Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье перечислены источники входных данных для службы аналитики поведения пользователей и сущностей в Microsoft Sentinel. В нем также описаны обогащения, которые UEBA добавляет к сущностям, предоставляя необходимый контекст для оповещений и инцидентов.
Важно!
После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Источники данных UEBA
Это источники данных, из которых подсистема UEBA собирает и анализирует данные для обучения моделей машинного обучения и задания базовых показателей поведения для пользователей, устройств и других сущностей. Затем UEBA просматривает данные из этих источников, чтобы найти аномалии и получить аналитические сведения.
| Источник данных | Connector | Таблица Log Analytics | Проанализированные категории событий |
|---|---|---|---|
| Журналы входа управляемых удостоверений AAD (предварительная версия) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Все события входа с управляемым удостоверением |
| Журналы входа субъекта-службы AAD (предварительная версия) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Все события входа субъекта-службы |
| Журналы аудита | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Устройство RoleManagement UserManagementCategory |
| AWS CloudTrail (предварительная версия) |
Веб-службы Amazon Amazon Web Services S3 |
AWSCloudTrail | События входа в консоль. Определяется с помощью EventName = "ConsoleLogin" и EventSource = "signin.amazonaws.com". События должны иметь допустимый UserIdentityPrincipalId. |
| Действия Azure | Действия Azure | AzureActivity | Авторизация AzureActiveDirectory Выставление счетов Вычисления Потребление KeyVault Устройства Сеть Ресурсы Intune Логический оператор Sql Хранилища |
| События входа устройства (предварительная версия) | Microsoft Defender XDR | DeviceLogonEvents | Все события входа устройства |
| Журналы аудита GCP (предварительная версия) | Журналы аудита публикации и подсети GCP | GCPAuditLogs |
apigee.googleapis.com— платформа Управление APIiam.googleapis.com — Служба управления удостоверениями и доступом (IAM)iamcredentials.googleapis.com — API учетных данных службы IAMcloudresourcemanager.googleapis.com— API облачных Resource Managercompute.googleapis.com — API вычислительной подсистемыstorage.googleapis.com — API облачного хранилищаcontainer.googleapis.com — API обработчика Kubernetesk8s.io — API Kubernetescloudsql.googleapis.com — API облачного SQLbigquery.googleapis.com — API BigQuerybigquerydatatransfer.googleapis.com — API службы передачи данных BigQuerycloudfunctions.googleapis.com — API облачных функцийappengine.googleapis.com — API обработчика приложенийdns.googleapis.com — ОБЛАЧНЫЙ API DNSbigquerydatapolicy.googleapis.com — API политики данных BigQueryfirestore.googleapis.com — API Firestoredataproc.googleapis.com — API Dataprocosconfig.googleapis.com — API конфигурации ОСcloudkms.googleapis.com — ОБЛАЧНЫЙ API KMSsecretmanager.googleapis.com — API диспетчера секретовСобытия должны иметь допустимый: - PrincipalEmail — учетная запись пользователя или службы, которая вызвала API.- MethodName — конкретный метод API Google, вызываемый— Основной адрес электронной почты в user@domain.com формате. |
| Okta CL (предварительная версия) | Okta Single Sign-On (с помощью Функции Azure) | Okta_CL, OktaV2_CL | Проверка подлинности, многофакторная проверка подлинности (MFA) и события сеанса, включая:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startСобытия должны иметь действительный идентификатор пользователя ( actor_id_s). |
| События безопасности |
Безопасность Windows события через AMA Переадресованные события Windows |
WindowsEvent SecurityEvent |
4624: учетная запись успешно выполнена 4625: не удалось войти в учетную запись 4648: попытка входа с использованием явных учетных данных 4672: специальные привилегии, назначенные новому входу в систему 4688: создан новый процесс |
| Журналы входа | Microsoft Entra ID | SigninLogs | Все события входа |
Обогащение UEBA
В этом разделе описаны обогащения, добавляемые UEBA в Microsoft Sentinel сущностям, которые можно использовать для фокусировки и отточки расследований инцидентов безопасности. Эти обогащения отображаются на страницах сущностей и находятся в следующих таблицах Log Analytics, содержимое и схема которых перечислены ниже:
В таблице BehaviorAnalytics хранятся выходные данные UEBA.
Следующие три динамических поля из таблицы BehaviorAnalytics описаны в разделе динамических полей обогащения сущностей ниже.
Поля UsersInsights и DevicesInsights содержат сведения об сущности из источников Active Directory/ Microsoft Entra ID и Microsoft Threat Intelligence.
Поле ActivityInsights содержит сведения о сущностях на основе профилей поведения, созданных с помощью аналитики поведения сущностей Microsoft Sentinel.
Действия пользователей анализируются по базовому плану, который динамически компилируется при каждом использовании. Каждое действие имеет свой собственный определенный период обратного просмотра, из которого производна динамическая базовая база. Период обратного просмотра указан в столбце Базовые показатели в этой таблице.
В таблице IdentityInfo хранятся сведения об удостоверениях, синхронизированные с UEBA из Microsoft Entra ID (и из локальная служба Active Directory через Microsoft Defender для удостоверений).
Таблица BehaviorAnalytics
В следующей таблице описаны данные аналитики поведения, отображаемые на странице сведений о каждой сущности в Microsoft Sentinel.
| Поле | Тип | Описание |
|---|---|---|
| Идентификатор клиента | string | Уникальный идентификатор клиента. |
| SourceRecordId | string | Уникальный идентификатор события EBA. |
| TimeGenerated | datetime | Метка времени возникновения действия. |
| TimeProcessed | datetime | Метка времени обработки действия подсистемой EBA. |
| ActivityType | string | Категория высокого уровня действия. |
| ActionType | string | Нормализованное имя действия. |
| UserName | string | Имя пользователя, который инициировал действие. |
| UserPrincipalName | string | Полное имя пользователя, который инициировал действие. |
| EventSource | string | Источник данных, предоставляющий исходное событие. |
| SourceIPAddress | string | IP-адрес, с которого было инициировано действие. |
| SourceIPLocation | string | Страна или регион, из которых было инициировано действие, обогащенные с IP-адреса. |
| SourceDevice | string | Имя узла устройства, которое инициировало действие. |
| DestinationIPAddress | string | IP-адрес целевого объекта действия. |
| DestinationIPLocation | string | Страна или регион целевого объекта действия, обогащенный IP-адресом. |
| DestinationDevice | string | Имя целевого устройства. |
| UsersInsights | Динамический | Контекстное обогащение участвующих пользователей (подробные сведения см. ниже). |
| DevicesInsights | Динамический | Контекстное обогащение участвующих устройств (сведения см. ниже). |
| ActivityInsights | Динамический | Контекстный анализ действий на основе нашего профилирования (подробнее ниже). |
| InvestigationPriority | int | Оценка аномалий в диапазоне от 0 до 10 (0=доброкачественная, 10=сильно аномальная). Эта оценка подсчитывает степень отклонения от ожидаемого поведения. Более высокие оценки указывают на большее отклонение от базового плана и, скорее всего, указывают на истинные аномалии. Более низкие оценки могут по-прежнему быть аномальными, но с меньшей вероятностью будут значительными или практическими. |
Динамические поля обогащения сущностей
Примечание.
В столбце Имя обогащения в таблицах этого раздела отображаются две строки сведений.
- Первое, полужирным шрифтом, — это "понятное имя" обогащения.
- Второй (курсивом и скобками) — это имя поля обогащения, хранящееся в таблице Аналитика поведения.
Поле UsersInsights
В следующей таблице описаны обогащения, представленные в динамическом поле UsersInsights в таблице BehaviorAnalytics:
| Имя обогащения | Описание | Пример значения |
|---|---|---|
|
Отображаемое имя учетной записи (AccountDisplayName) |
Отображаемое имя учетной записи пользователя. | Администратор, Хейден Кук |
|
Домен учетной записи (AccountDomain) |
Доменное имя учетной записи пользователя. | |
|
Идентификатор объекта учетной записи (AccountObjectID) |
Идентификатор объекта учетной записи пользователя. | aaaaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
Радиус взрыва (BlastRadius) |
Радиус взрыва вычисляется на основе нескольких факторов: позиции пользователя в дереве организации и Microsoft Entra ролей и разрешений пользователя. Пользователь должен иметь свойство Manager, заполненное в Microsoft Entra ID для вычисления BlastRadius. | Низкий, Средний, Высокий |
|
Неактивная учетная запись (IsDormantAccount) |
Учетная запись не использовалась в течение последних 180 дней. | True, False |
|
Является локальным администратором (IsLocalAdmin) |
Учетная запись имеет права локального администратора. | True, False |
|
Новая учетная запись (IsNewAccount) |
Учетная запись была создана в течение последних 30 дней. | True, False |
|
Локальный идентификатор безопасности (OnPremisesSID) |
Локальный идентификатор безопасности пользователя, связанный с действием. | S-1-5-21-1112946627-1321165628-24373422228-1103 |
Поле DevicesInsights
В следующей таблице описаны обогащения, представленные в динамическом поле DevicesInsights в таблице BehaviorAnalytics:
| Имя обогащения | Описание | Пример значения |
|---|---|---|
|
Browser (Браузер) |
Браузер, используемый в действии. | Microsoft Edge, Chrome |
|
Семейство устройств (DeviceFamily) |
Семейство устройств, используемое в действии. | Windows |
|
Тип устройства (DeviceType) |
Тип клиентского устройства, используемый в действии | Версия для настольного компьютера |
|
ISP (Поставщик услуг Интернета) |
Поставщик услуг Интернета, используемый в действии. | |
|
Операционная система (OperatingSystem) |
Операционная система, используемая в действии. | Windows 10 |
|
Описание индикатора intel threat (ThreatIntelIndicatorDescription) |
Описание наблюдаемого индикатора угрозы, разрешенного с IP-адреса, используемого в действии. | Узел является членом botnet: azorult |
|
Тип индикатора intel threat (ThreatIntelIndicatorType) |
Тип индикатора угрозы, разрешенного с IP-адреса, используемого в действии. | Botnet, C2, CryptoMining, Darknet, Ddos, MalwareUrl, Malware, Фишинг, Proxy, PUA, Watchlist |
|
User agent (Агент пользователя) (UserAgent) |
Агент пользователя, используемый в действии. | Клиентская библиотека Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Семейство агентов пользователей (UserAgentFamily) |
Семейство агентов пользователя, используемое в действии. | Chrome, Microsoft Edge, Firefox |
Поле ActivityInsights
В следующих таблицах описаны обогащения, представленные в динамическом поле ActivityInsights в таблице BehaviorAnalytics.
Выполненное действие
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом выполнении пользователем действия (FirstTimeUserPerformedAction) |
180 | Действие было выполнено в первый раз пользователем. | True, False |
|
Действие, редко выполняемого пользователем (ActionUncommonlyPerformedByUser) |
10 | Действие обычно не выполняется пользователем. | True, False |
|
Действие редко выполняется среди одноранговых узлов (ActionUncommonlyPerformedAmongPeers) |
180 | Действие обычно не выполняется среди одноранговых узлов пользователя. | True, False |
|
Первое действие, выполняемого в клиенте (FirstTimeActionPerformedInTenant) |
180 | Действие было выполнено впервые любым пользователем в организации. | True, False |
|
Действие, редко выполняемого в клиенте (ActionUncommonlyPerformedInTenant) |
180 | Действие обычно не выполняется в организации. | True, False |
Используемое приложение
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
Когда пользователь впервые использовал приложение (FirstTimeUserUsedApp) |
180 | Приложение было использовано в первый раз пользователем. | True, False |
|
Приложение, редко используемое пользователем (AppUncommonlyUsedByUser) |
10 | Приложение обычно не используется пользователем. | True, False |
|
Приложение, редко используемое среди одноранговых узлов (AppUncommonlyUsedAmongPeers) |
180 | Приложение обычно не используется среди одноранговых узлов пользователя. | True, False |
|
Первый раз, когда приложение наблюдается в клиенте (FirstTimeAppObservedInTenant) |
180 | Приложение было замечено впервые в организации. | True, False |
|
Приложение, редко используемое в клиенте (AppUncommonlyUsedInTenant) |
180 | Приложение обычно не используется в организации. | True, False |
Использование браузера
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом подключении пользователя через браузер (FirstTimeUserConnectedViaBrowser) |
30 | Пользователь впервые наблюдал за браузером. | True, False |
|
Браузер, редко используемый пользователем (BrowserUncommonlyUsedByUser) |
10 | Браузер обычно не используется пользователем. | True, False |
|
Браузер редко используется среди одноранговых узлов (BrowserUncommonlyUsedAmongPeers) |
30 | Браузер обычно не используется среди одноранговых узлов пользователя. | True, False |
|
Время, когда браузер впервые наблюдается в клиенте (FirstTimeBrowserObservedInTenant) |
30 | Браузер был замечен впервые в организации. | True, False |
|
Браузер, редко используемый в клиенте (BrowserUncommonlyUsedInTenant) |
30 | Браузер не часто используется в организации. | True, False |
Страна или регион, подключенный из
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом подключении пользователя из страны (FirstTimeUserConnectedFromCountry) |
90 | Географическое расположение, разрешенное с IP-адреса, было впервые подключено пользователем. | True, False |
|
Страна, редко связанная с пользователем (CountryUncommonlyConnectedFromByUser) |
10 | Географическое расположение, разрешенное с IP-адреса, обычно не связано с пользователем. | True, False |
|
Страна редко связана из числа сверстников (CountryUncommonlyConnectedFromAmongPeers) |
90 | Географическое расположение, разрешенное по IP-адресу, обычно не связано с одноранговых узлов пользователя. | True, False |
|
Первое подключение из страны, наблюдаемой в клиенте (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Страна или регион были подключены из впервые любым пользователем в организации. | True, False |
|
Страна, редко связанная с в клиенте (CountryUncommonlyConnectedFromInTenant) |
90 | Географическое расположение, разрешенное с IP-адреса, обычно не связано с в организации. | True, False |
Устройство, используемое для подключения
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом подключении пользователя с устройства (FirstTimeUserConnectedFromDevice) |
30 | Исходное устройство было впервые подключено пользователем. | True, False |
|
Устройство, редко используемое пользователем (DeviceUncommonlyUsedByUser) |
10 | Устройство обычно не используется пользователем. | True, False |
|
Устройство редко используется среди одноранговых узлов (DeviceUncommonlyUsedAmongPeers) |
180 | Устройство обычно не используется среди одноранговых узлов пользователя. | True, False |
|
Время первого наблюдения устройства в клиенте (FirstTimeDeviceObservedInTenant) |
30 | Устройство наблюдалось впервые в организации. | True, False |
|
Устройство, редко используемое в клиенте (DeviceUncommonlyUsedInTenant) |
180 | Устройство обычно не используется в организации. | True, False |
Другие связанные с устройствами
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом входе пользователя на устройство (FirstTimeUserLoggedOnToDevice) |
180 | Целевое устройство было впервые подключено пользователем. | True, False |
|
Семейство устройств, редко используемое в клиенте (DeviceFamilyUncommonlyUsedInTenant) |
30 | Семейство устройств обычно не используется в организации. | True, False |
Поставщик услуг Интернета, используемый для подключения
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом подключении пользователя через поставщик услуг Интернета (FirstTimeUserConnectedViaISP) |
30 | Поставщик услуг Интернета был замечен пользователем впервые. | True, False |
|
Поставщик услуг Интернета, редко используемый пользователем (ISPUncommonlyUsedByUser) |
10 | Поставщик услуг Интернета обычно не используется пользователем. | True, False |
|
Поставщик услуг Интернета редко используется среди одноранговых узлов (ISPUncommonlyUsedAmongPeers) |
30 | Поставщик услуг Интернета обычно не используется среди одноранговых узлов пользователя. | True, False |
|
Первое подключение через поставщик услуг Интернета в клиенте (FirstTimeConnectionViaISPInTenant) |
30 | Поставщик услуг Интернета был замечен в организации впервые. | True, False |
|
Поставщик услуг Интернета, редко используемый в клиенте (ISPUncommonlyUsedInTenant) |
30 | Поставщик услуг Интернета не часто используется в организации. | True, False |
Доступ к ресурсу
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
При первом обращении пользователя к ресурсу (FirstTimeUserAccessedResource) |
180 | Пользователь впервые получил доступ к ресурсу. | True, False |
|
Редко используемый пользователем ресурс (ResourceUncommonlyAccessedByUser) |
10 | Пользователь обычно не обращается к ресурсу. | True, False |
|
Ресурс с редким доступом среди одноранговых узлов (ResourceUncommonlyAccessedAmongPeers) |
180 | К ресурсу обычно не обращаются одноранговые узлы пользователя. | True, False |
|
При первом обращении к ресурсу в клиенте (FirstTimeResourceAccessedInTenant) |
180 | Доступ к ресурсу впервые получил любой пользователь в организации. | True, False |
|
Ресурс с редким доступом в клиенте (ResourceUncommonlyAccessedInTenant) |
180 | К ресурсу обычно не обращаются в организации. | True, False |
Разное
| Имя обогащения | Базовые показатели (в днях) | Описание | Пример значения |
|---|---|---|---|
|
Время последнего выполнения пользователем действия (LastTimeUserPerformedAction) |
180 | В последний раз, когда пользователь выполнял то же действие. | <Timestamp> |
|
Аналогичное действие не выполнялось в прошлом (SimilarActionWasn'tPerformedInThePast) |
30 | Пользователь не выполнил никаких действий в том же поставщике ресурсов. | True, False |
|
Расположение исходного IP-адреса (SourceIPLocation) |
Н/Д | Страна или регион, разрешенные из исходного IP-адреса действия. | [Суррей, Англия] |
|
Редкое большое количество операций (UncommonHighVolumeOfOperations) |
7 | Пользователь выполнил всплеск аналогичных операций в том же поставщике. | True, False |
|
Необычное количество сбоев условного доступа Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Необычное число пользователей, не прошедших проверку подлинности из-за условного доступа | True, False |
|
Необычное количество добавленных устройств (UnusualNumberOfDevicesAdded) |
5 | Пользователь добавил необычное количество устройств. | True, False |
|
Необычное число удаленных устройств (UnusualNumberOfDevicesDeleted) |
5 | Пользователь удалил необычное количество устройств. | True, False |
|
Необычное количество пользователей, добавленных в группу (UnusualNumberOfUsersAddedToGroup) |
5 | Пользователь добавил в группу необычное количество пользователей. | True, False |
Таблица IdentityInfo
После включения и настройки UEBA для рабочей области Microsoft Sentinel данные пользователей от поставщиков удостоверений Майкрософт синхронизируются с таблицей IdentityInfo в Log Analytics для использования в Microsoft Sentinel.
Эти поставщики удостоверений являются или оба из следующих, в зависимости от того, какой вы выбрали при настройке UEBA:
- Microsoft Entra ID (в облаке)
- Microsoft Active Directory (локальная среда, требуется Microsoft Defender для удостоверений))
Вы можете запрашивать таблицу IdentityInfo в правилах аналитики, запросах охоты и книгах, расширяя аналитику в соответствии с вариантами использования и уменьшая количество ложных срабатываний.
Хотя начальная синхронизация может занять несколько дней, после полной синхронизации данных:
Каждые 14 дней Microsoft Sentinel повторно синхронизируется со всей Microsoft Entra ID (и локальная служба Active Directory, если применимо), чтобы обеспечить полное обновление устаревших записей.
Помимо этих регулярных полных синхронизаций при внесении изменений в профили пользователей, группы и встроенные роли в Microsoft Entra ID, затронутые записи пользователей повторно помечаются и обновляются в таблице IdentityInfo в течение 15–30 минут. Этот прием оплачивается по обычным тарифам. Например, вы можете:
Атрибут пользователя, например отображаемое имя, должность или адрес электронной почты, был изменен. Новая запись для этого пользователя подается в таблицу IdentityInfo с соответствующими полями.
Группа A содержит 100 пользователей. 5 пользователей добавляются в группу или удаляются из нее. В этом случае эти пять записей пользователей будут повторно приниматься, а их поля GroupMembership обновлены.
Группа A содержит 100 пользователей. Десять пользователей добавляются в группу A. Кроме того, в группу A добавляются группы A1 и A2 с 10 пользователями. В этом случае повторно выполняется прием 30 записей пользователей, а их поля GroupMembership обновляются. Это происходит потому, что членство в группах является транзитивным, поэтому изменения в группах влияют на все их подгруппы.
Группа B (с 50 пользователями) переименована в Группу BeGood. В этом случае повторно выполняется прием 50 записей пользователей и обновление полей GroupMembership . Если в этой группе есть подгруппы, то для записей всех участников происходит то же самое.
Время хранения по умолчанию в таблице IdentityInfo составляет 30 дней.
Ограничения
Поле AssignedRoles поддерживает только встроенные роли.
Поле GroupMembership поддерживает перечисление до 500 групп на пользователя, включая подгруппы. Если пользователь является членом более чем 500 групп, только первые 500 синхронизируются с таблицей IdentityInfo . Группы не оцениваются в определенном порядке, однако, поэтому при каждой новой синхронизации (каждые 14 дней) возможно, что другой набор групп будет обновляться до пользовательской записи.
При удалении пользователя запись этого пользователя не сразу удаляется из таблицы IdentityInfo . Это связано с тем, что одной из целей этой таблицы является аудит изменений в пользовательских записях. Поэтому мы хотим, чтобы в этой таблице была запись об удалении пользователя, что может произойти только в том случае, если запись пользователя в таблице IdentityInfo все еще существует, даже если фактический пользователь (например, в Entra идентификаторе) удален.
Удаленных пользователей можно определить по наличию значения в
deletedDateTimeполе. Поэтому, если вам нужен запрос для отображения списка пользователей, можно отфильтровать удаленных пользователей, добавив| where IsEmpty(deletedDateTime)в запрос.Через определенный промежуток времени после удаления пользователя запись пользователя в конечном итоге также удаляется из таблицы IdentityInfo .
При удалении группы или изменении имени группы с более чем 100 участниками ее записи пользователей не обновляются. Если другое изменение приводит к обновлению одной из записей этих пользователей, обновленные сведения о группе будут включены в этот момент.
Другие версии таблицы IdentityInfo
Существует несколько версий таблицы IdentityInfo :
Версия схемы Log Analytics, описанная в этой статье, служит Microsoft Sentinel в портал Azure. Он доступен для тех клиентов, которые включили UEBA.
Версия схемы расширенной охоты обслуживает портал Microsoft Defender через Microsoft Defender для удостоверений. Он доступен клиентам Microsoft Defender XDR с Microsoft Sentinel или без него, а также клиентам Microsoft Sentinel сам по себе на портале Defender.
Для доступа к этой таблице не нужно включать UEBA. Однако для клиентов, не включив UEBA, поля, заполненные данными UEBA, не видны или недоступны.
Дополнительные сведения см. в документации по версии расширенной охоты этой таблицы.
С мая 2025 г. клиенты Microsoft Sentinel на портале Microsoft Defenderс включенным UEBAначинают использовать новый выпуск версии Advanced Hunting. Этот новый выпуск включает все поля UEBA из версии Log Analytics, а также некоторые новые поля и называется унифицированной версией или унифицированной таблицей IdentityInfo.
Клиенты портала Defender без поддержки UEBA или вообще без Microsoft Sentinel по-прежнему используют предыдущий выпуск версии Расширенной охоты без полей, созданных UEBA.
Дополнительные сведения об унифицированной версии см. в разделе IdentityInfo документации по расширенной охоте.
Важно!
При переходе на портал Defender таблица становится собственной таблицей Defender, IdentityInfo которая не поддерживает RBAC на уровне таблиц (контроль доступа на основе ролей). Если ваша организация использует RBAC табличного уровня для ограничения доступа к IdentityInfo таблице в портал Azure, это управление доступом больше не будет доступно после перехода на портал Defender.
Схема
В таблице на следующей вкладке "Схема Log Analytics" описаны данные удостоверений пользователей, включенные в таблицу IdentityInfo в Log Analytics в портал Azure.
При подключении Microsoft Sentinel к порталу Defender перейдите на вкладку "Сравнить с унифицированной схемой", чтобы просмотреть изменения, которые могут повлиять на запросы в правилах обнаружения угроз и охоте.
| Имя поля | Тип | Описание |
|---|---|---|
| AccountCloudSID | string | Идентификатор Microsoft Entra безопасности учетной записи. |
| AccountCreationTime | datetime | Дата создания учетной записи пользователя (UTC). |
| AccountDisplayName | string | Отображаемое имя учетной записи пользователя. |
| AccountDomain | string | Доменное имя учетной записи пользователя. |
| Accountname | string | Имя пользователя учетной записи пользователя. |
| AccountObjectId | string | Идентификатор объекта Microsoft Entra для учетной записи пользователя. |
| AccountSID | string | Локальный идентификатор безопасности учетной записи пользователя. |
| AccountTenantId | string | Идентификатор клиента Microsoft Entra учетной записи пользователя. |
| AccountUPN | string | Имя субъекта-пользователя учетной записи пользователя. |
| AdditionalMailAddresses | Динамический | Дополнительные адреса электронной почты пользователя. |
| AssignedRoles | Динамический | Роли Microsoft Entra, которым назначена учетная запись пользователя. Поддерживаются только встроенные роли. |
| BlastRadius | string | Вычисление на основе позиции пользователя в дереве организации и Microsoft Entra ролей и разрешений пользователя. Возможные значения: Низкий, Средний, Высокий |
| ChangeSource | string | Источник последнего изменения сущности. Возможные значения: |
| City | string | Город учетной записи пользователя. |
| CompanyName | string | Название компании, к которой принадлежит пользователь. |
| Страна | string | Страна или регион учетной записи пользователя. |
| DeletedDateTime | datetime | Дата и время удаления пользователя. |
| Department | string | Отдел учетной записи пользователя. |
| Employeeid | string | Идентификатор сотрудника, назначенный пользователю организацией. |
| GivenName | string | Имя учетной записи пользователя. |
| GroupMembership | Динамический | Microsoft Entra ID группы, участником которых является учетная запись пользователя. |
| IsAccountEnabled | логический | Указание на то, включена ли учетная запись пользователя в Microsoft Entra ID или нет. |
| JobTitle | string | Название задания учетной записи пользователя. |
| MailAddress | string | Основной адрес электронной почты учетной записи пользователя. |
| Сотрудник | string | Псевдоним руководителя учетной записи пользователя. |
| OnPremisesDistinguishedName | string | Microsoft Entra ID различающееся имя (DN). Различающееся имя — это последовательность относительных различаемых имен (RDN), соединенных запятыми. |
| Phone | string | Номер телефона учетной записи пользователя. |
| RiskLevel | string | Уровень риска Microsoft Entra ID учетной записи пользователя. Возможные значения: |
| RiskLevelDetails | string | Сведения об уровне риска Microsoft Entra ID. |
| RiskState | string | Указывает, находится ли учетная запись под угрозой сейчас или был ли устранен риск. |
| SourceSystem | string | Система, в которой управляет пользователь. Возможные значения: |
| Состояние | string | Географическое состояние учетной записи пользователя. |
| StreetAddress | string | Адрес офиса учетной записи пользователя. |
| Фамилия | string | Фамилия пользователя. Учетной записи. |
| Идентификатор клиента | string | Идентификатор клиента пользователя. |
| TimeGenerated | datetime | Время создания события (UTC). |
| Type | string | Имя таблицы. |
| UserAccountControl | Динамический | Атрибуты безопасности учетной записи пользователя в домене AD. Возможные значения (могут содержать несколько): |
| UserState | string | Текущее состояние учетной записи пользователя в Microsoft Entra ID. Возможные значения: |
| UserStateChangedOn | datetime | Дата последнего изменения состояния учетной записи (UTC). |
| UserType | string | Тип пользователя. |
Следующие поля, хотя они существуют в схеме Log Analytics, следует игнорировать, так как они не используются и не поддерживаются Microsoft Sentinel:
- Приложения
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- Связанные Учетные записи
- ServicePrincipals
- Tags
- UACFlags