Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой справочной статье перечислены источники входных данных для службы Аналитики поведения пользователей и сущностей в Microsoft Sentinel. Здесь также описываются обогащения, которые UEBA добавляет к сущностям, предоставляя необходимый контекст для оповещений и инцидентов.
Important
Microsoft Sentinel общедоступен на портале Microsoft Defender, в том числе для клиентов без XDR Microsoft Defender или лицензии E5.
Начиная с июля 2026 года все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender. Начиная с июля 2025 года многие новые клиенты автоматически подключены и перенаправляются на портал Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender. Дополнительные сведения см. в статье " Время перемещения: выход из эксплуатации портала Azure Microsoft Sentinel" для повышения безопасности.
Источники данных UEBA
Это источники данных, из которых подсистема UEBA собирает и анализирует данные для обучения моделей машинного обучения и задания базовых показателей поведения для пользователей, устройств и других сущностей. Затем UEBA просматривает данные из этих источников, чтобы найти аномалии и получить аналитические сведения.
| Источник данных | Connector | Таблица Log Analytics | Проанализированные категории событий |
|---|---|---|---|
| Журналы входа управляемого удостоверения AAD (предварительная версия) | Майкрософт Ентра айди | AADManagedIdentitySignInLogs | Все события входа с управляемым удостоверением |
| Журналы входа субъекта-службы AAD (предварительная версия) | Майкрософт Ентра айди | AADServicePrincipalSignInLogs | Все события входа субъекта-службы |
| Журналы аудита | Майкрософт Ентра айди | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (предварительная версия) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | События входа в консоль. Определяется EventName = "ConsoleLogin" и EventSource = "signin.amazonaws.com". События должны иметь допустимый UserIdentityPrincipalId. |
| Действие Azure | Действие Azure | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| События входа устройства (предварительная версия) | Microsoft Defender XDR | DeviceLogonEvents | Все события входа устройства |
| Журналы аудита GCP (предварительная версия) | Журналы аудита gCP Pub/Sub | GCPAuditLogs |
apigee.googleapis.com — платформа управления APIiam.googleapis.com — Служба управления удостоверениями и доступом (IAM)iamcredentials.googleapis.com — API учетных данных учетной записи службы IAMcloudresourcemanager.googleapis.com — API Cloud Resource Managercompute.googleapis.com — API подсистемы вычисленийstorage.googleapis.com — API облачного хранилищаcontainer.googleapis.com — API ядра Kubernetesk8s.io — API Kubernetescloudsql.googleapis.com — Облачный API SQLbigquery.googleapis.com — API BigQuerybigquerydatatransfer.googleapis.com — API службы передачи данных BigQuerycloudfunctions.googleapis.com — API облачных функцийappengine.googleapis.com — API ядра приложенийdns.googleapis.com — ОБЛАЧНЫЙ API DNSbigquerydatapolicy.googleapis.com — API политики данных BigQueryfirestore.googleapis.com — API Firestoredataproc.googleapis.com — API dataprocosconfig.googleapis.com — API конфигурации ОСcloudkms.googleapis.com — API облачных KMSsecretmanager.googleapis.com — API диспетчера секретовСобытия должны иметь допустимое значение: - PrincipalEmail — учетная запись пользователя или службы, вызываемая API- MethodName — конкретный метод API Google, называемый— Основной адрес электронной почты в [email protected] формате. |
| Okta CL (предварительная версия) | Единый Sign-On Okta (с помощью функций Azure) | Okta_CL | Проверка подлинности, многофакторная проверка подлинности (MFA) и события сеанса, в том числе:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startСобытия должны иметь допустимый идентификатор пользователя ( actor_id_s). |
| События безопасности | События безопасности Windows через AMA События пересылки Windows |
WindowsEvent SecurityEvent |
4624: учетная запись успешно использована для входа в систему. 4625: учетную запись не удалось использовать для входа в систему. 4648: попытка входа с явными учетными данными. 4672: особые привилегии назначены новому сеансу входа. 4688: создан новый процесс. |
| Журналы входа | Майкрософт Ентра айди | SigninLogs | Все события входа |
Обогащения UEBA
В этом разделе описаны обогащения UEBA, добавляемые в сущности Microsoft Sentinel, которые можно использовать для фокусировки и резкого анализа инцидентов безопасности. Эти обогащения отображаются на страницах сущностей и можно найти в следующих таблицах Log Analytics, содержимое и схема которых перечислены ниже:
В таблице BehaviorAnalytics хранятся выходные данные UEBA.
Следующие три динамических поля из таблицы BehaviorAnalytics описаны в разделе " Обогащение динамических полей сущностей " ниже.
Поля UsersInsights и DevicesInsights содержат сведения о сущностях из источников Active Directory / Microsoft Entra ID и Microsoft Threat Intelligence.
Поле ActivityInsights содержит сведения о сущностях на основе профилей поведения, созданных аналитикой поведения сущностей Microsoft Sentinel.
Действия пользователей анализируются по базовому плану, который динамически компилируется при каждом использовании. Каждое действие имеет собственный определенный период обратного просмотра, от которого производный динамический базовый план. Период обратного просмотра указывается в столбце "Базовый " в этой таблице.
Таблица IdentityInfo — это место, в котором хранятся сведения об удостоверениях, синхронизированные с UEBA из идентификатора Microsoft Entra ID (и из локальной среды Active Directory через Microsoft Defender для удостоверений).
Таблица BehaviorAnalytics
В следующей таблице описаны данные аналитики поведения, отображаемые на каждой странице сведений об сущности в Microsoft Sentinel.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Уникальный идентификатор арендатора. |
| SourceRecordId | string | Уникальный идентификатор события EBA. |
| TimeGenerated | datetime | Метка времени для вхождения действия. |
| TimeProcessed | datetime | Метка времени обработки действия ядром EBA. |
| ActivityType | string | Категория действий высокого уровня. |
| ActionType | string | Нормализованное имя действия. |
| UserName | string | Имя пользователя, инициировавшего действие. |
| UserPrincipalName | string | Полное имя пользователя, инициировавшего действие. |
| EventSource | string | Источник данных, который предоставил исходное событие. |
| SourceIPAddress | string | IP-адрес, с которого было инициировано действие. |
| SourceIPLocation | string | Страна или регион, из которого была инициирована деятельность, обогащенная с IP-адреса. |
| SourceDevice | string | Имя узла устройства, инициировавшего действие. |
| DestinationIPAddress | string | IP-адрес целевого объекта действия. |
| DestinationIPLocation | string | Страна или регион целевого объекта действия, обогащенный с IP-адреса. |
| DestinationDevice | string | Имя целевого устройства. |
| UsersInsights | dynamic | Контекстное обогащение участвующих пользователей (подробные сведения ниже). |
| DevicesInsights | dynamic | Контекстное обогащение задействованных устройств (подробные сведения ниже). |
| ActivityInsights | dynamic | Контекстный анализ действий на основе профилирования (подробные сведения ниже). |
| InvestigationPriority | int | Оценка аномалий, от 0-10 (0 = мягкое, 10 = сильно аномальное). Эта оценка квалиифицирует степень отклонения от ожидаемого поведения. Более высокие оценки указывают на большее отклонение от базового плана и, скорее всего, указывают на истинные аномалии. Более низкие оценки по-прежнему могут быть аномальными, но, скорее всего, будут значительными или практическими. |
Динамические поля обогащения сущностей
Note
Столбец имени обогащения в таблицах в этом разделе отображает две строки сведений.
- Первым, полужирным шрифтом, является "понятное имя" обогащения.
- Второй (в курсиве и скобках) — это имя поля обогащения, как хранится в таблице Аналитики поведения.
Поле UsersInsights
В следующей таблице описаны обогащения, представленные в динамическом поле UsersInsights в таблице BehaviorAnalytics:
| Имя обогащения | Description | Примерное значение |
|---|---|---|
|
Отображаемое имя учетной записи (AccountDisplayName) |
Отображаемое имя учетной записи пользователя. | Администратор, Хейден Кук |
|
Домен учетной записи (AccountDomain) |
Доменное имя учетной записи пользователя. | |
|
Идентификатор объекта account (AccountObjectID) |
Идентификатор объекта учетной записи пользователя. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Радиус взрыва (BlastRadius) |
Радиус взрыва вычисляется на основе нескольких факторов: положение пользователя в дереве организации, а также роли и разрешения Microsoft Entra пользователя. Пользователь должен иметь свойство Manager , заполненное в идентификаторе Microsoft Entra для вычисления BlastRadius . | Низкая, Средняя, Высокая |
|
Неактивная учетная запись (IsDormantAccount) |
Учетная запись не использовалась за последние 180 дней. | Истина, Ложь |
|
Локальный администратор (IsLocalAdmin) |
Учетная запись имеет привилегии локального администратора. | Истина, Ложь |
|
Новая учетная запись (IsNewAccount) |
Учетная запись создана не более 30 дней назад. | Истина, Ложь |
|
Локальный идентификатор безопасности (OnPremisesSID) |
Локальный идентификатор безопасности пользователя, связанного с действием. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Поле DevicesInsights
В следующей таблице описаны обогащения, представленные в динамическом поле DevicesInsights в таблице BehaviorAnalytics:
| Имя обогащения | Description | Примерное значение |
|---|---|---|
|
Browser (Browser) |
Браузер, использованный в действии. | Microsoft Edge, Chrome |
|
Семейство устройств (DeviceFamily) |
Семейство устройства, использованного в действии. | Windows |
|
Тип устройства (DeviceType) |
Тип клиентского устройства, использованного в действии. | Desktop |
|
ISP (ISP) |
Поставщик услуг Интернета, использованный в действии. | |
|
Операционная система (OperatingSystem) |
Операционная система, использованная в действии. | Windows 10 |
|
Описание индикатора угроз Intel (ThreatIntelIndicatorDescription) |
Описание наблюдаемого индикатора угрозы, разрешенного по IP-адресу, использованному в действии. | Узел является элементом ботнета: azorult |
|
Тип индикатора угроз Intel (ThreatIntelIndicatorType) |
Тип индикатора угрозы, разрешенного по IP-адресу, использованного в действии. | Botnet, C2, CryptoMining, Darknet, Ddos, MalwareUrl, Вредоносные программы, Фишинг, Прокси, PUA, Контрольный список |
|
Агент пользователя (UserAgent) |
Агент пользователя, использованный в действии. | Клиентская библиотека Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Семейство агентов пользователей (UserAgentFamily) |
Семейство агента пользователя, использованного в действии. | Chrome, Microsoft Edge, Firefox |
Поле ActivityInsights
В следующих таблицах описаны обогащения, представленные в динамическом поле ActivityInsights в таблице BehaviorAnalytics:
Действие выполнено
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
При первом выполнении пользователем действия (FirstTimeUserPerformedAction) |
180 | Действие было выполнено пользователем впервые. | Истина, Ложь |
|
Действие, редко выполняемого пользователем (ActionUncommonlyPerformedByUser) |
10 | Действие обычно не выполняется пользователем. | Истина, Ложь |
|
Действие редко выполняется среди одноранговых узлов (ActionUncommonlyPerformedAmongPeers) |
180 | Действие обычно не выполняется среди одноранговых узлов пользователя. | Истина, Ложь |
|
Первое выполнение действия в клиенте (FirstTimeActionPerformedInTenant) |
180 | Действие было выполнено в первый раз кем-либо в организации. | Истина, Ложь |
|
Действие, редко выполняемого в клиенте (ActionUncommonlyPerformedInTenant) |
180 | Действие обычно не выполняется в организации. | Истина, Ложь |
Используемое приложение
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
При первом использовании приложения пользователем (FirstTimeUserUsedApp) |
180 | Приложение было использовано пользователем в первый раз. | Истина, Ложь |
|
Приложение, редко используемое пользователем (AppUncommonlyUsedByUser) |
10 | Приложение обычно не используется пользователем. | Истина, Ложь |
|
Приложение редко используется среди одноранговых узлов (AppUncommonlyUsedAmongPeers) |
180 | Приложение часто не используется среди одноранговых узлов пользователя. | Истина, Ложь |
|
При первом наблюдении приложения в клиенте (FirstTimeAppObservedInTenant) |
180 | Приложение впервые было выявлено в организации. | Истина, Ложь |
|
Приложение, редко используемое в клиенте (AppUncommonlyUsedInTenant) |
180 | Приложение обычно не используется в организации. | Истина, Ложь |
Используемый браузер
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
Первый раз, когда пользователь подключен через браузер (FirstTimeUserConnectedViaBrowser) |
30 | Браузер был впервые обнаружен у пользователя. | Истина, Ложь |
|
Браузер редко используется пользователем (BrowserUncommonlyUsedByUser) |
10 | Браузер обычно не используется пользователем. | Истина, Ложь |
|
Браузер редко используется среди одноранговых узлов (BrowserUncommonlyUsedAmongPeers) |
30 | Браузер часто не используется среди одноранговых узлов пользователя. | Истина, Ложь |
|
При первом просмотре браузера в клиенте (FirstTimeBrowserObservedInTenant) |
30 | Браузер впервые был обнаружен в организации. | Истина, Ложь |
|
Браузер редко используется в клиенте (BrowserUncommonlyUsedInTenant) |
30 | Браузер часто не используется в организации. | Истина, Ложь |
Страна или регион, подключенный из
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
Первый раз, когда пользователь подключен из страны (FirstTimeUserConnectedFromCountry) |
90 | Подключение из географического расположения, разрешенного по IP-адресу, было впервые установлено пользователем. | Истина, Ложь |
|
Страна редко подключена от пользователя (CountryUncommonlyConnectedFromByUser) |
10 | Подключения из географического расположения, разрешенного по IP-адресу, обычно не устанавливались пользователем. | Истина, Ложь |
|
Страна редко подключена из одноранговых узлов (CountryUncommonlyConnectedFromAmongPeers) |
90 | Географическое расположение, разрешенное из IP-адреса, обычно не подключено из одноранговых узлов пользователя. | Истина, Ложь |
|
При первом подключении из страны, наблюдаемой в клиенте (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Страна или регион были подключены впервые кем-либо в организации. | Истина, Ложь |
|
Страна редко подключена из клиента (CountryUncommonlyConnectedFromInTenant) |
90 | Географическое расположение, разрешенное из IP-адреса, обычно не подключено к организации. | Истина, Ложь |
Устройство, использованное для подключения
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
При первом подключении пользователя с устройства (FirstTimeUserConnectedFromDevice) |
30 | Подключение с исходного устройства было впервые принято пользователем. | Истина, Ложь |
|
Устройство, редко используемое пользователем (DeviceUncommonlyUsedByUser) |
10 | Устройство обычно не используется пользователем. | Истина, Ложь |
|
Устройство редко используется среди одноранговых узлов (DeviceUncommonlyUsedAmongPeers) |
180 | Устройство обычно не используется среди одноранговых узлов пользователя. | Истина, Ложь |
|
При первом наблюдении устройства в клиенте (FirstTimeDeviceObservedInTenant) |
30 | Устройство впервые было выявлено в организации. | Истина, Ложь |
|
Устройство, редко используемое в клиенте (DeviceUncommonlyUsedInTenant) |
180 | Устройство обычно не используется в организации. | Истина, Ложь |
Другие устройства, связанные с
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
При первом входе пользователя на устройство (FirstTimeUserLoggedOnToDevice) |
180 | Подключение к конечному устройству было установлено пользователем впервые. | Истина, Ложь |
|
Семейство устройств редко используется в клиенте (DeviceFamilyUncommonlyUsedInTenant) |
30 | Семейство устройств часто не используется в организации. | Истина, Ложь |
Поставщик услуг Интернета, использованный для подключения
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
Первый раз, когда пользователь подключен через ISP (FirstTimeUserConnectedViaISP) |
30 | Впервые было обнаружено, что пользователь использует этого поставщика услуг Интернета. | Истина, Ложь |
|
IsP редко используется пользователем (ISPUncommonlyUsedByUser) |
10 | IsP обычно не используется пользователем. | Истина, Ложь |
|
IsP редко используется среди одноранговых узлов (ISPUncommonlyUsedAmongPeers) |
30 | IsP часто не используется среди одноранговых узлов пользователя. | Истина, Ложь |
|
Первое подключение через ISP в клиенте (FirstTimeConnectionViaISPInTenant) |
30 | Впервые было обнаружено, что организация использует этого поставщика услуг Интернета. | Истина, Ложь |
|
IsP редко используется в клиенте (ISPUncommonlyUsedInTenant) |
30 | IsP часто не используется в организации. | Истина, Ложь |
Доступ к ресурсам
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
При первом доступе к ресурсу пользователя (FirstTimeUserAccessedResource) |
180 | Доступ к ресурсу был осуществлен пользователем впервые. | Истина, Ложь |
|
Редко доступ к ресурсу, к которым обращается пользователь (ResourceUncommonlyAccessedByUser) |
10 | Ресурс обычно не обращается к пользователю. | Истина, Ложь |
|
Редко доступ к ресурсу среди одноранговых узлов (ResourceUncommonlyAccessedAmongPeers) |
180 | К ресурсу обычно не обращались коллеги пользователя. | Истина, Ложь |
|
Первый доступ к ресурсу в клиенте (FirstTimeResourceAccessedInTenant) |
180 | Доступ к ресурсу впервые осуществлялся кем-либо в организации. | Истина, Ложь |
|
Редко доступ к ресурсу в клиенте (ResourceUncommonlyAccessedInTenant) |
180 | Ресурс обычно недоступна в организации. | Истина, Ложь |
Miscellaneous
| Имя обогащения | Базовые показатели (дни) | Description | Примерное значение |
|---|---|---|---|
|
Последнее время выполнения пользователем действия (LastTimeUserPerformedAction) |
180 | Время последнего выполнения этого действия пользователем. | <Метка времени> |
|
Аналогичное действие не было выполнено в прошлом (SimilarActionWasn'tPerformedInThePast) |
30 | Пользователь не выполнял никаких действий в том же поставщике ресурсов. | Истина, Ложь |
|
Расположение исходного IP-адреса (SourceIPLocation) |
N/A | Страна или регион, разрешенный из исходного IP-адреса действия. | [Суррей, Англия] |
|
Необычный большой объем операций (UncommonHighVolumeOfOperations) |
7 | Пользователь выполнил множество аналогичных операций в одном поставщике. | Истина, Ложь |
|
Необычное число сбоев условного доступа Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Необычное число пользователей не прошло проверку подлинности из-за условного доступа. | Истина, Ложь |
|
Необычное количество добавленных устройств (UnusualNumberOfDevicesAdded) |
5 | Пользователь добавил необычное количество устройств. | Истина, Ложь |
|
Необычное количество удаленных устройств (UnusualNumberOfDevicesDeleted) |
5 | Пользователь удалил необычное количество устройств. | Истина, Ложь |
|
Необычное количество пользователей, добавленных в группу (UnusualNumberOfUsersAddedToGroup) |
5 | Пользователь добавил необычное число пользователей в группу. | Истина, Ложь |
Таблица IdentityInfo
После включения и настройки UEBA для рабочей области Microsoft Sentinel данные пользователей от поставщиков удостоверений Майкрософт синхронизируются с таблицей IdentityInfo в Log Analytics для использования в Microsoft Sentinel.
Эти поставщики удостоверений являются следующими или обоими из следующих, в зависимости от выбранного при настройке UEBA:
- Идентификатор Microsoft Entra (облачный)
- Microsoft Active Directory (локальная среда, требуется Microsoft Defender для удостоверений))
Вы можете запросить таблицу IdentityInfo в правилах аналитики, запросах охоты и книгах, улучшить аналитику, чтобы соответствовать вашим вариантам использования и уменьшать ложные срабатывания.
Хотя первоначальная синхронизация может занять несколько дней, после полной синхронизации данных:
Каждые 14 дней Microsoft Sentinel повторно обновляет все идентификаторы Microsoft Entra (и локальный Active Directory, если это применимо), чтобы убедиться, что устаревшие записи полностью обновляются.
Помимо этих регулярных полных синхронизаций, каждый раз, когда изменения вносятся в профили пользователей, группы и встроенные роли в идентификаторе Microsoft Entra, затронутые записи пользователей удаляются и обновляются в таблице IdentityInfo в течение 15–30 минут. Этот прием выставляется по обычным тарифам. Рассмотрим пример.
Изменен атрибут пользователя, например отображаемое имя, название задания или адрес электронной почты. Новая запись для этого пользователя выполняется в таблице IdentityInfo с обновленными полями.
В группе A есть 100 пользователей. 5 пользователей добавляются в группу или удаляются из группы. В этом случае эти пять записей пользователей будут восстановлены, а поля GroupMembership обновлены.
В группе A есть 100 пользователей. Десять пользователей добавляются в группу A. Кроме того, в группу A1 и A2 добавляются группы A1 и A2 с 10 пользователями. В этом случае 30 записей пользователей удаляются и обновляются поля GroupMembership . Это происходит потому, что членство в группах транзитивно, поэтому изменения групп влияют на все их подгруппы.
Группа B (с 50 пользователями) переименована в Группу BeGood. В этом случае 50 записей пользователей удаляются и обновляются поля GroupMembership . Если в этой группе есть подгруппы, то же самое происходит для всех записей своих членов.
Время хранения по умолчанию в таблице IdentityInfo — 30 дней.
Limitations
Поле AssignedRoles поддерживает только встроенные роли.
Поле GroupMembership поддерживает перечисление до 500 групп на пользователя, включая подгруппы. Если пользователь входит в более чем 500 групп, с таблицей IdentityInfo синхронизируются только первые 500. Группы не оцениваются в определенном порядке, однако при каждой новой синхронизации (каждые 14 дней) возможно, что другой набор групп будет обновляться до записи пользователя.
При удалении пользователя запись этого пользователя не удаляется из таблицы IdentityInfo . Причиной этого является то, что одна из целей этой таблицы заключается в аудите изменений в записях пользователей. Поэтому мы хотим, чтобы в этой таблице была удалена запись пользователя, которая может произойти только в том случае, если запись пользователя в таблице IdentityInfo по-прежнему существует, даже если фактический пользователь (например, в идентификаторе записи) удаляется.
Удаленные пользователи могут быть идентифицированы по присутствию значения в
deletedDateTimeполе. Таким образом, если вам нужен запрос для отображения списка пользователей, вы можете отфильтровать удаленных пользователей, добавив| where IsEmpty(deletedDateTime)в запрос.Через определенный интервал времени после удаления пользователя запись пользователя в конечном итоге удаляется из таблицы IdentityInfo .
При удалении группы или изменении имени группы с более чем 100 участниками эта группа не обновляется. Если другое изменение приводит к обновлению одной из записей этих пользователей, обновленные сведения о группе будут включены в этот момент.
Другие версии таблицы IdentityInfo
Существует несколько версий таблицы IdentityInfo :
Версия схемы Log Analytics , описанная в этой статье, служит Microsoft Sentinel на портале Azure. Он доступен для тех клиентов, которые включили UEBA.
Версия схемы расширенной охоты служит порталу Microsoft Defender через Microsoft Defender для удостоверений. Он доступен клиентам XDR в Microsoft Defender, с Microsoft Sentinel или без него, а также для клиентов Microsoft Sentinel на портале Defender.
UEBA не требуется включить, чтобы иметь доступ к этой таблице. Однако для клиентов без включения UEBA поля, заполненные данными UEBA, не отображаются или недоступны.
Дополнительные сведения см. в документации по версии расширенной охоты этой таблицы.
Начиная с мая 2025 года клиенты Microsoft Sentinel на портале Microsoft Defenderс включенным UEBAначинают использовать новый выпуск версии расширенной охоты . Этот новый выпуск включает все поля UEBA из версии Log Analytics, а также некоторые новые поля и называются унифицированной версией или таблицей unified IdentityInfo.
Клиенты портала Defender без поддержки UEBA или без Microsoft Sentinel вообще продолжают использовать предыдущий выпуск версии расширенной охоты без полей, созданных UEBA.
Дополнительные сведения об унифицированной версии см. в документации по Расширенной охоте на IdentityInfo.
Schema
Таблица на следующей вкладке "Схема Log Analytics" описывает данные удостоверения пользователя, включенные в таблицу IdentityInfo в Log Analytics на портале Azure.
При подключении Microsoft Sentinel к порталу Defender перейдите на вкладку "Сравнить с унифицированной схемой", чтобы просмотреть изменения, которые могут повлиять на запросы в правилах обнаружения угроз и охоте.
| Имя поля | Type | Description |
|---|---|---|
| AccountCloudSID | string | Идентификатор безопасности Microsoft Entra учетной записи. |
| AccountCreationTime | datetime | Дата создания учетной записи пользователя (в формате UTC). |
| AccountDisplayName | string | Отображаемое имя учетной записи пользователя. |
| AccountDomain | string | Доменное имя учетной записи пользователя. |
| AccountName | string | Имя пользователя в учетной записи пользователя. |
| AccountObjectId | string | Идентификатор объекта Microsoft Entra для учетной записи пользователя. |
| AccountSID | string | Локальный идентификатор безопасности для учетной записи пользователя. |
| AccountTenantId | string | Идентификатор клиента Microsoft Entra учетной записи пользователя. |
| AccountUPN | string | Имя субъекта-пользователя для учетной записи пользователя. |
| AdditionalMailAddresses | dynamic | Дополнительные адреса электронной почты пользователя. |
| AssignedRoles | dynamic | Роли Microsoft Entra, которым назначена учетная запись пользователя. Поддерживаются только встроенные роли. |
| BlastRadius | string | Вычисление на основе положения пользователя в дереве организации и ролей и разрешений Пользователя Microsoft Entra. Возможные значения: низкий, средний, высокий |
| ChangeSource | string | Источник последнего изменения сущности. Возможные значения: |
| City | string | Город для учетной записи пользователя. |
| CompanyName | string | Имя компании, к которой принадлежит пользователь. |
| Country | string | Страна или регион учетной записи пользователя. |
| DeletedDateTime | datetime | Дата и время удаления пользователя. |
| Department | string | Отдел для учетной записи пользователя. |
| EmployeeId | string | Идентификатор сотрудника, назначенный пользователю организацией. |
| GivenName | string | Заданное имя для учетной записи пользователя. |
| GroupMembership | dynamic | Группы идентификаторов Microsoft Entra, в которых учетная запись пользователя является участником. |
| IsAccountEnabled | bool | Указывает, включена ли учетная запись пользователя в идентификаторе Microsoft Entra ID или нет. |
| JobTitle | string | Название должности для учетной записи пользователя. |
| MailAddress | string | Основной адрес электронной почты для учетной записи пользователя. |
| Manager | string | Псевдоним менеджера для учетной записи пользователя. |
| OnPremisesDistinguishedName | string | Различающееся имя (DN) идентификатора Microsoft Entra. Различающееся имя — это последовательность относительных различающихся имен (RDN), соединенных запятыми. |
| Phone | string | Номер телефона для учетной записи пользователя. |
| RiskLevel | string | Уровень риска идентификатора Microsoft Entra учетной записи пользователя. Возможные значения: |
| RiskLevelDetails | string | Сведения о уровне риска идентификатора Microsoft Entra. |
| RiskState | string | Указывает, находится ли учетная запись под угрозой сейчас или была ли устранена угроза. |
| SourceSystem | string | Система, в которой осуществляется управление пользователем. Возможные значения: |
| State | string | Географическое состояние учетной записи пользователя. |
| StreetAddress | string | Почтовый адрес офиса для учетной записи пользователя. |
| Surname | string | Фамилия пользователя. account. |
| TenantId | string | Идентификатор арендатора для пользователя. |
| TimeGenerated | datetime | Время, когда было создано событие (в формате UTC). |
| Type | string | Название таблицы. |
| UserAccountControl | dynamic | Атрибуты безопасности учетной записи пользователя в домене AD. Возможные значения (может содержать несколько): |
| UserState | string | Текущее состояние учетной записи пользователя в идентификаторе Microsoft Entra. Возможные значения: |
| UserStateChangedOn | datetime | Дата и время последнего изменения состояния учетной записи (в формате UTC). |
| UserType | string | Тип пользователя. |
Следующие поля, хотя они существуют в схеме Log Analytics, следует игнорировать, так как они не используются или поддерживаются Microsoft Sentinel:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Дальнейшие шаги
В этом документе описана схема таблицы аналитики поведения сущностей Microsoft Sentinel.
- Дополнительные сведения об аналитике поведения сущностей.
- Включите UEBA в Microsoft Sentinel.
- Поместите UEBA для использования в расследованиях.