Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article répertorie les sources de données d’entrée pour le service Analyse du comportement des utilisateurs et des entités dans Microsoft Sentinel. Il décrit également les enrichissements qu’UEBA ajoute aux entités, en fournissant le contexte nécessaire aux alertes et aux incidents.
Importante
Après le 31 mars 2027, Microsoft Sentinel ne seront plus pris en charge dans le Portail Azure et ne seront disponibles que dans le portail Microsoft Defender. Tous les clients qui utilisent Microsoft Sentinel dans le Portail Azure sont redirigés vers le portail Defender et utilisent Microsoft Sentinel dans le portail Defender uniquement.
Si vous utilisez toujours Microsoft Sentinel dans le Portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition en douceur et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender.
Sources de données UEBA
Il s’agit des sources de données à partir desquelles le moteur UEBA collecte et analyse les données pour entraîner ses modèles ML et définir des bases de référence comportementales pour les utilisateurs, les appareils et d’autres entités. UEBA examine ensuite les données de ces sources pour trouver des anomalies et obtenir des insights.
| Source de données | Connector | Table Log Analytics | Catégories d’événements analysées |
|---|---|---|---|
| Journaux de connexion d’identité managée AAD (préversion) | Identifiant Microsoft Entra | AADManagedIdentitySignInLogs | Tous les événements de connexion d’identité managée |
| Journaux de connexion du principal du service AAD (préversion) | Identifiant Microsoft Entra | AADServicePrincipalSignInLogs | Tous les événements de connexion du principal de service |
| Journaux d’audit | Identifiant Microsoft Entra | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Appareil RoleManagement UserManagementCategory |
| AWS CloudTrail (préversion) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Événements de connexion à la console. Identifié par EventName = "ConsoleLogin" et EventSource = "signin.amazonaws.com". Les événements doivent avoir un valide UserIdentityPrincipalId. |
| activité Azure | activité Azure | AzureActivity | Autorisation AzureActiveDirectory Facturation Calcul Modèle de consommation Coffre de clés Appareils Réseau Ressources Intune Logique SQL Stockage |
| Événements d’ouverture de session d’appareil (préversion) | Microsoft Defender XDR | DeviceLogonEvents | Tous les événements d’ouverture de session de l’appareil |
| Journaux d’audit GCP (préversion) | Journaux d’audit de publication/de sous-publication GCP | GCPAuditLogs |
apigee.googleapis.com- plateforme Gestion des APIiam.googleapis.com - Service de gestion des identités et des accès (IAM)iamcredentials.googleapis.com - API d’informations d’identification du compte de service IAMcloudresourcemanager.googleapis.com- API Resource Manager cloudcompute.googleapis.com - API du moteur de calculstorage.googleapis.com - API de stockage cloudcontainer.googleapis.com - API du moteur Kubernetesk8s.io - API Kubernetescloudsql.googleapis.com - API SQL cloudbigquery.googleapis.com - API BigQuerybigquerydatatransfer.googleapis.com - API du service de transfert de données BigQuerycloudfunctions.googleapis.com - API Cloud Functionsappengine.googleapis.com - API du moteur d’applicationdns.googleapis.com - API DNS cloudbigquerydatapolicy.googleapis.com - API de stratégie de données BigQueryfirestore.googleapis.com - API Firestoredataproc.googleapis.com - API Dataprocosconfig.googleapis.com - API de configuration du système d’exploitationcloudkms.googleapis.com - API KMS cloudsecretmanager.googleapis.com - API Du gestionnaire de secretsLes événements doivent avoir un valide : - PrincipalEmail - Compte d’utilisateur ou de service qui a appelé l’API- MethodName - La méthode d’API Google spécifique appelée- E-mail principal, au user@domain.com format. |
| Okta CL (préversion) | Okta Single Sign-On (à l’aide de Azure Functions) | Okta_CL | Authentification, authentification multifacteur (MFA) et événements de session, notamment :app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startLes événements doivent avoir un ID utilisateur valide ( actor_id_s). |
| Événements de sécurité |
événements Sécurité Windows via AMA Événements transférés Windows |
WindowsEvent SecurityEvent |
4624 : Un compte a été correctement connecté 4625 : Échec de la connexion d’un compte 4648 : Tentative d’ouverture de session à l’aide d’informations d’identification explicites 4672 : Privilèges spéciaux attribués à une nouvelle ouverture de session 4688 : Un nouveau processus a été créé |
| Journaux de connexion | Identifiant Microsoft Entra | SigninLogs | Tous les événements de connexion |
Enrichissements UEBA
Cette section décrit les enrichissements qu’UEBA ajoute à Microsoft Sentinel entités, que vous pouvez utiliser pour concentrer et affiner vos enquêtes sur les incidents de sécurité. Ces enrichissements sont affichés sur les pages d’entité et se trouvent dans les tables Log Analytics suivantes, dont le contenu et le schéma sont répertoriés ci-dessous :
La table BehaviorAnalytics est l’emplacement où les informations de sortie d’UEBA sont stockées.
Les trois champs dynamiques suivants de la table BehaviorAnalytics sont décrits dans la section champs dynamiques enrichissements d’entité ci-dessous.
Les champs UsersInsights et DevicesInsights contiennent des informations d’entité provenant des sources Active Directory/Microsoft Entra ID et Microsoft Threat Intelligence.
Le champ ActivityInsights contient des informations d’entité basées sur les profils comportementaux créés par l’analytique du comportement d’entité de Microsoft Sentinel.
Les activités des utilisateurs sont analysées par rapport à une base de référence qui est compilée dynamiquement chaque fois qu’elle est utilisée. Chaque activité a sa propre période de recherche arrière définie à partir de laquelle la ligne de base dynamique est dérivée. La période de recherche arrière est spécifiée dans la colonne Ligne de base de cette table.
La table IdentityInfo est l’emplacement où les informations d’identité synchronisées avec UEBA à partir de Microsoft Entra ID (et de Active Directory local via Microsoft Defender pour Identity) sont stockées.
Table BehaviorAnalytics
Le tableau suivant décrit les données d’analyse du comportement affichées sur chaque page de détails d’entité dans Microsoft Sentinel.
| Champ | Type | Description |
|---|---|---|
| TenantId | string | Numéro d’identification unique du locataire. |
| SourceRecordId | string | Numéro d’identification unique de l’événement EBA. |
| TimeGenerated | DateHeure | Horodatage de l’occurrence de l’activité. |
| TimeProcessed | DateHeure | Horodatage du traitement de l’activité par le moteur EBA. |
| ActivityType | string | Catégorie de haut niveau de l’activité. |
| ActionType | string | Nom normalisé de l’activité. |
| UserName | string | Nom d’utilisateur de l’utilisateur qui a lancé l’activité. |
| UserPrincipalName | string | Nom d’utilisateur complet de l’utilisateur qui a lancé l’activité. |
| EventSource | string | Source de données qui a fourni l’événement d’origine. |
| SourceIPAddress | string | Adresse IP à partir de laquelle l’activité a été lancée. |
| SourceIPLocation | string | Pays/région à partir duquel l’activité a été lancée, enrichi à partir de l’adresse IP. |
| SourceDevice | string | Nom d’hôte de l’appareil qui a lancé l’activité. |
| DestinationIPAddress | string | Adresse IP de la cible de l’activité. |
| DestinationIPLocation | string | Pays/région de la cible de l’activité, enrichi à partir de l’adresse IP. |
| DestinationDevice | string | Nom de l’appareil cible. |
| UsersInsights | Dynamique | Enrichissements contextuels des utilisateurs impliqués (détails ci-dessous). |
| DevicesInsights | Dynamique | Enrichissements contextuels des appareils impliqués (détails ci-dessous). |
| ActivityInsights | Dynamique | L’analyse contextuelle de l’activité basée sur notre profilage (détails ci-dessous). |
| InvestigationPriority | int | Score d’anomalie, entre 0 et 10 (0=bénin, 10=hautement anormal). Ce score quantifie le degré d’écart par rapport au comportement attendu. Des scores plus élevés indiquent un écart plus important par rapport à la base de référence et sont plus susceptibles d’indiquer de vraies anomalies. Les scores inférieurs peuvent toujours être anormaux, mais sont moins susceptibles d’être significatifs ou actionnables. |
Enrichissements d’entités - Champs dynamiques
Remarque
La colonne Nom d’enrichissement dans les tables de cette section affiche deux lignes d’informations.
- Le premier, en gras, est le « nom convivial » de l’enrichissement.
- Le deuxième (en italique et entre parenthèses) est le nom de champ de l’enrichissement tel qu’il est stocké dans la table Analyse du comportement.
Champ UsersInsights
Le tableau suivant décrit les enrichissements proposés dans le champ dynamique UsersInsights de la table BehaviorAnalytics :
| Nom de l’enrichissement | Description | Exemple de valeur |
|---|---|---|
|
Nom complet du compte (AccountDisplayName) |
Nom complet du compte de l’utilisateur. | Administration Hayden Cook |
|
Domaine de compte (AccountDomain) |
Nom de domaine du compte de l’utilisateur. | |
|
ID d’objet de compte (AccountObjectID) |
ID d’objet de compte de l’utilisateur. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Rayon d’explosion (BlastRadius) |
Le rayon d’explosion est calculé en fonction de plusieurs facteurs : la position de l’utilisateur dans l’arborescence de l’organisation et les rôles et autorisations Microsoft Entra de l’utilisateur. La propriété Manager de l’utilisateur doit être renseignée dans Microsoft Entra ID pour que BlastRadius soit calculé. | Faible, Moyen, Élevé |
|
Le compte est dormant (IsDormantAccount) |
Le compte n’a pas été utilisé au cours des 180 derniers jours. | True, False |
|
Est un administrateur local (IsLocalAdmin) |
Le compte dispose de privilèges d’administrateur local. | True, False |
|
Est nouveau compte (IsNewAccount) |
Le compte a été créé au cours des 30 derniers jours. | True, False |
|
SID local (OnPremisesSID) |
SID local de l’utilisateur lié à l’action. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Champ DevicesInsights
Le tableau suivant décrit les enrichissements proposés dans le champ dynamique DevicesInsights de la table BehaviorAnalytics :
| Nom de l’enrichissement | Description | Exemple de valeur |
|---|---|---|
|
Navigateur (Navigateur) |
Navigateur utilisé dans l’action. | Microsoft Edge, Chrome |
|
Famille de périphériques (DeviceFamily) |
Famille d’appareils utilisée dans l’action. | Windows |
|
Type de périphérique (DeviceType) |
Type d’appareil client utilisé dans l’action | Ordinateur de bureau |
|
FAI (ISP) |
Fournisseur de services Internet utilisé dans l’action. | |
|
Système d’exploitation (OperatingSystem) |
Système d’exploitation utilisé dans l’action. | Windows 10 |
|
Description de l’indicateur d’intel de menace (ThreatIntelIndicatorDescription) |
Description de l’indicateur de menace observé résolu à partir de l’adresse IP utilisée dans l’action. | L’hôte est membre du botnet : azorult |
|
Type d’indicateur d’intel de menace (ThreatIntelIndicatorType) |
Type de l’indicateur de menace résolu à partir de l’adresse IP utilisée dans l’action. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Agent utilisateur (UserAgent) |
Agent utilisateur utilisé dans l’action. | Bibliothèque de client Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Famille d’agents utilisateur (UserAgentFamily) |
Famille d’agents utilisateur utilisée dans l’action. | Chrome, Microsoft Edge, Firefox |
Champ ActivityInsights
Les tableaux suivants décrivent les enrichissements proposés dans le champ dynamique ActivityInsights de la table BehaviorAnalytics :
Action effectuée
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Première action effectuée par l’utilisateur (FirstTimeUserPerformedAction) |
180 | L’action a été effectuée pour la première fois par l’utilisateur. | True, False |
|
Action effectuée de manière inhabituelle par l’utilisateur (ActionUncommonlyPerformedByUser) |
10 | L’action n’est généralement pas effectuée par l’utilisateur. | True, False |
|
Action effectuée de manière inhabituelle parmi les pairs (ActionUncommonlyPerformedAmongPeers) |
180 | L’action n’est généralement pas effectuée parmi les pairs de l’utilisateur. | True, False |
|
Première action effectuée dans le locataire (FirstTimeActionPerformedInTenant) |
180 | L’action a été effectuée pour la première fois par toute personne dans le organization. | True, False |
|
Action rarement effectuée dans le locataire (ActionUncommonlyPerformedInTenant) |
180 | L’action n’est généralement pas effectuée dans le organization. | True, False |
Application utilisée
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Application utilisée pour la première fois par l’utilisateur (FirstTimeUserUsedApp) |
180 | L’application a été utilisée pour la première fois par l’utilisateur. | True, False |
|
Application utilisée de manière inhabituelle par l’utilisateur (AppUncommonlyUsedByUser) |
10 | L’application n’est pas couramment utilisée par l’utilisateur. | True, False |
|
Application rarement utilisée parmi les pairs (AppUncommonlyUsedAmongPeers) |
180 | L’application n’est pas couramment utilisée parmi les pairs de l’utilisateur. | True, False |
|
Première application observée dans le locataire (FirstTimeAppObservedInTenant) |
180 | L’application a été observée pour la première fois dans le organization. | True, False |
|
Application rarement utilisée dans le locataire (AppUncommonlyUsedInTenant) |
180 | L’application n’est pas couramment utilisée dans le organization. | True, False |
Navigateur utilisé
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Premier utilisateur connecté via un navigateur (FirstTimeUserConnectedViaBrowser) |
30 | Le navigateur a été observé pour la première fois par l’utilisateur. | True, False |
|
Navigateur utilisé de manière inhabituelle par l’utilisateur (BrowserUncommonlyUsedByUser) |
10 | Le navigateur n’est pas couramment utilisé par l’utilisateur. | True, False |
|
Navigateur rarement utilisé parmi les pairs (BrowserUncommonlyUsedAmongPeers) |
30 | Le navigateur n’est pas couramment utilisé parmi les pairs de l’utilisateur. | True, False |
|
Premier navigateur observé dans le locataire (FirstTimeBrowserObservedInTenant) |
30 | Le navigateur a été observé pour la première fois dans le organization. | True, False |
|
Navigateur rarement utilisé dans le locataire (BrowserUncommonlyUsedInTenant) |
30 | Le navigateur n’est pas couramment utilisé dans le organization. | True, False |
Pays/région connecté à partir de
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Premier utilisateur connecté à partir du pays (FirstTimeUserConnectedFromCountry) |
90 | L’emplacement géographique, tel qu’il a été résolu à partir de l’adresse IP, a été connecté à partir de pour la première fois par l’utilisateur. | True, False |
|
Pays rarement connecté à partir de par l’utilisateur (CountryUncommonlyConnectedFromByUser) |
10 | L’emplacement géographique, tel qu’il est résolu à partir de l’adresse IP, n’est généralement pas connecté à partir de par l’utilisateur. | True, False |
|
Pays exceptionnellement connecté entre pairs (CountryUncommonlyConnectedFromAmongPeers) |
90 | L’emplacement géographique, tel qu’il est résolu à partir de l’adresse IP, n’est généralement pas connecté entre les pairs de l’utilisateur. | True, False |
|
Première connexion à partir du pays observée dans le locataire (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Le pays/la région a été connecté à partir de pour la première fois par n’importe qui dans le organization. | True, False |
|
Pays rarement connecté à partir du locataire (CountryUncommonlyConnectedFromInTenant) |
90 | L’emplacement géographique, tel qu’il est résolu à partir de l’adresse IP, n’est généralement pas connecté à partir du organization. | True, False |
Appareil utilisé pour se connecter
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Premier utilisateur connecté à partir d’un appareil (FirstTimeUserConnectedFromDevice) |
30 | L’appareil source a été connecté à partir de pour la première fois par l’utilisateur. | True, False |
|
Appareil utilisé de manière inhabituelle par l’utilisateur (DeviceUncommonlyUsedByUser) |
10 | L’appareil n’est pas couramment utilisé par l’utilisateur. | True, False |
|
Appareil rarement utilisé parmi les pairs (DeviceUncommonlyUsedAmongPeers) |
180 | L’appareil n’est pas couramment utilisé parmi les pairs de l’utilisateur. | True, False |
|
Premier appareil observé dans le locataire (FirstTimeDeviceObservedInTenant) |
30 | L’appareil a été observé pour la première fois dans le organization. | True, False |
|
Appareil rarement utilisé dans le locataire (DeviceUncommonlyUsedInTenant) |
180 | L’appareil n’est pas couramment utilisé dans le organization. | True, False |
Autres appareils
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Premier utilisateur connecté à l’appareil (FirstTimeUserLoggedOnToDevice) |
180 | L’appareil de destination a été connecté à pour la première fois par l’utilisateur. | True, False |
|
Famille d’appareils rarement utilisée dans le locataire (DeviceFamilyUncommonlyUsedInTenant) |
30 | La famille d’appareils n’est pas couramment utilisée dans le organization. | True, False |
Fournisseur de services Internet utilisé pour se connecter
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Premier utilisateur connecté via un isp (FirstTimeUserConnectedViaISP) |
30 | Le fai a été observé pour la première fois par l’utilisateur. | True, False |
|
IsP rarement utilisé par l’utilisateur (ISPUncommonlyUsedByUser) |
10 | Le fai n’est pas couramment utilisé par l’utilisateur. | True, False |
|
ISP utilisé de manière rare parmi les pairs (ISPUncommonlyUsedAmongPeers) |
30 | Le fournisseur de services Internet n’est pas couramment utilisé parmi les pairs de l’utilisateur. | True, False |
|
Première connexion via un isp dans le locataire (FirstTimeConnectionViaISPInTenant) |
30 | Le fai a été observé pour la première fois dans le organization. | True, False |
|
IsP rarement utilisé dans le locataire (ISPUncommonlyUsedInTenant) |
30 | Le isp n’est pas couramment utilisé dans le organization. | True, False |
Ressource consultée
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Ressource utilisée pour la première fois par l’utilisateur (FirstTimeUserAccessedResource) |
180 | L’utilisateur a accédé à la ressource pour la première fois. | True, False |
|
Ressource rarement consultée par l’utilisateur (ResourceUncommonlyAccessedByUser) |
10 | L’utilisateur n’a généralement pas accès à la ressource. | True, False |
|
Ressource rarement consultée parmi les pairs (ResourceUncommonlyAccessedAmongPeers) |
180 | La ressource n’est généralement pas accessible parmi les pairs de l’utilisateur. | True, False |
|
Première ressource sollicitée dans le locataire (FirstTimeResourceAccessedInTenant) |
180 | Toute personne dans le organization a accédé à la ressource pour la première fois. | True, False |
|
Ressource rarement sollicitée dans le locataire (ResourceUncommonlyAccessedInTenant) |
180 | La ressource n’est pas couramment accessible dans le organization. | True, False |
Divers
| Nom de l’enrichissement | Base de référence (jours) | Description | Exemple de valeur |
|---|---|---|---|
|
Dernière action effectuée par l’utilisateur (LastTimeUserPerformedAction) |
180 | Dernière fois que l’utilisateur a effectué la même action. | <Timestamp> |
|
Une action similaire n’a pas été effectuée dans le passé (SimilarActionWasn’tPerformedInThePast) |
30 | Aucune action dans le même fournisseur de ressources n’a été effectuée par l’utilisateur. | True, False |
|
Emplacement IP source (SourceIPLocation) |
N/A | Pays/région résolu à partir de l’adresse IP source de l’action. | [Surrey, Angleterre] |
|
Volume élevé d’opérations rare (UncommonHighVolumeOfOperations) |
7 | Un utilisateur a effectué une rafale d’opérations similaires au sein du même fournisseur | True, False |
|
Nombre inhabituel d’échecs d’accès conditionnel Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un nombre inhabituel d’utilisateurs n’ont pas pu s’authentifier en raison de l’accès conditionnel | True, False |
|
Nombre inhabituel d’appareils ajoutés (UnusualNumberOfDevicesAdded) |
5 | Un utilisateur a ajouté un nombre inhabituel d’appareils. | True, False |
|
Nombre inhabituel d’appareils supprimés (UnusualNumberOfDevicesDeleted) |
5 | Un utilisateur a supprimé un nombre inhabituel d’appareils. | True, False |
|
Nombre inhabituel d’utilisateurs ajoutés au groupe (UnusualNumberOfUsersAddedToGroup) |
5 | Un utilisateur a ajouté un nombre inhabituel d’utilisateurs à un groupe. | True, False |
Table IdentityInfo
Une fois que vous avez activé et configuré UEBA pour votre espace de travail Microsoft Sentinel, les données utilisateur de vos fournisseurs d’identité Microsoft sont synchronisées avec la table IdentityInfo dans Log Analytics pour une utilisation dans Microsoft Sentinel.
Ces fournisseurs d’identité sont l’un ou l’autre des suivants, ou les deux, selon que vous avez sélectionné lorsque vous avez configuré UEBA :
- Microsoft Entra ID (cloud)
- Microsoft Active Directory (local, nécessite Microsoft Defender pour Identity))
Vous pouvez interroger la table IdentityInfo dans les règles d’analyse, les requêtes de chasse et les classeurs, en améliorant vos analyses pour les adapter à vos cas d’usage et en réduisant les faux positifs.
Bien que la synchronisation initiale puisse prendre quelques jours, une fois les données entièrement synchronisées :
Tous les 14 jours, Microsoft Sentinel resynchronise avec l’ensemble de votre Microsoft Entra ID (et votre Active Directory local, le cas échéant) pour vous assurer que les enregistrements obsolètes sont entièrement mis à jour.
En plus de ces synchronisations complètes régulières, chaque fois que des modifications sont apportées à vos profils utilisateur, groupes et rôles intégrés dans Microsoft Entra ID, les enregistrements utilisateur concernés sont réinsérés et mis à jour dans la table IdentityInfo dans un délai de 15 à 30 minutes. Cette ingestion est facturée à des tarifs réguliers. Par exemple :
Un attribut utilisateur, tel que le nom d’affichage, le poste ou l’adresse e-mail, a été modifié. Un nouvel enregistrement pour cet utilisateur est ingéré dans la table IdentityInfo , avec les champs appropriés mis à jour.
Le groupe A compte 100 utilisateurs. 5 utilisateurs sont ajoutés au groupe ou supprimés du groupe. Dans ce cas, ces cinq enregistrements utilisateur sont réinstésés et leurs champs GroupMembership sont mis à jour.
Le groupe A compte 100 utilisateurs. Dix utilisateurs sont ajoutés au groupe A. En outre, les groupes A1 et A2, chacun avec 10 utilisateurs, sont ajoutés au groupe A. Dans ce cas, 30 enregistrements utilisateur sont réinstésés et leurs champs GroupMembership mis à jour. Cela se produit étant donné que l’appartenance au groupe est transitive, les modifications apportées aux groupes affectent tous leurs sous-groupes.
Le groupe B (avec 50 utilisateurs) est renommé Groupe BeGood. Dans ce cas, 50 enregistrements utilisateur sont réinstésés et leurs champs GroupMembership sont mis à jour. S’il existe des sous-groupes dans ce groupe, il en va de même pour tous les enregistrements de leurs membres.
La durée de rétention par défaut dans la table IdentityInfo est de 30 jours.
Limitations
Le champ AssignedRoles prend uniquement en charge les rôles intégrés.
Le champ GroupMembership prend en charge la liste jusqu’à 500 groupes par utilisateur, y compris les sous-groupes. Si un utilisateur est membre de plus de 500 groupes, seuls les 500 premiers sont synchronisés avec la table IdentityInfo . Toutefois, les groupes ne sont pas évalués dans un ordre particulier. Par conséquent, à chaque nouvelle synchronisation (tous les 14 jours), il est possible qu’un autre ensemble de groupes soit mis à jour vers l’enregistrement utilisateur.
Lorsqu’un utilisateur est supprimé, l’enregistrement de cet utilisateur n’est pas immédiatement supprimé de la table IdentityInfo . La raison en est que l’un des objectifs de cette table est d’auditer les modifications apportées aux enregistrements utilisateur. Par conséquent, nous voulons que cette table ait un enregistrement d’un utilisateur en cours de suppression, ce qui ne peut se produire que si l’enregistrement utilisateur dans la table IdentityInfo existe toujours, même si l’utilisateur réel (par exemple, dans l’ID Entra) est supprimé.
Les utilisateurs supprimés peuvent être identifiés par la présence d’une valeur dans le
deletedDateTimechamp . Par conséquent, si vous avez besoin d’une requête pour afficher une liste d’utilisateurs, vous pouvez filtrer les utilisateurs supprimés en ajoutant| where IsEmpty(deletedDateTime)à la requête.À un certain intervalle de temps après la suppression d’un utilisateur, l’enregistrement de l’utilisateur est également supprimé de la table IdentityInfo .
Lorsqu’un groupe est supprimé, ou si son nom a changé pour un groupe de plus de 100 membres, les enregistrements utilisateur des membres de ce groupe ne sont pas mis à jour. Si une modification différente entraîne la mise à jour des enregistrements de l’un de ces utilisateurs, les informations de groupe mises à jour sont alors incluses.
Autres versions de la table IdentityInfo
Il existe plusieurs versions de la table IdentityInfo :
La version du schéma Log Analytics, décrite dans cet article, sert Microsoft Sentinel dans le Portail Azure. Il est disponible pour les clients qui ont activé UEBA.
La version du schéma de repérage avancé sert le portail Microsoft Defender via Microsoft Defender pour Identity. Il est disponible pour les clients de Microsoft Defender XDR, avec ou sans Microsoft Sentinel, et pour les clients de Microsoft Sentinel seul dans le portail Defender.
UEBA n’a pas besoin d’être activé pour avoir accès à cette table. Toutefois, pour les clients sans UEBA activé, les champs remplis par les données UEBA ne sont pas visibles ou disponibles.
Pour plus d’informations, consultez la documentation de la version de repérage avancée de ce tableau.
À compter de mai 2025, les clients de Microsoft Sentinel dans le portail Microsoft Defenderavec UEBA activécommencent à utiliser une nouvelle version de la version de chasse avancée. Cette nouvelle version inclut tous les champs UEBA de la version de Log Analytics, ainsi que certains nouveaux champs, et est appelée version unifiée ou table IdentityInfo unifiée.
Les clients du portail Defender sans UEBA activé, ou sans Microsoft Sentinel du tout, continuent d’utiliser la version antérieure de la version de repérage avancée, sans les champs générés par UEBA.
Pour plus d’informations sur la version unifiée, consultez IdentityInfo dans la documentation sur la chasse avancée.
Importante
Lorsque vous effectuez la transition vers le portail Defender, la IdentityInfo table devient une table Defender native qui ne prend pas en charge le RBAC (role-based Access Control) au niveau de la table. Si votre organization utilise le RBAC au niveau de la table pour restreindre l’accès à la IdentityInfo table dans le Portail Azure, ce contrôle d’accès ne sera plus disponible après la transition vers le portail Defender.
Schéma
Le tableau de l’onglet « Schéma Log Analytics » suivant décrit les données d’identité utilisateur incluses dans la table IdentityInfo de Log Analytics dans le Portail Azure.
Si vous intégrez Microsoft Sentinel au portail Defender, sélectionnez l’onglet « Comparer au schéma unifié » pour afficher les modifications susceptibles d’affecter les requêtes dans vos règles et chasses de détection des menaces.
| Nom du champ | Type | Description |
|---|---|---|
| AccountCloudSID | string | Identificateur de sécurité Microsoft Entra du compte. |
| AccountCreationTime | DateHeure | Date de création du compte d’utilisateur (UTC). |
| AccountDisplayName | string | Nom complet du compte d’utilisateur. |
| AccountDomain | string | Nom de domaine du compte d’utilisateur. |
| Accountname | string | Nom d’utilisateur du compte d’utilisateur. |
| AccountObjectId | string | ID d’objet Microsoft Entra pour le compte d’utilisateur. |
| AccountSID | string | Identificateur de sécurité local du compte d’utilisateur. |
| AccountTenantId | string | ID de locataire Microsoft Entra du compte d’utilisateur. |
| AccountUPN | string | Nom d’utilisateur principal du compte d’utilisateur. |
| AdditionalMailAddresses | Dynamique | Adresses e-mail supplémentaires de l’utilisateur. |
| AssignedRoles | Dynamique | Le Microsoft Entra rôles auxquels le compte d’utilisateur est affecté. Seuls les rôles intégrés sont pris en charge. |
| BlastRadius | string | Calcul basé sur la position de l’utilisateur dans l’arborescence de l’organisation et les rôles et autorisations Microsoft Entra de l’utilisateur. Valeurs possibles : Faible, Moyen, Élevé |
| ChangeSource | string | Source de la dernière modification apportée à l’entité. Valeurs possibles : |
| City | string | Ville du compte d’utilisateur. |
| CompanyName | string | Nom de la société à laquelle l’utilisateur appartient. |
| Pays | string | Pays/région du compte d’utilisateur. |
| DeletedDateTime | DateHeure | Date et heure de suppression de l’utilisateur. |
| Department | string | Service du compte d’utilisateur. |
| Employeeid | string | Identificateur d’employé attribué à l’utilisateur par l’organisation. |
| GivenName | string | Nom donné du compte d’utilisateur. |
| GroupMembership | Dynamique | Microsoft Entra ID groupes dont le compte d’utilisateur est membre. |
| IsAccountEnabled | bool | Indique si le compte d’utilisateur est activé dans Microsoft Entra ID ou non. |
| JobTitle | string | Fonction du compte d’utilisateur. |
| MailAddress | string | Adresse e-mail principale du compte d’utilisateur. |
| Manager | string | Alias de responsable du compte d’utilisateur. |
| OnPremisesDistinguishedName | string | Nom unique (DN) Microsoft Entra ID. Un nom unique est une séquence de noms uniques relatifs (RDN), connectés par des virgules. |
| Téléphone | string | Numéro de téléphone du compte d’utilisateur. |
| RiskLevel | string | Niveau de risque Microsoft Entra ID du compte d’utilisateur. Valeurs possibles : |
| RiskLevelDetails | string | Détails concernant le niveau de risque Microsoft Entra ID. |
| RiskState | string | Indique si le compte est à risque maintenant ou si le risque a été corrigé. |
| SourceSystem | string | Système dans lequel l’utilisateur est géré. Valeurs possibles : |
| État | string | État géographique du compte d’utilisateur. |
| StreetAddress | string | Adresse postale du bureau du compte d’utilisateur. |
| Surname | string | Nom de famille de l’utilisateur. Compte. |
| TenantId | string | ID de locataire de l’utilisateur. |
| TimeGenerated | DateHeure | Heure à laquelle l’événement a été généré (UTC). |
| Type | string | Nom de la table. |
| UserAccountControl | Dynamique | Attributs de sécurité du compte d’utilisateur dans le domaine AD. Valeurs possibles (peuvent en contenir plusieurs) : |
| UserState | string | État actuel du compte d’utilisateur dans Microsoft Entra ID. Valeurs possibles : |
| UserStateChangedOn | DateHeure | Date de la dernière modification de l’état du compte (UTC). |
| UserType | string | Type d’utilisateur. |
Les champs suivants, bien qu’ils existent dans le schéma Log Analytics, doivent être ignorés, car ils ne sont pas utilisés ou pris en charge par Microsoft Sentinel :
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags