Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u een overzicht van de invoergegevensbronnen voor de service User and Entity Behavior Analytics in Microsoft Sentinel. Het beschrijft ook de verrijkingen die UEBA toevoegt aan entiteiten, waardoor de benodigde context wordt geboden voor waarschuwingen en incidenten.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
UEBA-gegevensbronnen
Dit zijn de gegevensbronnen van waaruit de UEBA-engine gegevens verzamelt en analyseert om de ML-modellen te trainen en gedragsbasislijnen voor gebruikers, apparaten en andere entiteiten in te stellen. UEBA kijkt vervolgens naar gegevens uit deze bronnen om afwijkingen en inzichten te vinden.
| Gegevensbron | Connector | Log Analytics-tabel | Geanalyseerde gebeurteniscategorieën |
|---|---|---|---|
| Aanmeldingslogboeken voor beheerde AAD-identiteit (preview) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alle aanmeldingsgebeurtenissen voor beheerde identiteiten |
| Aanmeldingslogboeken voor AAD-service-principals (preview) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alle aanmeldingsgebeurtenissen voor service-principals |
| Auditlogboeken | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Apparaat RoleManagement UserManagementCategory |
| AWS CloudTrail (preview) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Aanmeldingsgebeurtenissen voor consoles. Geïdentificeerd door EventName = "ConsoleLogin" en EventSource = "signin.amazonaws.com". Gebeurtenissen moeten een geldige UserIdentityPrincipalIdhebben. |
| Azure-activiteit | Azure-activiteit | AzureActivity | Vergunning AzureActiveDirectory Facturering Berekenen Consumptie KeyVault Apparaten Netwerk Middelen Intune Logica Sql Opslag |
| Apparaataanmeldingsevenementen (preview) | Microsoft Defender XDR | DeviceLogonEvents | Alle apparaataanmeldingsevenementen |
| GCP-auditlogboeken (preview) | GCP Pub/Sub Audit Logs | GCPAuditLogs |
apigee.googleapis.com- API Management Platformiam.googleapis.com - IAM-service (Identity and Access Management)iamcredentials.googleapis.com - Referenties-API voor IAM-serviceaccountscloudresourcemanager.googleapis.com- Cloud Resource Manager APIcompute.googleapis.com - Compute Engine-APIstorage.googleapis.com - Cloud Storage-APIcontainer.googleapis.com - Kubernetes Engine-APIk8s.io - Kubernetes-APIcloudsql.googleapis.com - Cloud SQL APIbigquery.googleapis.com - BigQuery-APIbigquerydatatransfer.googleapis.com - BigQuery Data Transfer Service-APIcloudfunctions.googleapis.com - Cloud Functions-APIappengine.googleapis.com - App Engine-APIdns.googleapis.com - Cloud DNS-APIbigquerydatapolicy.googleapis.com - BigQuery Data Policy-APIfirestore.googleapis.com - Firestore-APIdataproc.googleapis.com - Dataproc-APIosconfig.googleapis.com - OS Config APIcloudkms.googleapis.com - Cloud KMS APIsecretmanager.googleapis.com - Secret Manager-APIGebeurtenissen moeten een geldige: - PrincipalEmail - Het gebruikers- of serviceaccount dat de API heeft aangeroepen- MethodName - De specifieke Google API-methode met de naam- Principal-e-mail, in user@domain.com indeling. |
| Okta CL (preview) | Okta Single Sign-On (met behulp van Azure Functions) | Okta_CL | Verificatie, meervoudige verificatie (MFA) en sessie-gebeurtenissen, waaronder:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startGebeurtenissen moeten een geldige gebruikers-id ( actor_id_s) hebben. |
| Beveiligingsevenementen |
Windows-beveiliging gebeurtenissen via AMA Door Windows doorgestuurde gebeurtenissen |
WindowsEvent SecurityEvent |
4624: Een account is aangemeld 4625: Aanmelden bij een account is mislukt 4648: Er is een aanmeldingspoging uitgevoerd met behulp van expliciete referenties 4672: Speciale bevoegdheden toegewezen aan nieuwe aanmelding 4688: Er is een nieuw proces gemaakt |
| Aanmeldingslogboeken | Microsoft Entra ID | SigninLogs | Alle aanmeldingsgebeurtenissen |
UEBA-verrijkingen
In deze sectie worden de verrijkingen beschreven die UEBA toevoegt aan Microsoft Sentinel entiteiten, die u kunt gebruiken om uw beveiligingsincidentonderzoeken te richten en te verscherpen. Deze verrijkingen worden weergegeven op entiteitspagina's en zijn te vinden in de volgende Log Analytics-tabellen, waarvan de inhoud en het schema hieronder worden vermeld:
In de tabel BehaviorAnalytics worden de uitvoergegevens van UEBA opgeslagen.
De volgende drie dynamische velden uit de tabel BehaviorAnalytics worden beschreven in de sectie dynamische velden voor entiteitenverrijking hieronder.
De velden UsersInsights en DevicesInsights bevatten entiteitsgegevens uit Active Directory/Microsoft Entra ID- en Microsoft Threat Intelligence-bronnen.
Het veld ActivityInsights bevat entiteitsgegevens op basis van de gedragsprofielen die zijn gebouwd door de analyse van het entiteitsgedrag van Microsoft Sentinel.
Gebruikersactiviteiten worden geanalyseerd op basis van een basislijn die telkens dynamisch wordt gecompileerd wanneer deze wordt gebruikt. Elke activiteit heeft een eigen gedefinieerde lookbackperiode waaruit de dynamische basislijn wordt afgeleid. De terugblikperiode wordt opgegeven in de kolom Basislijn in deze tabel.
In de tabel IdentityInfo worden identiteitsgegevens opgeslagen die vanuit Microsoft Entra ID (en vanuit on-premises Active Directory via Microsoft Defender for Identity) met UEBA worden gesynchroniseerd.
BehaviorAnalytics-tabel
In de volgende tabel worden de gedragsanalysegegevens beschreven die worden weergegeven op elke pagina met entiteitsdetails in Microsoft Sentinel.
| Veld | Type | Beschrijving |
|---|---|---|
| TenantId | tekenreeks | Het unieke id-nummer van de tenant. |
| SourceRecordId | tekenreeks | Het unieke id-nummer van de EBA-gebeurtenis. |
| TimeGenerated | Datetime | De tijdstempel van het optreden van de activiteit. |
| TimeProcessed | Datetime | De tijdstempel van de verwerking van de activiteit door de EBA-engine. |
| ActivityType | tekenreeks | De categorie op hoog niveau van de activiteit. |
| ActionType | tekenreeks | De genormaliseerde naam van de activiteit. |
| Gebruikersnaam | tekenreeks | De gebruikersnaam van de gebruiker die de activiteit heeft geïnitieerd. |
| UserPrincipalName | tekenreeks | De volledige gebruikersnaam van de gebruiker die de activiteit heeft geïnitieerd. |
| EventSource | tekenreeks | De gegevensbron die de oorspronkelijke gebeurtenis heeft geleverd. |
| SourceIPAddress | tekenreeks | Het IP-adres van waaruit de activiteit is gestart. |
| SourceIPLocation | tekenreeks | Het land/de regio van waaruit de activiteit is geïnitieerd, verrijkt met het IP-adres. |
| SourceDevice | tekenreeks | De hostnaam van het apparaat dat de activiteit heeft geïnitieerd. |
| DestinationIPAddress | tekenreeks | Het IP-adres van het doel van de activiteit. |
| DestinationIPLocation | tekenreeks | Het land/de regio van het doel van de activiteit, verrijkt met ip-adres. |
| DestinationDevice | tekenreeks | De naam van het doelapparaat. |
| UsersInsights | Dynamische | De contextuele verrijkingen van betrokken gebruikers (details hieronder). |
| DevicesInsights | Dynamische | De contextuele verrijkingen van betrokken apparaten (details hieronder). |
| ActivityInsights | Dynamische | De contextuele analyse van activiteiten op basis van onze profilering (details hieronder). |
| OnderzoekPriority | int | De anomaliescore, tussen 0-10 (0=goedaardig, 10=zeer afwijkend). Deze score kwantificeert de mate van afwijking van het verwachte gedrag. Hogere scores duiden op een grotere afwijking van de basislijn en zijn waarschijnlijker duiden op werkelijke afwijkingen. Lagere scores kunnen nog steeds afwijkend zijn, maar zijn minder waarschijnlijk significant of uitvoerbaar. |
Dynamische velden voor entiteitsverrijking
Opmerking
In de kolom Verrijkingsnaam in de tabellen in deze sectie worden twee rijen met gegevens weergegeven.
- De eerste, vetgedrukt, is de 'beschrijvende naam' van de verrijking.
- De tweede (cursief en haakjes) is de veldnaam van de verrijking zoals opgeslagen in de tabel Behavior Analytics.
UsersInsights-veld
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld UsersInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Beschrijving | Voorbeeldwaarde |
|---|---|---|
|
Weergavenaam van account (AccountDisplayName) |
De weergavenaam van het account van de gebruiker. | Beheer, Hayden Cook |
|
Accountdomein (AccountDomain) |
De accountdomeinnaam van de gebruiker. | |
|
Accountobject-id (AccountObjectID) |
De accountobject-id van de gebruiker. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Straal van ontploffing (BlastRadius) |
De straal van de ontploffing wordt berekend op basis van verschillende factoren: de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra rollen en machtigingen van de gebruiker. De gebruiker moet de eigenschap Manager hebben ingevuld in Microsoft Entra ID om BlastRadius te kunnen berekenen. | Laag, Gemiddeld, Hoog |
|
Is een slapend account (IsDormantAccount) |
Het account is de afgelopen 180 dagen niet gebruikt. | Waar, onwaar |
|
Is lokale beheerder (IsLocalAdmin) |
Het account heeft lokale beheerdersbevoegdheden. | Waar, onwaar |
|
Is nieuw account (IsNewAccount) |
Het account is gemaakt in de afgelopen 30 dagen. | Waar, onwaar |
|
On-premises SID (OnPremisesSID) |
De on-premises SID van de gebruiker met betrekking tot de actie. | S-1-5-21-1112946627-1321165628-243734228-1103 |
Het veld DevicesInsights
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld DevicesInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Beschrijving | Voorbeeldwaarde |
|---|---|---|
|
Browser (Browser) |
De browser die wordt gebruikt in de actie. | Microsoft Edge, Chrome |
|
Apparaatfamilie (DeviceFamily) |
De apparaatfamilie die in de actie wordt gebruikt. | Windows |
|
Type apparaat (DeviceType) |
Het type clientapparaat dat wordt gebruikt in de actie | Desktop |
|
ISP (ISP) |
De internetprovider die in de actie is gebruikt. | |
|
Besturingssysteem (OperatingSystem) |
Het besturingssysteem dat in de actie wordt gebruikt. | Windows 10 |
|
Beschrijving van bedreigingsinformatie-indicator (ThreatIntelIndicatorDescription) |
Beschrijving van de waargenomen bedreigingsindicator die is omgezet vanuit het IP-adres dat in de actie wordt gebruikt. | Host is lid van botnet: azorult |
|
Type bedreigingsintellikindicator (ThreatIntelIndicatorType) |
Het type bedreigingsindicator dat is omgezet vanuit het IP-adres dat in de actie wordt gebruikt. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Gebruikersagent (UserAgent) |
De gebruikersagent die in de actie wordt gebruikt. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Gebruikersagentfamilie (UserAgentFamily) |
De gebruikersagentfamilie die in de actie wordt gebruikt. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-veld
In de volgende tabellen worden de verrijkingen beschreven die worden weergegeven in het dynamische veld ActivityInsights in de tabel BehaviorAnalytics:
Uitgevoerde actie
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker actie heeft uitgevoerd (FirstTimeUserPerformedAction) |
180 | De actie is voor het eerst uitgevoerd door de gebruiker. | Waar, onwaar |
|
Actie die soms door de gebruiker wordt uitgevoerd (ActionUncommonlyPerformedByUser) |
10 | De actie wordt niet vaak uitgevoerd door de gebruiker. | Waar, onwaar |
|
Actie die soms wordt uitgevoerd tussen peers (ActionUncommonlyPerformedAmongPeers) |
180 | De actie wordt niet vaak uitgevoerd door peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat actie wordt uitgevoerd in tenant (FirstTimeActionPerformedInTenant) |
180 | De actie is voor het eerst uitgevoerd door iemand in de organisatie. | Waar, onwaar |
|
Actie die soms wordt uitgevoerd in tenant (ActionUncommonlyPerformedInTenant) |
180 | De actie wordt niet vaak uitgevoerd in de organisatie. | Waar, onwaar |
App gebruikt
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker de app heeft gebruikt (FirstTimeUserUsedApp) |
180 | De app is voor het eerst gebruikt door de gebruiker. | Waar, onwaar |
|
App die soms door de gebruiker wordt gebruikt (AppUncommonlyUsedByUser) |
10 | De app wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
App die soms wordt gebruikt door peers (AppUncommonlyUsedAmongPeers) |
180 | De app wordt niet vaak gebruikt door peers van gebruikers. | Waar, onwaar |
|
De eerste keer dat de app in de tenant wordt waargenomen (FirstTimeAppObservedInTenant) |
180 | De app is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
App die soms wordt gebruikt in tenant (AppUncommonlyUsedInTenant) |
180 | De app wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Gebruikte browserknoppen
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker verbinding heeft gemaakt via een browser (FirstTimeUserConnectedViaBrowser) |
30 | De browser is voor het eerst waargenomen door de gebruiker. | Waar, onwaar |
|
Browser die soms door de gebruiker wordt gebruikt (BrowserUncommonlyUsedByUser) |
10 | De browser wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
Browser die soms wordt gebruikt door peers (BrowserUncommonlyUsedAmongPeers) |
30 | De browser wordt niet vaak gebruikt door peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat browser wordt waargenomen in tenant (FirstTimeBrowserObservedInTenant) |
30 | De browser is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
Browser die soms wordt gebruikt in tenant (BrowserUncommonlyUsedInTenant) |
30 | De browser wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Land/regio verbonden vanuit
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat gebruiker verbinding heeft gemaakt vanuit een land (FirstTimeUserConnectedFromCountry) |
90 | De geo-locatie, zoals opgelost vanaf het IP-adres, is voor het eerst door de gebruiker verbonden. | Waar, onwaar |
|
Land dat soms is verbonden vanuit per gebruiker (CountryUncommonlyConnectedFromByUser) |
10 | De geo-locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden vanaf de gebruiker. | Waar, onwaar |
|
Land dat soms is verbonden tussen peers (CountryUncommonlyConnectedFromAmongPeers) |
90 | De geo-locatie, zoals omgezet vanuit het IP-adres, is meestal niet verbonden vanuit de peers van de gebruiker. | Waar, onwaar |
|
Eerste keer dat verbinding vanuit land is waargenomen in tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Het land/de regio is voor het eerst verbonden vanaf door iedereen in de organisatie. | Waar, onwaar |
|
Land dat soms is verbonden vanuit de tenant (CountryUncommonlyConnectedFromInTenant) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden vanuit de organisatie. | Waar, onwaar |
Apparaat dat wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker verbinding heeft gemaakt vanaf apparaat (FirstTimeUserConnectedFromDevice) |
30 | Het bronapparaat is voor het eerst verbonden vanaf door de gebruiker. | Waar, onwaar |
|
Apparaat dat soms door de gebruiker wordt gebruikt (DeviceUncommonlyUsedByUser) |
10 | Het apparaat wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
Apparaat dat soms wordt gebruikt door peers (DeviceUncommonlyUsedAmongPeers) |
180 | Het apparaat wordt niet vaak gebruikt door peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat het apparaat in de tenant wordt waargenomen (FirstTimeDeviceObservedInTenant) |
30 | Het apparaat is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
Apparaat dat soms wordt gebruikt in tenant (DeviceUncommonlyUsedInTenant) |
180 | Het apparaat wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Andere apparaatgerelateerde
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker zich heeft aangemeld bij het apparaat (FirstTimeUserLoggedOnToDevice) |
180 | Het doelapparaat is voor het eerst verbonden door de gebruiker. | Waar, onwaar |
|
Apparaatfamilie die soms wordt gebruikt in tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | De apparaatfamilie wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Internetprovider die wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker verbinding heeft gemaakt via internetprovider (FirstTimeUserConnectedViaISP) |
30 | De internetprovider is voor het eerst waargenomen door de gebruiker. | Waar, onwaar |
|
Internetprovider die soms door de gebruiker wordt gebruikt (ISPUncommonlyUsedByUser) |
10 | De internetprovider wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
ISP wordt soms gebruikt door peers (ISPUncommonlyUsedAmongPeers) |
30 | De internetprovider wordt niet vaak gebruikt door peers van gebruikers. | Waar, onwaar |
|
Eerste keer verbinding via internetprovider in tenant (FirstTimeConnectionViaISPInTenant) |
30 | De internetprovider werd voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
INTERNETPROVIDER die soms wordt gebruikt in de tenant (ISPUncommonlyUsedInTenant) |
30 | De internetprovider wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Geopende resource
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker de resource heeft geopend (FirstTimeUserAccessedResource) |
180 | De gebruiker heeft voor het eerst toegang tot de resource gekregen. | Waar, onwaar |
|
Resource die soms wordt geopend door de gebruiker (ResourceUncommonlyAccessedByUser) |
10 | De resource wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
Resource die soms wordt geopend tussen peers (ResourceUncommonlyAccessedAmongPeers) |
180 | De resource wordt niet vaak gebruikt door peers van gebruikers. | Waar, onwaar |
|
De eerste keer dat de resource wordt geopend in de tenant (FirstTimeResourceAccessedInTenant) |
180 | De resource is voor het eerst geopend door iedereen in de organisatie. | Waar, onwaar |
|
Resource die soms wordt geopend in de tenant (ResourceUncommonlyAccessedInTenant) |
180 | De resource wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Diverse
| Naam van verrijking | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
|
Laatste keer dat de gebruiker actie heeft uitgevoerd (LastTimeUserPerformedAction) |
180 | De laatste keer dat de gebruiker dezelfde actie heeft uitgevoerd. | <Tijdstempel> |
|
Vergelijkbare actie is in het verleden niet uitgevoerd (SimilarActionWasn'tPerformedInThePast) |
30 | Er is geen actie uitgevoerd in dezelfde resourceprovider door de gebruiker. | Waar, onwaar |
|
Bron-IP-locatie (SourceIPLocation) |
N.v.t. | Het land/de regio die is omgezet vanuit het bron-IP-adres van de actie. | [Surrey, Engeland] |
|
Soms groot volume van bewerkingen (UncommonHighVolumeOfOperations) |
7 | Een gebruiker heeft een burst van vergelijkbare bewerkingen uitgevoerd binnen dezelfde provider | Waar, onwaar |
|
Ongebruikelijk aantal mislukte Microsoft Entra voorwaardelijke toegang (UnusualNumberOfAADConditionalAccessFailures) |
5 | Een ongebruikelijk aantal gebruikers kan niet worden geverifieerd vanwege voorwaardelijke toegang | Waar, onwaar |
|
Ongebruikelijk aantal toegevoegde apparaten (UnusualNumberOfDevicesAdded) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten toegevoegd. | Waar, onwaar |
|
Ongebruikelijk aantal apparaten verwijderd (UnusualNumberOfDevicesDeleted) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten verwijderd. | Waar, onwaar |
|
Ongebruikelijk aantal gebruikers toegevoegd aan groep (UnusualNumberOfUsersAddedToGroup) |
5 | Een gebruiker heeft een ongebruikelijk aantal gebruikers aan een groep toegevoegd. | Waar, onwaar |
Tabel IdentityInfo
Nadat u UEBA hebt ingeschakeld en geconfigureerd voor uw Microsoft Sentinel werkruimte, worden gebruikersgegevens van uw Microsoft-id-providers gesynchroniseerd met de tabel IdentityInfo in Log Analytics voor gebruik in Microsoft Sentinel.
Deze id-providers zijn of beide van de volgende, afhankelijk van welke u hebt geselecteerd bij het configureren van UEBA:
- Microsoft Entra ID (cloud)
- Microsoft Active Directory (on-premises, vereist Microsoft Defender for Identity))
U kunt query's uitvoeren op de tabel IdentityInfo in analyseregels, opsporingsquery's en werkmappen, waardoor uw analyses worden verbeterd om aan uw gebruiksvoorbeelden te voldoen en fout-positieven te verminderen.
De eerste synchronisatie kan enkele dagen duren, nadat de gegevens volledig zijn gesynchroniseerd:
Elke 14 dagen wordt Microsoft Sentinel opnieuw gesynchroniseerd met uw hele Microsoft Entra ID (en uw on-premises Active Directory, indien van toepassing) om ervoor te zorgen dat verouderde records volledig worden bijgewerkt.
Naast deze regelmatige volledige synchronisaties worden de betrokken gebruikersrecords binnen 15-30 minuten opnieuw opgenomen en bijgewerkt in de tabel IdentityInfo wanneer er wijzigingen worden aangebracht in uw gebruikersprofielen, groepen en ingebouwde rollen in Microsoft Entra ID. Deze opname wordt gefactureerd tegen normale tarieven. Bijvoorbeeld:
Een gebruikerskenmerk, zoals weergavenaam, functie of e-mailadres, is gewijzigd. Een nieuwe record voor deze gebruiker wordt opgenomen in de tabel IdentityInfo , waarbij de relevante velden zijn bijgewerkt.
Groep A heeft 100 gebruikers. 5 gebruikers worden toegevoegd aan de groep of verwijderd uit de groep. In dit geval worden deze vijf gebruikersrecords opnieuw opgenomen en worden de velden GroupMembership bijgewerkt.
Groep A heeft 100 gebruikers. Tien gebruikers worden toegevoegd aan groep A. Ook worden groepen A1 en A2, elk met 10 gebruikers, toegevoegd aan groep A. In dit geval worden 30 gebruikersrecords opnieuw opgenomen en worden hun GroupMembership-velden bijgewerkt. Dit gebeurt omdat groepslidmaatschap tijdelijk is, waardoor wijzigingen in groepen van invloed zijn op al hun subgroepen.
De naam van groep B (met 50 gebruikers) wordt gewijzigd in Groep BeGood. In dit geval worden 50 gebruikersrecords opnieuw opgenomen en worden hun GroupMembership-velden bijgewerkt. Als er subgroepen in die groep zijn, gebeurt hetzelfde voor alle records van hun leden.
De standaardretentietijd in de tabel IdentityInfo is 30 dagen.
Beperkingen
Het veld AssignedRoles ondersteunt alleen ingebouwde rollen.
Het veld GroupMembership ondersteunt het weergeven van maximaal 500 groepen per gebruiker, inclusief subgroepen. Als een gebruiker lid is van meer dan 500 groepen, worden alleen de eerste 500 gesynchroniseerd met de tabel IdentityInfo . De groepen worden echter niet in een bepaalde volgorde geëvalueerd, dus bij elke nieuwe synchronisatie (elke 14 dagen), is het mogelijk dat een andere set groepen wordt bijgewerkt naar de gebruikersrecord.
Wanneer een gebruiker wordt verwijderd, wordt de record van die gebruiker niet onmiddellijk verwijderd uit de tabel IdentityInfo . De reden hiervoor is dat een van de doeleinden van deze tabel is om wijzigingen in gebruikersrecords te controleren. Daarom willen we dat deze tabel een record bevat van een gebruiker die wordt verwijderd. Dit kan alleen gebeuren als de gebruikersrecord in de tabel IdentityInfo nog steeds bestaat, zelfs als de werkelijke gebruiker (bijvoorbeeld in Entra-id) is verwijderd.
Verwijderde gebruikers kunnen worden geïdentificeerd door de aanwezigheid van een waarde in het
deletedDateTimeveld. Dus als u een query nodig hebt om u een lijst met gebruikers weer te geven, kunt u verwijderde gebruikers eruit filteren door toe te voegen aan| where IsEmpty(deletedDateTime)de query.Na een bepaald tijdsinterval nadat een gebruiker is verwijderd, wordt de record van de gebruiker uiteindelijk ook verwijderd uit de tabel IdentityInfo .
Wanneer een groep wordt verwijderd of als de naam van een groep met meer dan 100 leden is gewijzigd, worden de gebruikersrecords van leden van die groep niet bijgewerkt. Als een andere wijziging ervoor zorgt dat de records van een van deze gebruikers worden bijgewerkt, worden de bijgewerkte groepsinformatie op dat moment opgenomen.
Andere versies van de tabel IdentityInfo
Er zijn meerdere versies van de tabel IdentityInfo :
De Log Analytics-schemaversie, die in dit artikel wordt besproken, dient Microsoft Sentinel in de Azure Portal. Het is beschikbaar voor klanten die UEBA hebben ingeschakeld.
De geavanceerde opsporingsschemaversie dient de Microsoft Defender portal via Microsoft Defender for Identity. Het is beschikbaar voor klanten van Microsoft Defender XDR, met of zonder Microsoft Sentinel, en voor klanten van Microsoft Sentinel op zichzelf in de Defender-portal.
UEBA hoeft niet te zijn ingeschakeld om toegang te krijgen tot deze tabel. Voor klanten waarvoor UEBA niet is ingeschakeld, zijn de velden die worden ingevuld met UEBA-gegevens echter niet zichtbaar of beschikbaar.
Zie de documentatie van de geavanceerde opsporingsversie van deze tabel voor meer informatie.
Vanaf mei 2025 gebruiken klanten van Microsoft Sentinel in de Microsoft Defender portalmet UEBAeen nieuwe versie van de geavanceerde opsporingsversie. Deze nieuwe release bevat alle UEBA-velden uit de Log Analytics-versie, evenals enkele nieuwe velden, en wordt de unified-versie of de unified IdentityInfo-tabel genoemd.
Defender Portal-klanten zonder UEBA ingeschakeld of helemaal zonder Microsoft Sentinel, blijven de eerdere versie van de geavanceerde opsporingsversie gebruiken, zonder de door UEBA gegenereerde velden.
Zie IdentityInfo in de geavanceerde opsporingsdocumentatie voor meer informatie over de geïntegreerde versie.
Belangrijk
Wanneer u overstapt naar de Defender-portal, wordt de IdentityInfo tabel een systeemeigen Defender-tabel die geen ondersteuning biedt voor RBAC op tabelniveau (op rollen gebaseerd Access Control). Als uw organisatie RBAC op tabelniveau gebruikt om de toegang tot de tabel in de IdentityInfo Azure Portal te beperken, is dit toegangsbeheer niet meer beschikbaar nadat u naar de Defender-portal bent overgestapt.
Schema
In de tabel op het volgende tabblad 'Log Analytics-schema' worden de gebruikersidentiteitsgegevens beschreven die zijn opgenomen in de tabel IdentityInfo in Log Analytics in de Azure Portal.
Als u Microsoft Sentinel onboardt naar de Defender-portal, selecteert u het tabblad Vergelijken met geïntegreerd schema om de wijzigingen weer te geven die mogelijk van invloed kunnen zijn op de query's in uw regels voor het detecteren van bedreigingen en opsporingen.
| Veldnaam | Type | Beschrijving |
|---|---|---|
| AccountCloudSID | tekenreeks | De Microsoft Entra beveiligings-id van het account. |
| AccountCreationTime | Datetime | De datum waarop het gebruikersaccount is gemaakt (UTC). |
| AccountDisplayName | tekenreeks | De weergavenaam van het gebruikersaccount. |
| AccountDomain | tekenreeks | De domeinnaam van het gebruikersaccount. |
| Accountnaam | tekenreeks | De gebruikersnaam van het gebruikersaccount. |
| AccountObjectId | tekenreeks | De Microsoft Entra object-id voor het gebruikersaccount. |
| AccountSID | tekenreeks | De on-premises beveiligings-id van het gebruikersaccount. |
| AccountTenantId | tekenreeks | De Microsoft Entra tenant-id van het gebruikersaccount. |
| AccountUPN | tekenreeks | De user principal name van het gebruikersaccount. |
| AdditionalMailAddresses | Dynamische | De extra e-mailadressen van de gebruiker. |
| AssignedRoles | Dynamische | De Microsoft Entra rollen waaraan het gebruikersaccount is toegewezen. Alleen ingebouwde rollen worden ondersteund. |
| BlastRadius | tekenreeks | Een berekening op basis van de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra rollen en machtigingen van de gebruiker. Mogelijke waarden: Laag, Gemiddeld, Hoog |
| ChangeSource | tekenreeks | De bron van de meest recente wijziging in de entiteit. Mogelijke waarden: |
| Plaats | tekenreeks | De plaats van het gebruikersaccount. |
| Bedrijfsnaam | tekenreeks | De bedrijfsnaam waartoe de gebruiker behoort. |
| Land | tekenreeks | Het land/de regio van het gebruikersaccount. |
| DeletedDateTime | Datetime | De datum en tijd waarop de gebruiker is verwijderd. |
| Afdeling | tekenreeks | De afdeling van het gebruikersaccount. |
| Employeeid | tekenreeks | De werknemer-id die door de organisatie aan de gebruiker is toegewezen. |
| GivenName | tekenreeks | De opgegeven naam van het gebruikersaccount. |
| GroupMembership | Dynamische | Microsoft Entra ID groepen waarvan het gebruikersaccount lid is. |
| IsAccountEnabled | Bool | Een indicatie of het gebruikersaccount is ingeschakeld in Microsoft Entra ID. |
| JobTitle | tekenreeks | De functie van het gebruikersaccount. |
| Mailadres | tekenreeks | Het primaire e-mailadres van het gebruikersaccount. |
| Manager | tekenreeks | De manageralias van het gebruikersaccount. |
| OnPremisesDistinguishedName | tekenreeks | De Microsoft Entra ID DN (DN). Een DN-naam is een reeks relatieve DN-namen (RDN), verbonden door komma's. |
| Phone | tekenreeks | Het telefoonnummer van het gebruikersaccount. |
| RiskLevel | tekenreeks | Het Microsoft Entra ID risiconiveau van het gebruikersaccount. Mogelijke waarden: |
| RiskLevelDetails | tekenreeks | Details met betrekking tot het Microsoft Entra ID risiconiveau. |
| RiskState | tekenreeks | Indicatie of het account nu risico loopt of dat het risico is hersteld. |
| SourceSystem | tekenreeks | Het systeem waarin de gebruiker wordt beheerd. Mogelijke waarden: |
| Status | tekenreeks | De geografische status van het gebruikersaccount. |
| StreetAddress | tekenreeks | Het kantooradres van het gebruikersaccount. |
| Achternaam | tekenreeks | De achternaam van de gebruiker. Account. |
| TenantId | tekenreeks | De tenant-id van de gebruiker. |
| TimeGenerated | Datetime | Het tijdstip waarop de gebeurtenis is gegenereerd (UTC). |
| Type | tekenreeks | De naam van de tabel. |
| Useraccountcontrol | Dynamische | Beveiligingskenmerken van het gebruikersaccount in het AD-domein. Mogelijke waarden (kunnen meer dan één bevatten): |
| UserState | tekenreeks | De huidige status van het gebruikersaccount in Microsoft Entra ID. Mogelijke waarden: |
| UserStateChangedOn | Datetime | De datum van de laatste keer dat de accountstatus is gewijzigd (UTC). |
| UserType | tekenreeks | Het gebruikerstype. |
De volgende velden, terwijl ze aanwezig zijn in het Log Analytics-schema, moeten worden genegeerd, omdat ze niet worden gebruikt of ondersteund door Microsoft Sentinel:
- Toepassingen
- EntityRiskScore
- ExtensionProperty
- OnderzoekPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags