Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln listar indatakällorna för tjänsten Användar- och entitetsbeteendeanalys i Microsoft Sentinel. Den beskriver också de berikanden som UEBA lägger till i entiteter, vilket ger nödvändig kontext till aviseringar och incidenter.
Viktigt
Efter den 31 mars 2027 kommer Microsoft Sentinel inte längre att stödjas i Azure Portal och kommer endast att vara tillgängligt i Microsoft Defender-portalen. Alla kunder som använder Microsoft Sentinel i Azure Portal omdirigeras till Defender-portalen och använder endast Microsoft Sentinel i Defender-portalen.
Om du fortfarande använder Microsoft Sentinel i Azure Portal rekommenderar vi att du börjar planera övergången till Defender-portalen för att säkerställa en smidig övergång och dra full nytta av den enhetliga säkerhetsåtgärdsupplevelse som erbjuds av Microsoft Defender.
UEBA-datakällor
Det här är de datakällor som UEBA-motorn samlar in och analyserar data från för att träna sina ML-modeller och ange beteendebaslinjer för användare, enheter och andra entiteter. UEBA tittar sedan på data från dessa källor för att hitta avvikelser och få insikter.
| Datakälla | Kontakt | Log Analytics-tabell | Analyserade händelsekategorier |
|---|---|---|---|
| Inloggningsloggar för AAD-hanterad identitet (förhandsversion) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alla inloggningshändelser för hanterad identitet |
| Inloggningsloggar för AAD-tjänstens huvudnamn (förhandsversion) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alla inloggningshändelser för tjänstens huvudnamn |
| Granskningsloggar | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Enhet RoleManagement UserManagementCategory |
| AWS CloudTrail (förhandsversion) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsolinloggningshändelser. Identifierad av EventName = "ConsoleLogin" och EventSource = "signin.amazonaws.com". Händelser måste ha en giltig UserIdentityPrincipalId. |
| Azure aktivitet | Azure aktivitet | AzureActivity | Behörighet AzureActiveDirectory Fakturering Beräkna Konsumtion KeyVault Enheter Nätverk Resurser Intune Logik Sql Lagring |
| Händelser för enhetsinloggning (förhandsversion) | Microsoft Defender XDR | DeviceLogonEvents | Alla enhetsinloggningshändelser |
| GCP-granskningsloggar (förhandsversion) | Pub-/undergranskningsloggar för GCP | GCPAuditLogs |
apigee.googleapis.com- API Management Platformiam.googleapis.com – IAM-tjänsten (IDENTITY and Access Management)iamcredentials.googleapis.com – API för autentiseringsuppgifter för IAM-tjänstkontocloudresourcemanager.googleapis.com– API för moln Resource Managercompute.googleapis.com – API för beräkningsmotorstorage.googleapis.com – API för molnlagringcontainer.googleapis.com – Kubernetes Engine APIk8s.io – Kubernetes APIcloudsql.googleapis.com – CLOUD SQL APIbigquery.googleapis.com – BigQuery APIbigquerydatatransfer.googleapis.com – BigQuery Data Transfer Service APIcloudfunctions.googleapis.com – Cloud Functions APIappengine.googleapis.com – API för appmotordns.googleapis.com – CLOUD DNS APIbigquerydatapolicy.googleapis.com – API för BigQuery-dataprincipfirestore.googleapis.com – Api för eldlagerdataproc.googleapis.com – Api för dataprocosconfig.googleapis.com – OS-konfigurations-APIcloudkms.googleapis.com – CLOUD KMS APIsecretmanager.googleapis.com – Api för Secret ManagerHändelser måste ha ett giltigt: - PrincipalEmail – Det användar- eller tjänstkonto som anropade API:et- MethodName – Den specifika Google API-metoden med namnet– Huvud-e-post, i user@domain.com format. |
| Okta CL (förhandsversion) | Okta Enkel Sign-On (med Azure Functions) | Okta_CL | Autentisering, multifaktorautentisering (MFA) och sessionshändelser, inklusive:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startHändelser måste ha ett giltigt användar-ID ( actor_id_s). |
| Säkerhetshändelser |
Windows-säkerhet händelser via AMA Vidarebefordrade händelser i Windows |
WindowsEvent SecurityEvent |
4624: Ett konto har loggats in 4625: Ett konto kunde inte logga in 4648: Ett inloggningsförsök gjordes med explicita autentiseringsuppgifter 4672: Särskilda privilegier som tilldelas till ny inloggning 4688: En ny process har skapats |
| Inloggningsloggar | Microsoft Entra ID | SigninLogs | Alla inloggningshändelser |
UEBA-berikningar
Det här avsnittet beskriver de berikanden som UEBA lägger till i Microsoft Sentinel entiteter, som du kan använda för att fokusera och vässa dina undersökningar av säkerhetsincidenter. Dessa berikanden visas på entitetssidor och finns i följande Log Analytics-tabeller, vars innehåll och schema visas nedan:
Tabellen BehaviorAnalytics är den plats där UEBA:s utdatainformation lagras.
Följande tre dynamiska fält från tabellen BehaviorAnalytics beskrivs i avsnittet dynamiska fält för entitetsberikning nedan.
Fälten UsersInsights och DevicesInsights innehåller entitetsinformation från Active Directory/Microsoft Entra ID- och Microsoft Threat Intelligence-källor.
Fältet ActivityInsights innehåller entitetsinformation baserat på beteendeprofiler som skapats av Microsoft Sentinel entitetsbeteendeanalys.
Användaraktiviteter analyseras mot en baslinje som kompileras dynamiskt varje gång den används. Varje aktivitet har en egen definierad återblicksperiod som den dynamiska baslinjen härleds från. Återblicksperioden anges i kolumnen Originalplan i den här tabellen.
IdentityInfo-tabellen är den plats där identitetsinformation som synkroniseras med UEBA från Microsoft Entra ID (och från lokal Active Directory via Microsoft Defender for Identity) lagras.
Tabellen BehaviorAnalytics
I följande tabell beskrivs beteendeanalysdata som visas på varje entitetsinformationssida i Microsoft Sentinel.
| Fält | Typ | Beskrivning |
|---|---|---|
| TenantId | sträng | Klientorganisationens unika ID-nummer. |
| SourceRecordId | sträng | Eba-händelsens unika ID-nummer. |
| TimeGenerated | Datetime | Tidsstämpeln för aktivitetens förekomst. |
| TimeProcessed | Datetime | Tidsstämpeln för aktivitetens bearbetning av EBA-motorn. |
| ActivityType | sträng | Högnivåkategorin för aktiviteten. |
| ActionType | sträng | Det normaliserade namnet på aktiviteten. |
| Användarnamn | sträng | Användarnamnet för användaren som initierade aktiviteten. |
| UserPrincipalName | sträng | Det fullständiga användarnamnet för användaren som initierade aktiviteten. |
| EventSource | sträng | Datakällan som tillhandahöll den ursprungliga händelsen. |
| SourceIPAddress | sträng | IP-adressen som aktiviteten initierades från. |
| SourceIPLocation | sträng | Det land/den region som aktiviteten initierades från, berikad från IP-adressen. |
| SourceDevice | sträng | Värdnamnet för den enhet som initierade aktiviteten. |
| DestinationIPAddress | sträng | IP-adressen för aktivitetens mål. |
| DestinationIPLocation | sträng | Land/region för aktivitetens mål, berikat från IP-adress. |
| DestinationEnhet | sträng | Namnet på målenheten. |
| UsersInsights | Dynamisk | De berörda användarnas kontextuella berikanden (information nedan). |
| DevicesInsights | Dynamisk | Sammanhangsbaserade berikanden av berörda enheter (information nedan). |
| ActivityInsights | Dynamisk | Sammanhangsbaserad analys av aktivitet baserat på vår profilering (information nedan). |
| InvestigationPriority | int | Avvikelsepoängen, mellan 0–10 (0=godartad, 10=mycket avvikande). Den här poängen kvantifierar graden av avvikelse från det förväntade beteendet. Högre poäng indikerar större avvikelse från baslinjen och är mer sannolika indikerar sanna avvikelser. Lägre poäng kan fortfarande vara avvikande, men är mindre benägna att vara betydande eller handlingsbara. |
Dynamiska fält för entitetsberikning
Obs!
Kolumnen Berikningsnamn i tabellerna i det här avsnittet visar två rader med information.
- Den första, i fetstil, är det "vänliga namnet" på berikningen.
- Den andra (i kursiv stil och parentes) är fältnamnet för berikningen som lagras i tabellen Beteendeanalys.
Fältet UsersInsights
I följande tabell beskrivs berikandena i fältet UsersInsights dynamic i tabellen BehaviorAnalytics:
| Berikningsnamn | Beskrivning | Exempelvärde |
|---|---|---|
|
Kontovisningsnamn (AccountDisplayName) |
Användarens visningsnamn för kontot. | Admin, Hayden Cook |
|
Kontodomän (AccountDomain) |
Användarens kontodomännamn. | |
|
Kontoobjekt-ID (AccountObjectID) |
Användarens kontoobjekt-ID. | aaaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Explosionsradie (BlastRadius) |
Explosionsradien beräknas baserat på flera faktorer: användarens position i organisationsträdet och användarens Microsoft Entra roller och behörigheter. Användaren måste ha egenskapen Manager ifylld i Microsoft Entra ID för att BlastRadius ska kunna beräknas. | Låg, medel, hög |
|
Är vilande konto (IsDormantAccount) |
Kontot har inte använts de senaste 180 dagarna. | Sant, falskt |
|
Är lokal administratör (IsLocalAdmin) |
Kontot har lokal administratörsbehörighet. | Sant, falskt |
|
Är nytt konto (IsNewAccount) |
Kontot har skapats under de senaste 30 dagarna. | Sant, falskt |
|
Lokalt SID (OnPremisesSID) |
Det lokala SID för användaren som är relaterad till åtgärden. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Fältet DevicesInsights
I följande tabell beskrivs berikandena i det dynamiska fältet DevicesInsights i tabellen BehaviorAnalytics:
| Berikningsnamn | Beskrivning | Exempelvärde |
|---|---|---|
|
Webbläsare (Webbläsare) |
Webbläsaren som används i åtgärden. | Microsoft Edge, Chrome |
|
Enhetsfamilj (DeviceFamily) |
Enhetsfamiljen som används i åtgärden. | Windows |
|
Enhetstyp (DeviceType) |
Den klientenhetstyp som används i åtgärden | Skrivbord |
|
ISP (ISP) |
Internetleverantören som används i åtgärden. | |
|
Operativsystem (OperatingSystem) |
Det operativsystem som används i åtgärden. | Windows 10 |
|
Beskrivning av hotinformationsindikator (ThreatIntelIndicatorDescription) |
Beskrivning av den observerade hotindikatorn som lösts från DEN IP-adress som användes i åtgärden. | Värden är medlem i botnet: azorult |
|
Indikatortyp för hotinformation (ThreatIntelIndicatorType) |
Typen av hotindikator som matchas från DEN IP-adress som används i åtgärden. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Användaragent (UserAgent) |
Användaragenten som användes i åtgärden. | Microsoft Azure Graph-klientbibliotek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Användaragentfamilj (UserAgentFamily) |
Användaragentfamiljen som användes i åtgärden. | Chrome, Microsoft Edge, Firefox |
Fältet ActivityInsights
I följande tabeller beskrivs berikandena i det dynamiska fältet ActivityInsights i tabellen BehaviorAnalytics:
Åtgärden har utförts
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren utförde åtgärden (FirstTimeUserPerformedAction) |
180 | Åtgärden utfördes för första gången av användaren. | Sant, falskt |
|
Åtgärd som utförs ovanligt av användaren (ActionUncommonlyPerformedByUser) |
10 | Åtgärden utförs inte ofta av användaren. | Sant, falskt |
|
Åtgärd som utförs ovanligt bland peer-datorer (ActionUncommonlyPerformedAmongPeers) |
180 | Åtgärden utförs inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången åtgärden utförs i klientorganisationen (FirstTimeActionPerformedInTenant) |
180 | Åtgärden utfördes för första gången av någon i organisationen. | Sant, falskt |
|
Åtgärd som utförs ovanligt i klientorganisationen (ActionUncommonlyPerformedInTenant) |
180 | Åtgärden utförs inte ofta i organisationen. | Sant, falskt |
App som används
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren använde appen (FirstTimeUserUsedApp) |
180 | Appen användes för första gången av användaren. | Sant, falskt |
|
App som används ovanligt av användaren (AppUncommonlyUsedByUser) |
10 | Appen används inte ofta av användaren. | Sant, falskt |
|
App som används ovanligt bland peer-datorer (AppUncommonlyUsedAmongPeers) |
180 | Appen används inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången appen observeras i klientorganisationen (FirstTimeAppObservedInTenant) |
180 | Appen observerades för första gången i organisationen. | Sant, falskt |
|
App som används ovanligt i klientorganisationen (AppUncommonlyUsedInTenant) |
180 | Appen används inte ofta i organisationen. | Sant, falskt |
Webbläsare som används
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren är ansluten via webbläsare (FirstTimeUserConnectedViaBrowser) |
30 | Användaren observerade webbläsaren för första gången. | Sant, falskt |
|
Webbläsare som används ovanligt av användaren (BrowserUncommonlyUsedByUser) |
10 | Webbläsaren används inte ofta av användaren. | Sant, falskt |
|
Webbläsare används ovanligt bland peer-datorer (BrowserUncommonlyUsedAmongPeers) |
30 | Webbläsaren används inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången webbläsaren observeras i klientorganisationen (FirstTimeBrowserObservedInTenant) |
30 | Webbläsaren observerades för första gången i organisationen. | Sant, falskt |
|
Webbläsare som används ovanligt i klientorganisationen (BrowserUncommonlyUsedInTenant) |
30 | Webbläsaren används inte ofta i organisationen. | Sant, falskt |
Land/region som är ansluten från
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren är ansluten från land (FirstTimeUserConnectedFromCountry) |
90 | Geoplatsen, som lösts från IP-adressen, anslöts från för första gången av användaren. | Sant, falskt |
|
Land som är ovanligt anslutet från per användare (CountryUncommonlyConnectedFromByUser) |
10 | Geoplatsen, som matchas från IP-adressen, är vanligtvis inte ansluten från av användaren. | Sant, falskt |
|
Land som är ovanligt sammankopplat mellan jämlikar (CountryUncommonlyConnectedFromAmongPeers) |
90 | Geoplatsen, som matchas från IP-adressen, är inte vanligtvis ansluten från användarens peer-datorer. | Sant, falskt |
|
Första gången anslutningen från det land som observerats i klientorganisationen (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Landet/regionen anslöts från för första gången av någon i organisationen. | Sant, falskt |
|
Land som är ovanligt anslutet från en klientorganisation (CountryUncommonlyConnectedFromInTenant) |
90 | Geoplatsen, som matchas från IP-adressen, är inte vanligtvis ansluten från i organisationen. | Sant, falskt |
Enhet som används för att ansluta
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren är ansluten från enheten (FirstTimeUserConnectedFromDevice) |
30 | Källenheten anslöts från för första gången av användaren. | Sant, falskt |
|
Enheten används ovanligt av användaren (DeviceUncommonlyUsedByUser) |
10 | Enheten används inte ofta av användaren. | Sant, falskt |
|
Enheten används ovanligt bland peer-datorer (DeviceUncommonlyUsedAmongPeers) |
180 | Enheten används inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången enheten observeras i klientorganisationen (FirstTimeDeviceObservedInTenant) |
30 | Enheten observerades för första gången i organisationen. | Sant, falskt |
|
Enheten används ovanligt i klientorganisationen (DeviceUncommonlyUsedInTenant) |
180 | Enheten används inte ofta i organisationen. | Sant, falskt |
Andra enhetsrelaterade
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren loggade in på enheten (FirstTimeUserLoggedOnToDevice) |
180 | Målenheten anslöts till för första gången av användaren. | Sant, falskt |
|
Enhetsfamilj används ovanligt i klientorganisationen (DeviceFamilyUncommonlyUsedInTenant) |
30 | Enhetsfamiljen används inte ofta i organisationen. | Sant, falskt |
Internetleverantör som används för att ansluta
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren är ansluten via ISP (FirstTimeUserConnectedViaISP) |
30 | Isp observerades för första gången av användaren. | Sant, falskt |
|
Isp används ovanligt av användaren (ISPUncommonlyUsedByUser) |
10 | Isp används inte ofta av användaren. | Sant, falskt |
|
Isp används ovanligt bland peer-datorer (ISPUncommonlyUsedAmongPeers) |
30 | Isp används inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången anslutningen sker via Internetleverantören i klientorganisationen (FirstTimeConnectionViaISPInTenant) |
30 | Isp observerades för första gången i organisationen. | Sant, falskt |
|
Isp används ovanligt i klientorganisationen (ISPUncommonlyUsedInTenant) |
30 | Isp används inte ofta i organisationen. | Sant, falskt |
Resursen har använts
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Första gången användaren använder resursen (FirstTimeUserAccessedResource) |
180 | Resursen användes för första gången av användaren. | Sant, falskt |
|
Resurs som används ovanligt av användaren (ResourceUncommonlyAccessedByUser) |
10 | Resursen används inte ofta av användaren. | Sant, falskt |
|
Resurs som används ovanligt bland peer-datorer (ResourceUncommonlyAccessedAmongPeers) |
180 | Resursen används inte ofta bland användarens peer-datorer. | Sant, falskt |
|
Första gången resursen används i klientorganisationen (FirstTimeResourceAccessedInTenant) |
180 | Resursen användes för första gången av någon i organisationen. | Sant, falskt |
|
Resurs som används ovanligt i klientorganisationen (ResourceUncommonlyAccessedInTenant) |
180 | Resursen används inte ofta i organisationen. | Sant, falskt |
Diverse
| Berikningsnamn | Baslinje (dagar) | Beskrivning | Exempelvärde |
|---|---|---|---|
|
Senaste gången användaren utförde åtgärden (LastTimeUserPerformedAction) |
180 | Senaste gången användaren utförde samma åtgärd. | <Tidsstämpel> |
|
Liknande åtgärd utfördes inte tidigare (SimilarActionWasn'tPerformedInThePast) |
30 | Ingen åtgärd i samma resursprovider utfördes av användaren. | Sant, falskt |
|
Källans IP-plats (SourceIPLocation) |
EJ TILLÄMPLIGT | Det land/den region som löstes från åtgärdens käll-IP. | [Surrey, England] |
|
Ovanligt stor mängd åtgärder (UncommonHighVolumeOfOperations) |
7 | En användare utförde en burst med liknande åtgärder inom samma provider | Sant, falskt |
|
Ovanligt antal Microsoft Entra fel med villkorsstyrd åtkomst (UnusualNumberOfAADConditionalAccessFailures) |
5 | Ett ovanligt antal användare kunde inte autentiseras på grund av villkorlig åtkomst | Sant, falskt |
|
Ovanligt antal tillagda enheter (UnusualNumberOfDevicesAdded) |
5 | En användare har lagt till ett ovanligt antal enheter. | Sant, falskt |
|
Ovanligt antal borttagna enheter (UnusualNumberOfDevicesDeleted) |
5 | En användare har tagit bort ett ovanligt antal enheter. | Sant, falskt |
|
Ovanligt antal användare som lagts till i gruppen (UnusualNumberOfUsersAddedToGroup) |
5 | En användare har lagt till ett ovanligt antal användare i en grupp. | Sant, falskt |
IdentityInfo-tabell
När du har aktiverat och konfigurerat UEBA för din Microsoft Sentinel arbetsyta synkroniseras användardata från dina Microsoft-identitetsprovidrar till tabellen IdentityInfo i Log Analytics för användning i Microsoft Sentinel.
Dessa identitetsprovidrar är antingen eller båda av följande, beroende på vilken du valde när du konfigurerade UEBA:
- Microsoft Entra ID (molnbaserad)
- Microsoft Active Directory (lokalt, kräver Microsoft Defender for Identity))
Du kan köra frågor mot tabellen IdentityInfo i analysregler, jaktfrågor och arbetsböcker, förbättra din analys så att den passar dina användningsfall och minska falska positiva identifieringar.
Den inledande synkroniseringen kan ta några dagar, men när data är helt synkroniserade:
Var 14:e dag synkroniseras Microsoft Sentinel om med hela Microsoft Entra ID (och din lokal Active Directory, om tillämpligt) för att säkerställa att inaktuella poster uppdateras fullständigt.
Förutom dessa vanliga fullständiga synkroniseringar, när ändringar görs i dina användarprofiler, grupper och inbyggda roller i Microsoft Entra ID, kommer de berörda användarposterna att omesteras och uppdateras i tabellen IdentityInfo inom 15–30 minuter. Den här inmatningen faktureras till vanliga priser. Till exempel:
Ett användarattribut, till exempel visningsnamn, befattning eller e-postadress, har ändrats. En ny post för den här användaren matas in i tabellen IdentityInfo med relevanta fält uppdaterade.
Grupp A har 100 användare i den. 5 användare läggs till i gruppen eller tas bort från gruppen. I det här fallet har dessa fem användarposter återesterats och deras GroupMembership-fält uppdateras.
Grupp A har 100 användare i den. Tio användare läggs till i grupp A. Dessutom läggs grupperna A1 och A2, var och en med 10 användare, till i grupp A. I det här fallet är 30 användarposter omregistrerade och deras GroupMembership-fält uppdateras. Detta beror på att gruppmedlemskapet är transitivt, så ändringar i grupper påverkar alla deras undergrupper.
Grupp B (med 50 användare) har bytt namn till Grupp BeGood. I det här fallet är 50 användarposter omregistrerade och deras GroupMembership-fält uppdateras. Om det finns undergrupper i gruppen händer samma sak för alla deras medlemmars poster.
Standardkvarhållningstiden i tabellen IdentityInfo är 30 dagar.
Begränsningar
Fältet AssignedRoles stöder endast inbyggda roller.
Fältet GroupMembership stöder listning av upp till 500 grupper per användare, inklusive undergrupper. Om en användare är medlem i fler än 500 grupper synkroniseras endast de första 500 med tabellen IdentityInfo . Grupperna utvärderas dock inte i någon viss ordning, så vid varje ny synkronisering (var 14:e dag) är det möjligt att en annan uppsättning grupper uppdateras till användarposten.
När en användare tas bort tas inte användarens post bort omedelbart från tabellen IdentityInfo . Anledningen till detta är att ett av tabellens syfte är att granska ändringar i användarposter. Därför vill vi att den här tabellen ska ha en post för en användare som tas bort, vilket bara kan ske om användarposten i tabellen IdentityInfo fortfarande finns, även om den faktiska användaren (t.ex. i Entra-ID) tas bort.
Borttagna användare kan identifieras med ett värde i
deletedDateTimefältet. Så om du behöver en fråga för att visa en lista över användare kan du filtrera bort borttagna användare genom att lägga| where IsEmpty(deletedDateTime)till i frågan.Vid ett visst tidsintervall efter att en användare har tagits bort tas även användarens post bort från tabellen IdentityInfo .
När en grupp tas bort, eller om en grupp med fler än 100 medlemmar får sitt namn ändrat, uppdateras inte den gruppens användarposter för medlemmar. Om en annan ändring gör att en av användarnas poster uppdateras inkluderas den uppdaterade gruppinformationen vid den tidpunkten.
Andra versioner av tabellen IdentityInfo
Det finns flera versioner av tabellen IdentityInfo :
Log Analytics-schemaversionen, som beskrivs i den här artikeln, innehåller Microsoft Sentinel i Azure Portal. Den är tillgänglig för de kunder som har aktiverat UEBA.
Schemaversionen avancerad jakt hanterar Microsoft Defender-portalen via Microsoft Defender for Identity. Den är tillgänglig för kunder med Microsoft Defender XDR, med eller utan Microsoft Sentinel och för kunder till Microsoft Sentinel på egen hand i Defender-portalen.
UEBA behöver inte aktiveras för att ha åtkomst till den här tabellen. Men för kunder utan UEBA aktiverat är fälten som fylls i med UEBA-data inte synliga eller tillgängliga.
Mer information finns i dokumentationen för avancerad jaktversion av den här tabellen.
Från och med maj 2025 börjar kunder med Microsoft Sentinel i Microsoft Defender-portalenmed UEBA aktiveratatt använda en ny version av avancerad jaktversion. Den här nya versionen innehåller alla UEBA-fält från Log Analytics-versionen samt några nya fält och kallas för den enhetliga versionen eller den enhetliga IdentityInfo-tabellen.
Kunder i Defender-portalen utan UEBA aktiverat, eller utan Microsoft Sentinel alls, fortsätter att använda den tidigare versionen av avancerad jaktversion utan de UEBA-genererade fälten.
Mer information om den enhetliga versionen finns i IdentityInfo i dokumentationen för avancerad jakt.
Viktigt
När du övergår till Defender-portalen IdentityInfo blir tabellen en intern Defender-tabell som inte stöder RBAC på tabellnivå (rollbaserad Access Control). Om din organisation använder RBAC på tabellnivå för att begränsa åtkomsten IdentityInfo till tabellen i Azure Portal kommer den här åtkomstkontrollen inte längre att vara tillgänglig efter övergången till Defender-portalen.
Schemat
Tabellen på fliken Log Analytics-schema beskriver användaridentitetsdata som ingår i tabellen IdentityInfo i Log Analytics i Azure Portal.
Om du registrerar Microsoft Sentinel till Defender-portalen väljer du fliken Jämför med enhetligt schema för att visa de ändringar som potentiellt kan påverka frågorna i dina hotidentifieringsregler och -jakter.
| Fältnamn | Typ | Beskrivning |
|---|---|---|
| AccountCloudSID | sträng | Kontots Microsoft Entra säkerhetsidentifierare. |
| AccountCreationTime | Datetime | Det datum då användarkontot skapades (UTC). |
| AccountDisplayName | sträng | Visningsnamnet för användarkontot. |
| AccountDomain | sträng | Användarkontots domännamn. |
| AccountName | sträng | Användarkontots användarnamn. |
| AccountObjectId | sträng | Microsoft Entra objekt-ID för användarkontot. |
| AccountSID | sträng | Den lokala säkerhetsidentifieraren för användarkontot. |
| AccountTenantId | sträng | Det Microsoft Entra klientorganisations-ID:t för användarkontot. |
| AccountUPN | sträng | Användarens huvudnamn för användarkontot. |
| AdditionalMailAddresses | Dynamisk | Användarens ytterligare e-postadresser. |
| AssignedRoles | Dynamisk | De Microsoft Entra roller som användarkontot har tilldelats. Endast inbyggda roller stöds. |
| BlastRadius | sträng | En beräkning som baseras på användarens position i organisationsträdet och användarens Microsoft Entra roller och behörigheter. Möjliga värden: Låg, Medel, Hög |
| ChangeSource | sträng | Källan till den senaste ändringen av entiteten. Möjliga värden: |
| Ort | sträng | Orten för användarkontot. |
| CompanyName | sträng | Företagsnamnet som användaren tillhör. |
| Land | sträng | Användarkontots land/region. |
| DeletedDateTime | Datetime | Datum och tid då användaren togs bort. |
| Department | sträng | Avdelningen för användarkontot. |
| Employeeid | sträng | Den medarbetaridentifierare som tilldelats användaren av organisationen. |
| GivenName | sträng | Användarkontots förnamn. |
| GroupMembership | Dynamisk | Microsoft Entra ID grupper där användarkontot är medlem. |
| IsAccountEnabled | Bool | En indikation på om användarkontot är aktiverat i Microsoft Entra ID eller inte. |
| JobTitle | sträng | Jobbtiteln för användarkontot. |
| E-postadress | sträng | Användarkontots primära e-postadress. |
| Manager | sträng | Chefsaliaset för användarkontot. |
| OnPremisesDistinguishedName | sträng | Det Microsoft Entra ID unika namnet (DN). Ett unikt namn är en sekvens med relativa unika namn (RDN), anslutna med kommatecken. |
| Telefon | sträng | Användarkontots telefonnummer. |
| RiskNivå | sträng | Användarkontots Microsoft Entra ID risknivå. Möjliga värden: |
| RiskLevelDetails | sträng | Information om Microsoft Entra ID risknivå. |
| RiskState | sträng | Ange om kontot är i riskzonen nu eller om risken har åtgärdats. |
| SourceSystem | sträng | Systemet där användaren hanteras. Möjliga värden: |
| Tillstånd | sträng | Användarkontots geografiska tillstånd. |
| StreetAddress | sträng | Användarkontots gatuadress. |
| Efternamn | sträng | Användarens efternamn. Konto. |
| TenantId | sträng | Användarens klientorganisations-ID. |
| TimeGenerated | Datetime | Tiden då händelsen genererades (UTC). |
| Typ | sträng | Namnet på tabellen. |
| UserAccountControl | Dynamisk | Säkerhetsattribut för användarkontot i AD-domänen. Möjliga värden (kan innehålla mer än en): |
| UserState | sträng | Det aktuella tillståndet för användarkontot i Microsoft Entra ID. Möjliga värden: |
| UserStateChangedOn | Datetime | Datumet för den senaste gången kontotillståndet ändrades (UTC). |
| UserType | sträng | Användartypen. |
Följande fält, även om de finns i Log Analytics-schemat, bör ignoreras eftersom de inte används eller stöds av Microsoft Sentinel:
- Program
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Taggar
- UACFlags