | Sand, Falsk |
|
App bruges ualmindeligt i lejer (AppUncommonlyUsedInTenant) |
180 | Appen bruges ikke ofte i organisationen. | Sand, Falsk |
Browser brugt
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren oprettede forbindelse via browser (FirstTimeUserConnectedViaBrowser) |
30 | Browseren blev observeret første gang af brugeren. | Sand, Falsk |
|
Browser bruges ualmindeligt af brugeren (BrowserUncommonlyUsedByUser) |
10 | Browseren bruges ikke ofte af brugeren. | Sand, Falsk |
|
Browser bruges ualmindeligt blandt peers (BrowserUncommonlyUsedAmongPeers) |
30 | Browseren bruges ikke ofte blandt brugerens peers. | Sand, Falsk |
|
Førstegangsbrowser observeret i lejer (FirstTimeBrowserObservedInTenant) |
30 | Browseren blev observeret for første gang i organisationen. | Sand, Falsk |
|
Browser bruges ualmindeligt i lejer (BrowserucommonlyUsedInTenant) |
30 | Browseren bruges ikke ofte i organisationen. | Sand, Falsk |
Land/område, der er forbundet fra
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren har oprettet forbindelse fra land (FirstTimeUserConnectedFromCountry) |
90 | Den geo-placering, der blev fundet ud fra IP-adressen, blev for første gang oprettet forbindelse fra af brugeren. | Sand, Falsk |
|
Land, som brugeren har oprettet forbindelse til i sjældne tilfælde (LandOpret forbindelse fra en anden bruger) |
10 | Den geografiske placering, som den fortolkes ud fra IP-adressen, er normalt ikke forbundet fra brugeren. | Sand, Falsk |
|
Land er ualmindeligt forbundet mellem peers (Landuoprettetforbindelsefraamongpeers) |
90 | Den geo-placering, der fortolkes ud fra IP-adressen, er normalt ikke forbundet mellem brugerens peers. | Sand, Falsk |
|
Førstegangsforbindelse fra land, der er observeret i lejer (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Land/område blev oprettet forbindelse fra for første gang af alle i organisationen. | Sand, Falsk |
|
Land, der er ualmindeligt forbundet fra i lejeren (Land uden fællesforbindelsefraintenant) |
90 | Den geografiske placering, som den fortolkes ud fra IP-adressen, er normalt ikke forbundet fra i organisationen. | Sand, Falsk |
Enhed, der bruges til at oprette forbindelse
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren oprettede forbindelse fra enheden (FirstTimeUserConnectedFromDevice) |
30 | Kildeenheden blev oprettet forbindelse fra første gang af brugeren. | Sand, Falsk |
|
Enheden bruges ualmindeligt af brugeren (DeviceUncommonlyUsedByUser) |
10 | Enheden bruges ikke ofte af brugeren. | Sand, Falsk |
|
Enheden bruges ualmindeligt blandt peers (DeviceUncommonlyUsedAmongPeers) |
180 | Enheden bruges ikke ofte blandt brugerens peers. | Sand, Falsk |
|
Første gang enheden blev observeret i lejer (FirstTimeDeviceObservedInTenant) |
30 | Enheden blev observeret for første gang i organisationen. | Sand, Falsk |
|
Enheden bruges ualmindeligt i lejeren (DeviceUncommonlyUsedInTenant) |
180 | Enheden bruges ikke ofte i organisationen. | Sand, Falsk |
Anden enhedsrelateret
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren loggede på enheden (FirstTimeUserLoggedOnToDevice) |
180 | Destinationsenheden blev oprettet forbindelse til første gang af brugeren. | Sand, Falsk |
|
Enhedsfamilie bruges ualmindeligt i lejeren (DeviceFamilyUncommonlyUsedInTenant) |
30 | Enhedsfamilien bruges ikke ofte i organisationen. | Sand, Falsk |
Internetudbyder, der bruges til at oprette forbindelse
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang, brugeren oprettede forbindelse via en internetudbyder (FirstTimeUserConnectedViaISP) |
30 | Internetudbyderen blev observeret første gang af brugeren. | Sand, Falsk |
|
ISP bruges ualmindeligt af brugeren (ISPUncommonlyUsedByUser) |
10 | Internetudbyderen bruges ikke ofte af brugeren. | Sand, Falsk |
|
ISP bruges ualmindeligt blandt peers (ISPUncommonlyUsedAmongPeers) |
30 | Internetudbyderen bruges ikke ofte blandt brugerens peers. | Sand, Falsk |
|
Førstegangsforbindelse via internetudbyder i lejer (FirstTimeConnectionViaISPInTenant) |
30 | Internetudbyderen blev observeret for første gang i organisationen. | Sand, Falsk |
|
ISP bruges ualmindeligt i lejeren (ISPUncommonlyUsedInTenant) |
30 | Internetudbyderen bruges ikke ofte i organisationen. | Sand, Falsk |
Ressource, der er adgang til
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Første gang brugeren fik adgang til ressourcen (FirstTimeUserAccessedResource) |
180 | Ressourcen blev åbnet første gang af brugeren. | Sand, Falsk |
|
Ressource tilgås sjældent af brugeren (RessourcenuncommonlyAccessedByUser) |
10 | Brugeren bruger normalt ikke ressourcen. | Sand, Falsk |
|
Der er ualmindelig adgang til ressourcer mellem peers (Ressourcen er ikke tilgængelig i fællesformat forAmongPeers) |
180 | Der er ofte ikke adgang til ressourcen blandt brugerens peers. | Sand, Falsk |
|
Første gang ressource tilgås i lejer (FirstTimeResourceAccessedInTenant) |
180 | Ressourcen blev tilgået for første gang af alle i organisationen. | Sand, Falsk |
|
Der er ualmindelig adgang til en ressource i lejeren (Ressourceuoprettet adgang tilintenant) |
180 | Der er ofte ikke adgang til ressourcen i organisationen. | Sand, Falsk |
Diverse
| Navn på berigelse | Oprindelig plan (dage) | Beskrivelse | Eksempelværdi |
|---|---|---|---|
|
Sidste gang brugeren udførte en handling (LastTimeUserPerformedAction) |
180 | Sidste gang brugeren udførte den samme handling. | <Tidsstempel> |
|
Lignende handling blev ikke udført i fortiden (SimilarActionWasn'tPerformedInThePast) |
30 | Der blev ikke udført nogen handling i den samme ressourceudbyder af brugeren. | Sand, Falsk |
|
Kilde-IP-placering (SourceIPLocation) |
NIELSEN | Det land/område, der er løst fra handlingens kilde-IP. | [Surrey, England] |
|
Usædvanlig stor mængde handlinger (UalmindeligHighVolumeOfOperations) |
7 | En bruger udførte et burst af lignende handlinger inden for den samme udbyder | Sand, Falsk |
|
Usædvanligt antal fejl i betinget adgang Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Et usædvanligt antal brugere blev ikke godkendt på grund af betinget adgang | Sand, Falsk |
|
Usædvanligt antal enheder, der er tilføjet (UnusualNumberOfDevicesAdded) |
5 | En bruger har tilføjet et usædvanligt antal enheder. | Sand, Falsk |
|
Usædvanligt antal enheder, der er slettet (UnusualNumberOfDevicesDeleted) |
5 | En bruger slettede et usædvanligt antal enheder. | Sand, Falsk |
|
Usædvanligt antal brugere, der er føjet til gruppen (UnusualNumberOfUsersAddedToGroup) |
5 | En bruger føjede et usædvanligt antal brugere til en gruppe. | Sand, Falsk |
Tabellen IdentityInfo
Når du har aktiveret og konfigureret UEBA for dit Microsoft Sentinel arbejdsområde, synkroniseres brugerdata fra dine Microsoft-identitetsudbydere til tabellen IdentityInfo i Log Analytics til brug i Microsoft Sentinel.
Disse identitetsudbydere er en af eller begge følgende, afhængigt af hvilken du valgte, da du konfigurerede UEBA:
- Microsoft Entra ID (cloudbaseret)
- Microsoft Active Directory (kræver Microsoft Defender for Identity))
Du kan forespørge i tabellen IdentityInfo i analyseregler, jagtforespørgsler og projektmapper, hvilket forbedrer dine analyser, så de passer til dine use cases og reducerer falske positiver.
Selvom den indledende synkronisering kan tage et par dage, kan det tage et par dage, når dataene er fuldt synkroniseret:
Hver 14. dag synkroniseres Microsoft Sentinel igen med hele dit Microsoft Entra ID (og dine Active Directory i det lokale miljø, hvis det er relevant), for at sikre, at forældede poster opdateres fuldt ud.
Ud over disse almindelige komplette synkroniseringer, når der foretages ændringer i dine brugerprofiler, grupper og indbyggede roller i Microsoft Entra ID, genbruges og opdateres de berørte brugerposter i tabellen IdentityInfo inden for 15-30 minutter. Denne indtagelse faktureres med jævne mellemrum. Det kan f.eks. være:
En brugerattribut, f.eks. vist navn, stilling eller mailadresse, blev ændret. En ny post for denne bruger overføres til tabellen IdentityInfo , hvor de relevante felter opdateres.
Gruppe A indeholder 100 brugere. 5 brugere føjes til gruppen eller fjernes fra gruppen. I dette tilfælde genfødes disse fem brugerposter, og felterne GroupMembership opdateres.
Gruppe A indeholder 100 brugere. Ti brugere føjes til Gruppe A. Grupperne A1 og A2, der hver har 10 brugere, føjes også til Gruppe A. I dette tilfælde overføres 30 brugerposter, og felterne GroupMembership opdateres. Dette sker, fordi gruppemedlemskab er transitiv, så ændringer af grupper påvirker alle deres undergrupper.
Gruppe B (med 50 brugere) omdøbes til Group BeGood. I dette tilfælde overføres 50 brugerposter, og felterne GroupMembership opdateres. Hvis der er undergrupper i den pågældende gruppe, sker det samme for alle medlemmernes poster.
Standardopbevaringstiden i tabellen IdentityInfo er 30 dage.
Begrænsninger
Feltet AssignedRoles understøtter kun indbyggede roller.
Feltet GroupMembership understøtter angivelse af op til 500 grupper pr. bruger, herunder undergrupper. Hvis en bruger er medlem af mere end 500 grupper, er det kun de første 500, der synkroniseres med tabellen IdentityInfo . Grupperne evalueres dog ikke i en bestemt rækkefølge, så ved hver ny synkronisering (hver 14. dag) er det muligt, at et andet sæt grupper opdateres til brugerposten.
Når en bruger slettes, slettes denne brugers post ikke straks fra tabellen IdentityInfo . Årsagen til dette er, at et af denne tabels formål er at overvåge ændringer af brugerposter. Derfor ønsker vi, at denne tabel skal have en post for en bruger, der slettes, hvilket kun kan ske, hvis brugerposten i tabellen IdentityInfo stadig findes, selvom den faktiske bruger (f.eks. i Entra id) slettes.
Slettede brugere kan identificeres ved tilstedeværelsen af en værdi i feltet
deletedDateTime. Så hvis du har brug for en forespørgsel for at vise dig en liste over brugere, kan du filtrere slettede brugere fra ved at føje| where IsEmpty(deletedDateTime)til forespørgslen.Med et bestemt tidsinterval, efter at en bruger blev slettet, fjernes brugerens post også fra tabellen IdentityInfo .
Når en gruppe slettes, eller hvis en gruppe med mere end 100 medlemmer har ændret navn, opdateres gruppens medlemsbrugerposter ikke. Hvis en anden ændring medfører, at en af disse brugeres poster opdateres, medtages de opdaterede gruppeoplysninger på det pågældende tidspunkt.
Andre versioner af tabellen IdentityInfo
Der er flere versioner af tabellen IdentityInfo :
Log Analytics-skemaversionen, der er beskrevet i denne artikel, tjener Microsoft Sentinel i Azure Portal. Det er tilgængeligt for de kunder, der har aktiveret UEBA.
Den avancerede jagtskemaversion serverer portalen Microsoft Defender via Microsoft Defender for Identity. Den er tilgængelig for kunder med Microsoft Defender XDR, med eller uden Microsoft Sentinel, og for kunder med Microsoft Sentinel i sig selv på Defender-portalen.
UEBA behøver ikke at være aktiveret for at få adgang til denne tabel. Men for kunder uden UEBA aktiveret er de felter, der udfyldes af UEBA-data, ikke synlige eller tilgængelige.
Du kan finde flere oplysninger i dokumentationen til den avancerede jagtversion af denne tabel.
Fra maj 2025 begynder kunder med Microsoft Sentinel på Microsoft Defender portalenmed UEBA aktiveretat bruge en ny version af den avancerede jagtversion. Denne nye version indeholder alle UEBA-felter fra Log Analytics-versionen samt nogle nye felter og kaldes den samlede version eller den samlede IdentityInfo-tabel.
Defender-portalkunder uden UEBA aktiveret eller slet ikke Microsoft Sentinel, fortsætter med at bruge den tidligere version af den avancerede jagtversion uden UEBA-genererede felter.
Du kan finde flere oplysninger om den samlede version i IdentityInfo i dokumentationen til avanceret jagt.
Vigtigt!
Når du skifter til Defender-portalen, bliver tabellen IdentityInfo en oprindelig Defender-tabel, der ikke understøtter RBAC på tabelniveau (rollebaseret Access Control). Hvis din organisation bruger RBAC på tabelniveau til at begrænse adgangen til tabellen IdentityInfo i Azure Portal, vil denne adgangskontrol ikke længere være tilgængelig, når du har skiftet til Defender-portalen.
Skema
Tabellen under fanen "Log Analytics-skema" under fanen "Log Analytics" beskriver de brugeridentitetsdata, der er inkluderet i tabellen IdentityInfo i Log Analytics i Azure Portal.
Hvis du onboarder Microsoft Sentinel til Defender-portalen, skal du vælge fanen "Sammenlign med samlet skema" for at få vist de ændringer, der potentielt kan påvirke forespørgslerne i dine regler for trusselsregistrering og jagter.
| Feltnavn | Type | Beskrivelse |
|---|---|---|
| AccountCloudSID | Streng | Kontoens Microsoft Entra sikkerheds-id. |
| AccountCreationTime | Datetime | Den dato, hvor brugerkontoen blev oprettet (UTC). |
| AccountDisplayName | Streng | Det viste navn på brugerkontoen. |
| Kontodomæne | Streng | Brugerkontoens domænenavn. |
| Kontonavn | Streng | Brugernavnet på brugerkontoen. |
| AccountObjectId | Streng | Det Microsoft Entra objekt-id for brugerkontoen. |
| Konto-id | Streng | Sikkerheds-id'et i det lokale miljø for brugerkontoen. |
| AccountTenantId | Streng | Brugerkontoens Microsoft Entra lejer-id. |
| AccountUPN | Streng | Brugerens hovednavn på brugerkontoen. |
| AdditionalMailAddresses | Dynamisk | Brugerens yderligere mailadresser. |
| Tildelte opgaver | Dynamisk | De Microsoft Entra roller, brugerkontoen er tildelt til. Det er kun indbyggede roller, der understøttes. |
| BlastRadius | Streng | En beregning baseret på brugerens placering i organisationstræet og brugerens Microsoft Entra roller og tilladelser. Mulige værdier: Lav, Mellem, Høj |
| Skift kilde | Streng | Kilden til den seneste ændring af objektet. Mulige værdier: |
| Byen | Streng | Byen for brugerkontoen. |
| Firmanavn | Streng | Det firmanavn, som brugeren tilhører. |
| Land | Streng | Land/område for brugerkontoen. |
| DeletedDateTime | Datetime | Den dato og det klokkeslæt, hvor brugeren blev slettet. |
| Institut | Streng | Afdelingen for brugerkontoen. |
| Medarbejder-id | Streng | Det medarbejder-id, der er tildelt brugeren af organisationen. |
| Givet navn | Streng | Brugerkontoens fornavn. |
| Gruppérmedlem | Dynamisk | Microsoft Entra ID grupper, hvor brugerkontoen er medlem. |
| IsAccountEnabled | Bool | En angivelse af, om brugerkontoen er aktiveret i Microsoft Entra ID eller ej. |
| Navn på job | Streng | Brugerkontoens stillingsbetegnelse. |
| MailAdresse | Streng | Brugerkontoens primære mailadresse. |
| Manager | Streng | Administratoraliasset for brugerkontoen. |
| OnPremisesDistinguishedName | Streng | Det Microsoft Entra ID entydige navn (DN). Et entydigt navn er en sekvens af relative entydige navne (RDN), der er forbundet med kommaer. |
| Telefon | Streng | Brugerkontoens telefonnummer. |
| Risikoniveau | Streng | Brugerkontoens Microsoft Entra ID risikoniveau. Mulige værdier: |
| Risikoniveaudetaljer | Streng | Oplysninger om Microsoft Entra ID risikoniveau. |
| Risikotilstand | Streng | Angivelse af, om kontoen er i fare nu, eller om risikoen blev afhjælpet. |
| Kildesystem | Streng | Det system, hvor brugeren administreres. Mulige værdier: |
| Staten | Streng | Brugerkontoens geografiske tilstand. |
| Gadeadresse | Streng | Brugerkontoens office-adresse. |
| Efternavn | Streng | Brugerens efternavn. Konto. |
| Lejer-id | Streng | Brugerens lejer-id. |
| Tid genereret | Datetime | Det tidspunkt, hvor hændelsen blev genereret (UTC). |
| Type | Streng | Navnet på tabellen. |
| Brugerkontokontrol | Dynamisk | Sikkerhedsattributter for brugerkontoen i AD-domænet. Mulige værdier (kan indeholde mere end én): |
| UserState | Streng | Brugerkontoens aktuelle tilstand i Microsoft Entra ID. Mulige værdier: |
| UserStateChangedOn | Datetime | Datoen for det sidste tidspunkt, hvor kontotilstanden blev ændret (UTC). |
| UserType | Streng | Brugertypen. |
Selvom følgende felter findes i Log Analytics-skemaet, skal der ses bort fra dem, da de ikke bruges eller understøttes af Microsoft Sentinel:
- Programmer
- EntityRiskScore
- Udvidelsesegenskab
- Undersøgelsesprioritet
- Undersøgelsespriorititetspercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- Relateredekonti
- ServicePrincipals
- Mærker
- UACFlags