Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se enumeran los orígenes de datos de entrada del servicio Análisis de comportamiento de usuarios y entidades en Microsoft Sentinel. También describe los enriquecimientos que UEBA agrega a las entidades, lo que proporciona el contexto necesario para alertas e incidentes.
Importante
Después del 31 de marzo de 2027, Microsoft Sentinel ya no se admitirá en el Azure Portal y solo estará disponible en el portal de Microsoft Defender. Todos los clientes que usen Microsoft Sentinel en el Azure Portal se redirigirán al portal de Defender y solo usarán Microsoft Sentinel en el portal de Defender.
Si sigue usando Microsoft Sentinel en el Azure Portal, le recomendamos que empiece a planear la transición al portal de Defender para garantizar una transición sin problemas y aprovechar al máximo la experiencia de operaciones de seguridad unificadas que ofrece Microsoft Defender.
Orígenes de datos de UEBA
Estos son los orígenes de datos desde los que el motor de UEBA recopila y analiza datos para entrenar sus modelos de ML y establecer líneas base de comportamiento para usuarios, dispositivos y otras entidades. A continuación, UEBA examina los datos de estos orígenes para encontrar anomalías e información general.
| Origen de datos | Connector | Tabla de Log Analytics | Categorías de eventos analizadas |
|---|---|---|---|
| Registros de inicio de sesión de identidad administrada de AAD (versión preliminar) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Todos los eventos de inicio de sesión de identidad administrada |
| Registros de inicio de sesión de la entidad de servicio de AAD (versión preliminar) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Todos los eventos de inicio de sesión de la entidad de servicio |
| Registros de auditoría | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Dispositivo RoleManagement UserManagementCategory |
| AWS CloudTrail (versión preliminar) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Eventos de inicio de sesión de consola. Identificado por EventName = "ConsoleLogin" y EventSource = "signin.amazonaws.com". Los eventos deben tener un valor válido UserIdentityPrincipalId. |
| Actividad de Azure | Actividad de Azure | AzureActivity | Autorización AzureActiveDirectory Facturación Proceso Consumo KeyVault Dispositivos Red Recursos Intune Lógica Sql Almacenamiento |
| Eventos de inicio de sesión de dispositivo (versión preliminar) | Microsoft Defender XDR | DeviceLogonEvents | Todos los eventos de inicio de sesión del dispositivo |
| Registros de auditoría de GCP (versión preliminar) | Registros de auditoría de GCP Pub/Sub | GCPAuditLogs |
apigee.googleapis.com- plataforma de API Managementiam.googleapis.com - Servicio de administración de identidades y acceso (IAM)iamcredentials.googleapis.com - API de credenciales de cuenta de servicio de IAMcloudresourcemanager.googleapis.com- API de Resource Manager en la nubecompute.googleapis.com - API del motor de procesostorage.googleapis.com - API de Almacenamiento en la nubecontainer.googleapis.com - API del motor de Kubernetesk8s.io - API de Kubernetescloudsql.googleapis.com - API de SQL en la nubebigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - API del servicio de transferencia de datos de BigQuerycloudfunctions.googleapis.com - API de Cloud Functionsappengine.googleapis.com - API del motor de aplicacionesdns.googleapis.com - API de DNS en la nubebigquerydatapolicy.googleapis.com - API de directiva de datos de BigQueryfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - API de Dataprocosconfig.googleapis.com - API de configuración del sistema operativocloudkms.googleapis.com - API de KMS en la nubesecretmanager.googleapis.com - Secret Manager APILos eventos deben tener un valor válido: - PrincipalEmail - La cuenta de usuario o servicio que llamó a la API- MethodName - El método específico de la API de Google llamado- Correo electrónico principal, en user@domain.com formato. |
| Okta CL (versión preliminar) | Okta Single Sign-On (con Azure Functions) | Okta_CL | Autenticación, autenticación multifactor (MFA) y eventos de sesión, incluidos:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startLos eventos deben tener un identificador de usuario válido ( actor_id_s). |
| Eventos de seguridad |
eventos de Seguridad de Windows a través de AMA Eventos reenviados de Windows |
WindowsEvent SecurityEvent |
4624: Una cuenta se ha iniciado sesión correctamente 4625: No se pudo iniciar sesión en una cuenta 4648: Se intentó iniciar sesión con credenciales explícitas 4672: Privilegios especiales asignados a un nuevo inicio de sesión 4688: Se ha creado un nuevo proceso |
| Registros de inicio de sesión | Microsoft Entra ID | SigninLogs | Todos los eventos de inicio de sesión |
Enriquecimientos de UEBA
En esta sección se describen los enriquecimientos que UEBA agrega a Microsoft Sentinel entidades, que puede usar para centrarse y mejorar las investigaciones de incidentes de seguridad. Estos enriquecimientos se muestran en las páginas de entidad y se pueden encontrar en las siguientes tablas de Log Analytics, cuyo contenido y esquema se enumeran a continuación:
La tabla BehaviorAnalytics es donde se almacena la información de salida de UEBA.
Los tres campos dinámicos siguientes de la tabla BehaviorAnalytics se describen en la sección campos dinámicos de enriquecimientos de entidades que se muestra a continuación.
Los campos UsersInsights y DevicesInsights contienen información de entidad de orígenes de Active Directory/Microsoft Entra ID y Microsoft Threat Intelligence.
El campo ActivityInsights contiene información de entidad basada en los perfiles de comportamiento creados por el análisis de comportamiento de entidades de Microsoft Sentinel.
Las actividades del usuario se analizan en una línea base que se compila dinámicamente cada vez que se usa. Cada actividad tiene su propio período de reversión definido desde el que se deriva la línea base dinámica. El período de reversión se especifica en la columna Línea base de esta tabla.
La tabla IdentityInfo es donde se almacena la información de identidad sincronizada con UEBA desde Microsoft Entra ID (y desde Active Directory local a través de Microsoft Defender for Identity).
Tabla BehaviorAnalytics
En la tabla siguiente se describen los datos de análisis de comportamiento que se muestran en cada página de detalles de entidad de Microsoft Sentinel.
| Campo | Tipo | Description |
|---|---|---|
| TenantId | string | Número de identificador único del inquilino. |
| SourceRecordId | string | Número de identificador único del evento EBA. |
| TimeGenerated | datetime | Marca de tiempo de la aparición de la actividad. |
| TimeProcessed | datetime | Marca de tiempo del procesamiento de la actividad por el motor de EBA. |
| ActivityType | string | Categoría de alto nivel de la actividad. |
| ActionType | string | Nombre normalizado de la actividad. |
| UserName | string | Nombre de usuario del usuario que inició la actividad. |
| UserPrincipalName | string | Nombre de usuario completo del usuario que inició la actividad. |
| EventSource | string | Origen de datos que proporcionó el evento original. |
| SourceIPAddress | string | Dirección IP desde la que se inició la actividad. |
| SourceIPLocation | string | País o región desde el que se inició la actividad, enriquecida a partir de la dirección IP. |
| SourceDevice | string | Nombre de host del dispositivo que inició la actividad. |
| DestinationIPAddress | string | Dirección IP del destino de la actividad. |
| DestinationIPLocation | string | País o región del destino de la actividad, enriquecido a partir de la dirección IP. |
| DestinationDevice | string | Nombre del dispositivo de destino. |
| UsersInsights | dinámico | Los enriquecimientos contextuales de los usuarios implicados (detalles a continuación). |
| DispositivosInsights | dinámico | Los enriquecimientos contextuales de los dispositivos implicados (detalles a continuación). |
| ActivityInsights | dinámico | El análisis contextual de la actividad basado en nuestra generación de perfiles (detalles a continuación). |
| InvestigationPriority | Entero | Puntuación de anomalía, entre 0-10 (0=benigno, 10=altamente anómalo). Esta puntuación cuantifica el grado de desviación del comportamiento esperado. Las puntuaciones más altas indican una mayor desviación de la línea base y es más probable que indiquen anomalías verdaderas. Las puntuaciones más bajas pueden seguir siendo anómalas, pero son menos probables que sean significativas o accionables. |
Campos dinámicos de enriquecimientos de entidades
Nota:
La columna Nombre de enriquecimiento de las tablas de esta sección muestra dos filas de información.
- El primero, en negrita, es el "nombre descriptivo" del enriquecimiento.
- El segundo (en cursiva y paréntesis) es el nombre del campo del enriquecimiento almacenado en la tabla Análisis de comportamiento.
Campo UsersInsights
En la tabla siguiente se describen los enriquecimientos que se muestran en el campo dinámico UsersInsights de la tabla BehaviorAnalytics:
| Nombre del enriquecimiento | Description | Valor de ejemplo |
|---|---|---|
|
Nombre para mostrar de la cuenta (AccountDisplayName) |
Nombre para mostrar de la cuenta del usuario. | Administración, Hayden Cook |
|
Dominio de la cuenta (AccountDomain) |
Nombre de dominio de la cuenta del usuario. | |
|
Id. de objeto de cuenta (AccountObjectID) |
Identificador de objeto de cuenta del usuario. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Radio de explosión (BlastRadius) |
El radio de expansión se calcula en función de varios factores: la posición del usuario en el árbol de la organización y los roles y permisos de Microsoft Entra del usuario. El usuario debe tener la propiedad Manager rellenada en Microsoft Entra ID para que se calcule BlastRadius. | Baja, Media, Alta |
|
Es una cuenta inactiva (IsDormantAccount) |
La cuenta no se ha usado durante los últimos 180 días. | True, False |
|
Es administrador local (IsLocalAdmin) |
La cuenta tiene privilegios de administrador local. | True, False |
|
¿Es una cuenta nueva? (IsNewAccount) |
La cuenta se creó en los últimos 30 días. | True, False |
|
SID local (OnPremisesSID) |
El SID local del usuario relacionado con la acción. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DispositivosInsights
En la tabla siguiente se describen los enriquecimientos que se muestran en el campo dinámico DevicesInsights de la tabla BehaviorAnalytics:
| Nombre del enriquecimiento | Description | Valor de ejemplo |
|---|---|---|
|
Explorador (Explorador) |
Explorador usado en la acción. | Microsoft Edge, Chrome |
|
Familia de dispositivos (DeviceFamily) |
Familia de dispositivos usada en la acción. | Windows |
|
Tipo de dispositivo (DeviceType) |
Tipo de dispositivo cliente usado en la acción | Escritorio |
|
ISP (ISP) |
Proveedor de servicios de Internet usado en la acción. | |
|
Sistema operativo (OperatingSystem) |
Sistema operativo usado en la acción. | Windows 10 |
|
Descripción del indicador intel de amenazas (ThreatIntelIndicatorDescription) |
Descripción del indicador de amenaza observado resuelto a partir de la dirección IP utilizada en la acción. | El host es miembro de botnet: azorult |
|
Tipo de indicador intel de amenaza (ThreatIntelIndicatorType) |
Tipo del indicador de amenaza resuelto a partir de la dirección IP utilizada en la acción. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Agente de usuario (UserAgent) |
Agente de usuario usado en la acción. | Biblioteca cliente de Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Familia de agentes de usuario (UserAgentFamily) |
Familia de agentes de usuario usada en la acción. | Chrome, Microsoft Edge, Firefox |
Campo ActivityInsights
En las tablas siguientes se describen los enriquecimientos que se muestran en el campo dinámico ActivityInsights de la tabla BehaviorAnalytics:
Acción realizada
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primera acción realizada por el usuario (FirstTimeUserPerformedAction) |
180 | El usuario realizó la acción por primera vez. | True, False |
|
Acción que realiza el usuario de forma poco frecuente (ActionUncommonlyPerformedByUser) |
10 | El usuario no suele realizar la acción. | True, False |
|
Acción que se realiza de forma poco frecuente entre los elementos del mismo nivel (ActionUncommonlyPerformedAmongPeers) |
180 | La acción no se realiza normalmente entre los elementos del mismo nivel del usuario. | True, False |
|
Primera acción realizada en el inquilino (FirstTimeActionPerformedInTenant) |
180 | La acción la realizó por primera vez cualquier persona de la organización. | True, False |
|
Acción que se realiza de forma poco frecuente en el inquilino (ActionUncommonlyPerformedInTenant) |
180 | La acción no se realiza normalmente en la organización. | True, False |
Aplicación usada
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primera vez que el usuario usó la aplicación (FirstTimeUserUsedApp) |
180 | El usuario usó la aplicación por primera vez. | True, False |
|
Aplicación que el usuario usa de forma poco frecuente (AppUncommonlyUsedByUser) |
10 | El usuario no suele usar la aplicación. | True, False |
|
Aplicación que se usa de forma poco frecuente entre los elementos del mismo nivel (AppUncommonlyUsedAmongPeers) |
180 | La aplicación no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
|
Primera aplicación observada en el inquilino (FirstTimeAppObservedInTenant) |
180 | La aplicación se observó por primera vez en la organización. | True, False |
|
Aplicación que se usa de forma poco frecuente en el inquilino (AppUncommonlyUsedInTenant) |
180 | La aplicación no se usa normalmente en la organización. | True, False |
Explorador utilizado
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primer usuario conectado a través del explorador (FirstTimeUserConnectedViaBrowser) |
30 | El usuario observó por primera vez el explorador. | True, False |
|
Explorador que el usuario usa de forma poco frecuente (BrowserUncommonlyUsedByUser) |
10 | El usuario no suele usar el explorador. | True, False |
|
Explorador que se usa de forma poco frecuente entre los compañeros (BrowserUncommonlyUsedAmongPeers) |
30 | El explorador no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
|
Explorador por primera vez observado en el inquilino (FirstTimeBrowserObservedInTenant) |
30 | El explorador se observó por primera vez en la organización. | True, False |
|
Explorador que se usa de forma poco frecuente en el inquilino (BrowserUncommonlyUsedInTenant) |
30 | El explorador no se usa normalmente en la organización. | True, False |
País o región conectado desde
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primer usuario conectado desde el país (FirstTimeUserConnectedFromCountry) |
90 | El usuario conectó por primera vez la ubicación geográfica, tal como se resolvió desde la dirección IP. | True, False |
|
País con conexión poco frecuente desde el usuario (CountryUncommonlyConnectedFromByUser) |
10 | La ubicación geográfica, como se resuelve desde la dirección IP, no suele estar conectada desde el usuario. | True, False |
|
País con conexión poco frecuente entre compañeros (CountryUncommonlyConnectedFromAmongPeers) |
90 | La ubicación geográfica, tal como se resuelve desde la dirección IP, no suele estar conectada entre los elementos del mismo nivel del usuario. | True, False |
|
Primera conexión desde el país observado en el inquilino (FirstTimeConnectionFromCountryObservedInTenant) |
90 | El país o región se conectó por primera vez con cualquier persona de la organización. | True, False |
|
País con conexión poco frecuente desde en el inquilino (CountryUncommonlyConnectedFromInTenant) |
90 | La ubicación geográfica, tal y como se resuelve desde la dirección IP, no suele estar conectada desde la organización. | True, False |
Dispositivo usado para conectarse
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primer usuario conectado desde el dispositivo (FirstTimeUserConnectedFromDevice) |
30 | El usuario conectó el dispositivo de origen por primera vez. | True, False |
|
Dispositivo que el usuario usa de forma poco frecuente (DeviceUncommonlyUsedByUser) |
10 | El usuario no suele usar el dispositivo. | True, False |
|
Dispositivo que se usa de forma poco frecuente entre los elementos del mismo nivel (DeviceUncommonlyUsedAmongPeers) |
180 | El dispositivo no se usa normalmente entre los elementos del mismo nivel del usuario. | True, False |
|
Primer dispositivo observado en el inquilino (FirstTimeDeviceObservedInTenant) |
30 | El dispositivo se observó por primera vez en la organización. | True, False |
|
Dispositivo que se usa de forma poco frecuente en el inquilino (DeviceUncommonlyUsedInTenant) |
180 | El dispositivo no se usa normalmente en la organización. | True, False |
Otros dispositivos relacionados
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primera vez que el usuario inició sesión en el dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | El usuario conectó el dispositivo de destino por primera vez. | True, False |
|
Familia de dispositivos que se usa poco en el inquilino (DeviceFamilyUncommonlyUsedInTenant) |
30 | La familia de dispositivos no se usa normalmente en la organización. | True, False |
Proveedor de servicios de Internet que se usa para conectarse
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primer usuario conectado a través de ISP (FirstTimeUserConnectedViaISP) |
30 | El ISP fue observado por primera vez por el usuario. | True, False |
|
ISP que usa el usuario de forma poco frecuente (ISPUncommonlyUsedByUser) |
10 | El usuario no suele usar el ISP. | True, False |
|
ISP que se usa de forma poco frecuente entre los pares (ISPUncommonlyUsedAmongPeers) |
30 | El ISP no se usa normalmente entre los pares del usuario. | True, False |
|
Primera conexión a través de ISP en el inquilino (FirstTimeConnectionViaISPInTenant) |
30 | El ISP se observó por primera vez en la organización. | True, False |
|
ISP que se usa de forma poco frecuente en el inquilino (ISPUncommonlyUsedInTenant) |
30 | El ISP no se usa normalmente en la organización. | True, False |
Recurso al que se accede
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Primer recurso al que el usuario accede por primera vez (FirstTimeUserAccessedResource) |
180 | El usuario tuvo acceso al recurso por primera vez. | True, False |
|
Recurso al que el usuario accede de forma poco frecuente (ResourceUncommonlyAccessedByUser) |
10 | El usuario no suele acceder al recurso. | True, False |
|
Recurso al que se accede de forma poco frecuente entre los elementos del mismo nivel (ResourceUncommonlyAccessedAmongPeers) |
180 | No se suele tener acceso al recurso entre los elementos del mismo nivel del usuario. | True, False |
|
Primer recurso al que se accede en el inquilino (FirstTimeResourceAccessedInTenant) |
180 | Cualquier persona de la organización accedió al recurso por primera vez. | True, False |
|
Recurso al que se accede de forma poco frecuente en el inquilino (ResourceUncommonlyAccessedInTenant) |
180 | No se suele acceder al recurso en la organización. | True, False |
Varios
| Nombre del enriquecimiento | Línea base (días) | Description | Valor de ejemplo |
|---|---|---|---|
|
Última vez que el usuario realizó una acción (LastTimeUserPerformedAction) |
180 | La última vez que el usuario realizó la misma acción. | <Marca de tiempo> |
|
No se realizó una acción similar en el pasado (SimilarActionWasn'tPerformedInThePast) |
30 | El usuario no realizó ninguna acción en el mismo proveedor de recursos. | True, False |
|
Ubicación ip de origen (SourceIPLocation) |
N/A | País o región resuelto desde la dirección IP de origen de la acción. | [Surrey, Inglaterra] |
|
Volumen de operaciones poco frecuente (UncommonHighVolumeOfOperations) |
7 | Un usuario realizó una ráfaga de operaciones similares dentro del mismo proveedor. | True, False |
|
Número inusual de errores de acceso condicional de Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un número inusual de usuarios no se pudo autenticar debido al acceso condicional | True, False |
|
Número inusual de dispositivos agregados (UnusualNumberOfDevicesAdded) |
5 | Un usuario agregó un número inusual de dispositivos. | True, False |
|
Número inusual de dispositivos eliminados (UnusualNumberOfDevicesDeleted) |
5 | Un usuario eliminó un número inusual de dispositivos. | True, False |
|
Número inusual de usuarios agregados al grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Un usuario agregó un número inusual de usuarios a un grupo. | True, False |
Tabla IdentityInfo
Después de habilitar y configurar UEBA para el área de trabajo de Microsoft Sentinel, los datos de usuario de los proveedores de identidades de Microsoft se sincronizan con la tabla IdentityInfo de Log Analytics para su uso en Microsoft Sentinel.
Esos proveedores de identidades son o ambos de lo siguiente, dependiendo de la opción que haya seleccionado al configurar UEBA:
- Microsoft Entra ID (basado en la nube)
- Microsoft Active Directory (local, requiere Microsoft Defender for Identity))
Puede consultar la tabla IdentityInfo en reglas de análisis, consultas de búsqueda y libros, lo que mejora el análisis para ajustarse a los casos de uso y reduce los falsos positivos.
Aunque la sincronización inicial puede tardar unos días, una vez que los datos están totalmente sincronizados:
Cada 14 días, Microsoft Sentinel se vuelve a sincronizar con toda la Microsoft Entra ID (y el Active Directory local, si procede) para asegurarse de que los registros obsoletos están totalmente actualizados.
Además de estas sincronizaciones completas normales, cada vez que se realizan cambios en los perfiles de usuario, grupos y roles integrados en Microsoft Entra ID, los registros de usuario afectados se vuelven a modificar y actualizar en la tabla IdentityInfo en un plazo de entre 15 y 30 minutos. Esta ingesta se factura a tarifas regulares. Por ejemplo:
Se cambió un atributo de usuario, como el nombre para mostrar, el título del trabajo o la dirección de correo electrónico. Se ingiere un nuevo registro para este usuario en la tabla IdentityInfo , con los campos pertinentes actualizados.
El grupo A tiene 100 usuarios. 5 usuarios se agregan al grupo o se quitan del grupo. En este caso, esos cinco registros de usuario se vuelven a generar y sus campos GroupMembership se actualizan.
El grupo A tiene 100 usuarios. Se agregan diez usuarios al grupo A. Además, los grupos A1 y A2, cada uno con 10 usuarios, se agregan al grupo A. En este caso, se vuelven a agregar 30 registros de usuario y se actualizan sus campos GroupMembership . Esto sucede porque la pertenencia a grupos es transitiva, por lo que los cambios en los grupos afectan a todos sus subgrupos.
El nombre del grupo B (con 50 usuarios) se cambia a Group BeGood. En este caso, se vuelven a generar 50 registros de usuario y se actualizan sus campos GroupMembership . Si hay subgrupos en ese grupo, ocurre lo mismo para todos los registros de sus miembros.
El tiempo de retención predeterminado de la tabla IdentityInfo es de 30 días.
Limitaciones
El campo AssignedRoles solo admite roles integrados.
El campo GroupMembership admite la enumeración de hasta 500 grupos por usuario, incluidos los subgrupos. Si un usuario es miembro de más de 500 grupos, solo los primeros 500 se sincronizan con la tabla IdentityInfo . Sin embargo, los grupos no se evalúan en ningún orden determinado, por lo que en cada nueva sincronización (cada 14 días), es posible que se actualice un conjunto diferente de grupos al registro de usuario.
Cuando se elimina un usuario, el registro de ese usuario no se elimina inmediatamente de la tabla IdentityInfo . El motivo es que uno de los propósitos de esta tabla es auditar los cambios en los registros de usuario. Por lo tanto, queremos que esta tabla tenga un registro de un usuario que se va a eliminar, lo que solo puede ocurrir si el registro de usuario de la tabla IdentityInfo sigue existiendo, aunque se elimine el usuario real (por ejemplo, en Entra identificador).
Los usuarios eliminados se pueden identificar por la presencia de un valor en el
deletedDateTimecampo. Por lo tanto, si necesita una consulta para mostrar una lista de usuarios, puede filtrar los usuarios eliminados agregando| where IsEmpty(deletedDateTime)a la consulta.En un intervalo de tiempo determinado después de eliminar un usuario, el registro del usuario también se quita de la tabla IdentityInfo .
Cuando se elimina un grupo o si se cambia el nombre de un grupo con más de 100 miembros, los registros de usuario de miembro de ese grupo no se actualizan. Si un cambio diferente hace que uno de los registros de esos usuarios se actualice, la información actualizada del grupo se incluirá en ese momento.
Otras versiones de la tabla IdentityInfo
Hay varias versiones de la tabla IdentityInfo :
La versión del esquema de Log Analytics, que se describe en este artículo, sirve Microsoft Sentinel en el Azure Portal. Está disponible para los clientes que habilitaron UEBA.
La versión del esquema de búsqueda avanzada sirve al portal de Microsoft Defender a través de Microsoft Defender for Identity. Está disponible para los clientes de Microsoft Defender XDR, con o sin Microsoft Sentinel y para los clientes de Microsoft Sentinel por sí mismos en el portal de Defender.
UEBA no tiene que estar habilitado para tener acceso a esta tabla. Sin embargo, para los clientes sin UEBA habilitado, los campos rellenados por los datos de UEBA no están visibles ni están disponibles.
Para obtener más información, consulte la documentación de la versión de búsqueda avanzada de esta tabla.
A partir de mayo de 2025, los clientes de Microsoft Sentinel en el portal de Microsoft Defendercon UEBA habilitadocomienzan a usar una nueva versión de la versión de búsqueda avanzada. Esta nueva versión incluye todos los campos UEBA de la versión de Log Analytics, así como algunos campos nuevos, y se conoce como la versión unificada o la tabla IdentityInfo unificada.
Los clientes del portal de Defender sin UEBA habilitado o sin Microsoft Sentinel, siguen usando la versión anterior de la versión de búsqueda avanzada, sin los campos generados por UEBA.
Para obtener más información sobre la versión unificada, consulte IdentityInfo en la documentación de búsqueda avanzada.
Importante
Al realizar la transición al portal de Defender, la IdentityInfo tabla se convierte en una tabla nativa de Defender que no admite RBAC de nivel de tabla (Access Control basado en rol). Si su organización usa RBAC de nivel de tabla para restringir el acceso a la IdentityInfo tabla en el Azure Portal, este control de acceso dejará de estar disponible después de realizar la transición al portal de Defender.
Esquema
En la tabla de la siguiente pestaña "Esquema de Log Analytics" se describen los datos de identidad de usuario incluidos en la tabla IdentityInfo de Log Analytics en el Azure Portal.
Si va a incorporar Microsoft Sentinel al portal de Defender, seleccione la pestaña "Comparar con el esquema unificado" para ver los cambios que podrían afectar potencialmente a las consultas en las reglas y búsquedas de detección de amenazas.
| Nombre del campo | Tipo | Description |
|---|---|---|
| AccountCloudSID | string | Identificador de seguridad Microsoft Entra de la cuenta. |
| AccountCreationTime | datetime | La fecha en que se creó la cuenta de usuario (UTC). |
| AccountDisplayName | string | Nombre para mostrar de la cuenta de usuario. |
| AccountDomain | string | Nombre de dominio de la cuenta de usuario. |
| AccountName | string | Nombre de usuario de la cuenta de usuario. |
| AccountObjectId | string | Identificador de objeto Microsoft Entra para la cuenta de usuario. |
| AccountSID | string | Identificador de seguridad local de la cuenta de usuario. |
| AccountTenantId | string | El Microsoft Entra identificador de inquilino de la cuenta de usuario. |
| AccountUPN | string | Nombre principal de usuario de la cuenta de usuario. |
| AdditionalMailAddresses | dinámico | Las direcciones de correo electrónico adicionales del usuario. |
| AssignedRoles | dinámico | Los roles de Microsoft Entra a los que se asigna la cuenta de usuario. Solo se admiten los roles integrados. |
| BlastRadius | string | Cálculo basado en la posición del usuario en el árbol de la organización y en los roles y permisos de Microsoft Entra del usuario. Valores posibles: Bajo, Medio, Alto |
| ChangeSource | string | Origen del cambio más reciente en la entidad. Posibles valores: |
| Ciudad | string | Ciudad de la cuenta de usuario. |
| CompanyName | string | Nombre de la empresa al que pertenece el usuario. |
| País | string | País o región de la cuenta de usuario. |
| DeletedDateTime | datetime | Fecha y hora en que se eliminó el usuario. |
| Departamento | string | Departamento de la cuenta de usuario. |
| EmployeeId | string | El identificador de empleado asignado al usuario en la organización. |
| GivenName | string | Nombre dado de la cuenta de usuario. |
| GroupMembership | dinámico | Microsoft Entra ID grupos en los que la cuenta de usuario es miembro. |
| IsAccountEnabled | bool | Indicación de si la cuenta de usuario está habilitada en Microsoft Entra ID o no. |
| JobTitle | string | El título del trabajo de la cuenta de usuario. |
| MailAddress | string | Dirección de correo electrónico principal de la cuenta de usuario. |
| Manager | string | Alias de administrador de la cuenta de usuario. |
| OnPremisesDistinguishedName | string | El Microsoft Entra ID nombre distintivo (DN). Un nombre distintivo es una secuencia de nombres distintivos relativos (RDN), conectados por comas. |
| Teléfono | string | Número de teléfono de la cuenta de usuario. |
| RiskLevel | string | Nivel de riesgo Microsoft Entra ID de la cuenta de usuario. Posibles valores: |
| RiskLevelDetails | string | Detalles sobre el nivel de riesgo de Microsoft Entra ID. |
| RiskState | string | Indicación de si la cuenta está en riesgo ahora o si se corrigió el riesgo. |
| SourceSystem | string | Sistema en el que se administra el usuario. Posibles valores: |
| State | string | Estado geográfico de la cuenta de usuario. |
| StreetAddress | string | La dirección postal de la oficina de la cuenta de usuario. |
| Surname | string | El apellido del usuario. cuenta. |
| TenantId | string | Identificador de inquilino del usuario. |
| TimeGenerated | datetime | Hora a la que se generó el evento (UTC). |
| Tipo | string | Nombre de la tabla. |
| UserAccountControl | dinámico | Atributos de seguridad de la cuenta de usuario en el dominio de AD. Valores posibles (pueden contener más de uno): |
| UserState | string | Estado actual de la cuenta de usuario en Microsoft Entra ID. Posibles valores: |
| UserStateChangedOn | datetime | Fecha de la última vez que se cambió el estado de la cuenta (UTC). |
| UserType | string | Tipo de usuario. |
Los campos siguientes, aunque existen en el esquema de Log Analytics, deben omitirse, ya que no se usan ni admiten en Microsoft Sentinel:
- Aplicaciones
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Etiquetas
- UACFlags