Microsoft Sentinel источники данных аналитики поведения пользователей и сущностей (UEBA) и обогащение схемы

В этой статье перечислены источники входных данных для службы аналитики поведения пользователей и сущностей в Microsoft Sentinel. В нем также описаны обогащения, которые UEBA добавляет к сущностям, предоставляя необходимый контекст для оповещений и инцидентов.

Важно!

После 31 марта 2027 г. Microsoft Sentinel больше не будут поддерживаться в портал Azure и будут доступны только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel в портал Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.

Если вы по-прежнему используете Microsoft Sentinel в портал Azure, рекомендуется начать планирование перехода на портал Defender, чтобы обеспечить плавный переход и в полной мере воспользоваться преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.

Источники данных UEBA

Это источники данных, из которых подсистема UEBA собирает и анализирует данные для обучения моделей машинного обучения и задания базовых показателей поведения для пользователей, устройств и других сущностей. Затем UEBA просматривает данные из этих источников, чтобы найти аномалии и получить аналитические сведения.

Источник данных Connector Таблица Log Analytics Проанализированные категории событий
Журналы входа управляемых удостоверений AAD (предварительная версия) Microsoft Entra ID AADManagedIdentitySignInLogs Все события входа с управляемым удостоверением
Журналы входа субъекта-службы AAD (предварительная версия) Microsoft Entra ID AADServicePrincipalSignInLogs Все события входа субъекта-службы
Журналы аудита Microsoft Entra ID AuditLogs ApplicationManagement
DirectoryManagement
GroupManagement
Устройство
RoleManagement
UserManagementCategory
AWS CloudTrail (предварительная версия) Веб-службы Amazon
Amazon Web Services S3
AWSCloudTrail События входа в консоль.
Определяется с помощью EventName = "ConsoleLogin" и EventSource = "signin.amazonaws.com". События должны иметь допустимый UserIdentityPrincipalId.
Действия Azure Действия Azure AzureActivity Авторизация
AzureActiveDirectory
Выставление счетов
Вычисления
Потребление
KeyVault
Устройства
Сеть
Ресурсы
Intune
Логический оператор
Sql
Хранилища
События входа устройства (предварительная версия) Microsoft Defender XDR DeviceLogonEvents Все события входа устройства
Журналы аудита GCP (предварительная версия) Журналы аудита публикации и подсети GCP GCPAuditLogs apigee.googleapis.com— платформа Управление API
iam.googleapis.com — Служба управления удостоверениями и доступом (IAM)
iamcredentials.googleapis.com — API учетных данных службы IAM
cloudresourcemanager.googleapis.com— API облачных Resource Manager
compute.googleapis.com — API вычислительной подсистемы
storage.googleapis.com — API облачного хранилища
container.googleapis.com — API обработчика Kubernetes
k8s.io — API Kubernetes
cloudsql.googleapis.com — API облачного SQL
bigquery.googleapis.com — API BigQuery
bigquerydatatransfer.googleapis.com — API службы передачи данных BigQuery
cloudfunctions.googleapis.com — API облачных функций
appengine.googleapis.com — API обработчика приложений
dns.googleapis.com — ОБЛАЧНЫЙ API DNS
bigquerydatapolicy.googleapis.com — API политики данных BigQuery
firestore.googleapis.com — API Firestore
dataproc.googleapis.com — API Dataproc
osconfig.googleapis.com — API конфигурации ОС
cloudkms.googleapis.com — ОБЛАЧНЫЙ API KMS
secretmanager.googleapis.com — API диспетчера секретов
События должны иметь допустимый:
- PrincipalEmail — учетная запись пользователя или службы, которая вызвала API.
- MethodName — конкретный метод API Google, вызываемый
— Основной адрес электронной почты в user@domain.com формате.
Okta CL (предварительная версия) Okta Single Sign-On (с помощью Функции Azure) Okta_CL, OktaV2_CL Проверка подлинности, многофакторная проверка подлинности (MFA) и события сеанса, включая:
app.oauth2.admin.consent.grant_success
app.oauth2.authorize.code_success
device.desktop_mfa.recovery_pin.generate
user.authentication.auth_via_mfa
user.mfa.attempt_bypass
user.mfa.factor.deactivate
user.mfa.factor.reset_all
user.mfa.factor.suspend
user.mfa.okta_verify
user.session.impersonation.grant
user.session.impersonation.initiate
user.session.start
События должны иметь действительный идентификатор пользователя (actor_id_s).
События безопасности Безопасность Windows события через AMA
Переадресованные события Windows
WindowsEvent
SecurityEvent
4624: учетная запись успешно выполнена
4625: не удалось войти в учетную запись
4648: попытка входа с использованием явных учетных данных
4672: специальные привилегии, назначенные новому входу в систему
4688: создан новый процесс
Журналы входа Microsoft Entra ID SigninLogs Все события входа

Обогащение UEBA

В этом разделе описаны обогащения, добавляемые UEBA в Microsoft Sentinel сущностям, которые можно использовать для фокусировки и отточки расследований инцидентов безопасности. Эти обогащения отображаются на страницах сущностей и находятся в следующих таблицах Log Analytics, содержимое и схема которых перечислены ниже:

  • В таблице BehaviorAnalytics хранятся выходные данные UEBA.

    Следующие три динамических поля из таблицы BehaviorAnalytics описаны в разделе динамических полей обогащения сущностей ниже.

    • Поля UsersInsights и DevicesInsights содержат сведения об сущности из источников Active Directory/ Microsoft Entra ID и Microsoft Threat Intelligence.

    • Поле ActivityInsights содержит сведения о сущностях на основе профилей поведения, созданных с помощью аналитики поведения сущностей Microsoft Sentinel.

      Действия пользователей анализируются по базовому плану, который динамически компилируется при каждом использовании. Каждое действие имеет свой собственный определенный период обратного просмотра, из которого производна динамическая базовая база. Период обратного просмотра указан в столбце Базовые показатели в этой таблице.

  • В таблице IdentityInfo хранятся сведения об удостоверениях, синхронизированные с UEBA из Microsoft Entra ID (и из локальная служба Active Directory через Microsoft Defender для удостоверений).

Таблица BehaviorAnalytics

В следующей таблице описаны данные аналитики поведения, отображаемые на странице сведений о каждой сущности в Microsoft Sentinel.

Поле Тип Описание
Идентификатор клиента string Уникальный идентификатор клиента.
SourceRecordId string Уникальный идентификатор события EBA.
TimeGenerated datetime Метка времени возникновения действия.
TimeProcessed datetime Метка времени обработки действия подсистемой EBA.
ActivityType string Категория высокого уровня действия.
ActionType string Нормализованное имя действия.
UserName string Имя пользователя, который инициировал действие.
UserPrincipalName string Полное имя пользователя, который инициировал действие.
EventSource string Источник данных, предоставляющий исходное событие.
SourceIPAddress string IP-адрес, с которого было инициировано действие.
SourceIPLocation string Страна или регион, из которых было инициировано действие, обогащенные с IP-адреса.
SourceDevice string Имя узла устройства, которое инициировало действие.
DestinationIPAddress string IP-адрес целевого объекта действия.
DestinationIPLocation string Страна или регион целевого объекта действия, обогащенный IP-адресом.
DestinationDevice string Имя целевого устройства.
UsersInsights Динамический Контекстное обогащение участвующих пользователей (подробные сведения см. ниже).
DevicesInsights Динамический Контекстное обогащение участвующих устройств (сведения см. ниже).
ActivityInsights Динамический Контекстный анализ действий на основе нашего профилирования (подробнее ниже).
InvestigationPriority int Оценка аномалий в диапазоне от 0 до 10 (0=доброкачественная, 10=сильно аномальная). Эта оценка подсчитывает степень отклонения от ожидаемого поведения. Более высокие оценки указывают на большее отклонение от базового плана и, скорее всего, указывают на истинные аномалии. Более низкие оценки могут по-прежнему быть аномальными, но с меньшей вероятностью будут значительными или практическими.

Динамические поля обогащения сущностей

Примечание.

В столбце Имя обогащения в таблицах этого раздела отображаются две строки сведений.

  • Первое, полужирным шрифтом, — это "понятное имя" обогащения.
  • Второй (курсивом и скобками) — это имя поля обогащения, хранящееся в таблице Аналитика поведения.

Поле UsersInsights

В следующей таблице описаны обогащения, представленные в динамическом поле UsersInsights в таблице BehaviorAnalytics:

Имя обогащения Описание Пример значения
Отображаемое имя учетной записи
(AccountDisplayName)
Отображаемое имя учетной записи пользователя. Администратор, Хейден Кук
Домен учетной записи
(AccountDomain)
Доменное имя учетной записи пользователя.
Идентификатор объекта учетной записи
(AccountObjectID)
Идентификатор объекта учетной записи пользователя. aaaaaaaaaa-0000-1111-2222-bbbbbbbbbb
Радиус взрыва
(BlastRadius)
Радиус взрыва вычисляется на основе нескольких факторов: позиции пользователя в дереве организации и Microsoft Entra ролей и разрешений пользователя. Пользователь должен иметь свойство Manager, заполненное в Microsoft Entra ID для вычисления BlastRadius. Низкий, Средний, Высокий
Неактивная учетная запись
(IsDormantAccount)
Учетная запись не использовалась в течение последних 180 дней. True, False
Является локальным администратором
(IsLocalAdmin)
Учетная запись имеет права локального администратора. True, False
Новая учетная запись
(IsNewAccount)
Учетная запись была создана в течение последних 30 дней. True, False
Локальный идентификатор безопасности
(OnPremisesSID)
Локальный идентификатор безопасности пользователя, связанный с действием. S-1-5-21-1112946627-1321165628-24373422228-1103

Поле DevicesInsights

В следующей таблице описаны обогащения, представленные в динамическом поле DevicesInsights в таблице BehaviorAnalytics:

Имя обогащения Описание Пример значения
Browser
(Браузер)
Браузер, используемый в действии. Microsoft Edge, Chrome
Семейство устройств
(DeviceFamily)
Семейство устройств, используемое в действии. Windows
Тип устройства
(DeviceType)
Тип клиентского устройства, используемый в действии Версия для настольного компьютера
ISP
(Поставщик услуг Интернета)
Поставщик услуг Интернета, используемый в действии.
Операционная система
(OperatingSystem)
Операционная система, используемая в действии. Windows 10
Описание индикатора intel threat
(ThreatIntelIndicatorDescription)
Описание наблюдаемого индикатора угрозы, разрешенного с IP-адреса, используемого в действии. Узел является членом botnet: azorult
Тип индикатора intel threat
(ThreatIntelIndicatorType)
Тип индикатора угрозы, разрешенного с IP-адреса, используемого в действии. Botnet, C2, CryptoMining, Darknet, Ddos, MalwareUrl, Malware, Фишинг, Proxy, PUA, Watchlist
User agent (Агент пользователя)
(UserAgent)
Агент пользователя, используемый в действии. Клиентская библиотека Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Семейство агентов пользователей
(UserAgentFamily)
Семейство агентов пользователя, используемое в действии. Chrome, Microsoft Edge, Firefox

Поле ActivityInsights

В следующих таблицах описаны обогащения, представленные в динамическом поле ActivityInsights в таблице BehaviorAnalytics.

Выполненное действие
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом выполнении пользователем действия
(FirstTimeUserPerformedAction)
180 Действие было выполнено в первый раз пользователем. True, False
Действие, редко выполняемого пользователем
(ActionUncommonlyPerformedByUser)
10 Действие обычно не выполняется пользователем. True, False
Действие редко выполняется среди одноранговых узлов
(ActionUncommonlyPerformedAmongPeers)
180 Действие обычно не выполняется среди одноранговых узлов пользователя. True, False
Первое действие, выполняемого в клиенте
(FirstTimeActionPerformedInTenant)
180 Действие было выполнено впервые любым пользователем в организации. True, False
Действие, редко выполняемого в клиенте
(ActionUncommonlyPerformedInTenant)
180 Действие обычно не выполняется в организации. True, False
Используемое приложение
Имя обогащения Базовые показатели (в днях) Описание Пример значения
Когда пользователь впервые использовал приложение
(FirstTimeUserUsedApp)
180 Приложение было использовано в первый раз пользователем. True, False
Приложение, редко используемое пользователем
(AppUncommonlyUsedByUser)
10 Приложение обычно не используется пользователем. True, False
Приложение, редко используемое среди одноранговых узлов
(AppUncommonlyUsedAmongPeers)
180 Приложение обычно не используется среди одноранговых узлов пользователя. True, False
Первый раз, когда приложение наблюдается в клиенте
(FirstTimeAppObservedInTenant)
180 Приложение было замечено впервые в организации. True, False
Приложение, редко используемое в клиенте
(AppUncommonlyUsedInTenant)
180 Приложение обычно не используется в организации. True, False
Использование браузера
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом подключении пользователя через браузер
(FirstTimeUserConnectedViaBrowser)
30 Пользователь впервые наблюдал за браузером. True, False
Браузер, редко используемый пользователем
(BrowserUncommonlyUsedByUser)
10 Браузер обычно не используется пользователем. True, False
Браузер редко используется среди одноранговых узлов
(BrowserUncommonlyUsedAmongPeers)
30 Браузер обычно не используется среди одноранговых узлов пользователя. True, False
Время, когда браузер впервые наблюдается в клиенте
(FirstTimeBrowserObservedInTenant)
30 Браузер был замечен впервые в организации. True, False
Браузер, редко используемый в клиенте
(BrowserUncommonlyUsedInTenant)
30 Браузер не часто используется в организации. True, False
Страна или регион, подключенный из
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом подключении пользователя из страны
(FirstTimeUserConnectedFromCountry)
90 Географическое расположение, разрешенное с IP-адреса, было впервые подключено пользователем. True, False
Страна, редко связанная с пользователем
(CountryUncommonlyConnectedFromByUser)
10 Географическое расположение, разрешенное с IP-адреса, обычно не связано с пользователем. True, False
Страна редко связана из числа сверстников
(CountryUncommonlyConnectedFromAmongPeers)
90 Географическое расположение, разрешенное по IP-адресу, обычно не связано с одноранговых узлов пользователя. True, False
Первое подключение из страны, наблюдаемой в клиенте
(FirstTimeConnectionFromCountryObservedInTenant)
90 Страна или регион были подключены из впервые любым пользователем в организации. True, False
Страна, редко связанная с в клиенте
(CountryUncommonlyConnectedFromInTenant)
90 Географическое расположение, разрешенное с IP-адреса, обычно не связано с в организации. True, False
Устройство, используемое для подключения
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом подключении пользователя с устройства
(FirstTimeUserConnectedFromDevice)
30 Исходное устройство было впервые подключено пользователем. True, False
Устройство, редко используемое пользователем
(DeviceUncommonlyUsedByUser)
10 Устройство обычно не используется пользователем. True, False
Устройство редко используется среди одноранговых узлов
(DeviceUncommonlyUsedAmongPeers)
180 Устройство обычно не используется среди одноранговых узлов пользователя. True, False
Время первого наблюдения устройства в клиенте
(FirstTimeDeviceObservedInTenant)
30 Устройство наблюдалось впервые в организации. True, False
Устройство, редко используемое в клиенте
(DeviceUncommonlyUsedInTenant)
180 Устройство обычно не используется в организации. True, False
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом входе пользователя на устройство
(FirstTimeUserLoggedOnToDevice)
180 Целевое устройство было впервые подключено пользователем. True, False
Семейство устройств, редко используемое в клиенте
(DeviceFamilyUncommonlyUsedInTenant)
30 Семейство устройств обычно не используется в организации. True, False
Поставщик услуг Интернета, используемый для подключения
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом подключении пользователя через поставщик услуг Интернета
(FirstTimeUserConnectedViaISP)
30 Поставщик услуг Интернета был замечен пользователем впервые. True, False
Поставщик услуг Интернета, редко используемый пользователем
(ISPUncommonlyUsedByUser)
10 Поставщик услуг Интернета обычно не используется пользователем. True, False
Поставщик услуг Интернета редко используется среди одноранговых узлов
(ISPUncommonlyUsedAmongPeers)
30 Поставщик услуг Интернета обычно не используется среди одноранговых узлов пользователя. True, False
Первое подключение через поставщик услуг Интернета в клиенте
(FirstTimeConnectionViaISPInTenant)
30 Поставщик услуг Интернета был замечен в организации впервые. True, False
Поставщик услуг Интернета, редко используемый в клиенте
(ISPUncommonlyUsedInTenant)
30 Поставщик услуг Интернета не часто используется в организации. True, False
Доступ к ресурсу
Имя обогащения Базовые показатели (в днях) Описание Пример значения
При первом обращении пользователя к ресурсу
(FirstTimeUserAccessedResource)
180 Пользователь впервые получил доступ к ресурсу. True, False
Редко используемый пользователем ресурс
(ResourceUncommonlyAccessedByUser)
10 Пользователь обычно не обращается к ресурсу. True, False
Ресурс с редким доступом среди одноранговых узлов
(ResourceUncommonlyAccessedAmongPeers)
180 К ресурсу обычно не обращаются одноранговые узлы пользователя. True, False
При первом обращении к ресурсу в клиенте
(FirstTimeResourceAccessedInTenant)
180 Доступ к ресурсу впервые получил любой пользователь в организации. True, False
Ресурс с редким доступом в клиенте
(ResourceUncommonlyAccessedInTenant)
180 К ресурсу обычно не обращаются в организации. True, False
Разное
Имя обогащения Базовые показатели (в днях) Описание Пример значения
Время последнего выполнения пользователем действия
(LastTimeUserPerformedAction)
180 В последний раз, когда пользователь выполнял то же действие. <Timestamp>
Аналогичное действие не выполнялось в прошлом
(SimilarActionWasn'tPerformedInThePast)
30 Пользователь не выполнил никаких действий в том же поставщике ресурсов. True, False
Расположение исходного IP-адреса
(SourceIPLocation)
Н/Д Страна или регион, разрешенные из исходного IP-адреса действия. [Суррей, Англия]
Редкое большое количество операций
(UncommonHighVolumeOfOperations)
7 Пользователь выполнил всплеск аналогичных операций в том же поставщике. True, False
Необычное количество сбоев условного доступа Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 Необычное число пользователей, не прошедших проверку подлинности из-за условного доступа True, False
Необычное количество добавленных устройств
(UnusualNumberOfDevicesAdded)
5 Пользователь добавил необычное количество устройств. True, False
Необычное число удаленных устройств
(UnusualNumberOfDevicesDeleted)
5 Пользователь удалил необычное количество устройств. True, False
Необычное количество пользователей, добавленных в группу
(UnusualNumberOfUsersAddedToGroup)
5 Пользователь добавил в группу необычное количество пользователей. True, False

Таблица IdentityInfo

После включения и настройки UEBA для рабочей области Microsoft Sentinel данные пользователей от поставщиков удостоверений Майкрософт синхронизируются с таблицей IdentityInfo в Log Analytics для использования в Microsoft Sentinel.

Эти поставщики удостоверений являются или оба из следующих, в зависимости от того, какой вы выбрали при настройке UEBA:

  • Microsoft Entra ID (в облаке)
  • Microsoft Active Directory (локальная среда, требуется Microsoft Defender для удостоверений))

Вы можете запрашивать таблицу IdentityInfo в правилах аналитики, запросах охоты и книгах, расширяя аналитику в соответствии с вариантами использования и уменьшая количество ложных срабатываний.

Хотя начальная синхронизация может занять несколько дней, после полной синхронизации данных:

  • Каждые 14 дней Microsoft Sentinel повторно синхронизируется со всей Microsoft Entra ID (и локальная служба Active Directory, если применимо), чтобы обеспечить полное обновление устаревших записей.

  • Помимо этих регулярных полных синхронизаций при внесении изменений в профили пользователей, группы и встроенные роли в Microsoft Entra ID, затронутые записи пользователей повторно помечаются и обновляются в таблице IdentityInfo в течение 15–30 минут. Этот прием оплачивается по обычным тарифам. Например, вы можете:

    • Атрибут пользователя, например отображаемое имя, должность или адрес электронной почты, был изменен. Новая запись для этого пользователя подается в таблицу IdentityInfo с соответствующими полями.

    • Группа A содержит 100 пользователей. 5 пользователей добавляются в группу или удаляются из нее. В этом случае эти пять записей пользователей будут повторно приниматься, а их поля GroupMembership обновлены.

    • Группа A содержит 100 пользователей. Десять пользователей добавляются в группу A. Кроме того, в группу A добавляются группы A1 и A2 с 10 пользователями. В этом случае повторно выполняется прием 30 записей пользователей, а их поля GroupMembership обновляются. Это происходит потому, что членство в группах является транзитивным, поэтому изменения в группах влияют на все их подгруппы.

    • Группа B (с 50 пользователями) переименована в Группу BeGood. В этом случае повторно выполняется прием 50 записей пользователей и обновление полей GroupMembership . Если в этой группе есть подгруппы, то для записей всех участников происходит то же самое.

  • Время хранения по умолчанию в таблице IdentityInfo составляет 30 дней.

Ограничения

  • Поле AssignedRoles поддерживает только встроенные роли.

  • Поле GroupMembership поддерживает перечисление до 500 групп на пользователя, включая подгруппы. Если пользователь является членом более чем 500 групп, только первые 500 синхронизируются с таблицей IdentityInfo . Группы не оцениваются в определенном порядке, однако, поэтому при каждой новой синхронизации (каждые 14 дней) возможно, что другой набор групп будет обновляться до пользовательской записи.

  • При удалении пользователя запись этого пользователя не сразу удаляется из таблицы IdentityInfo . Это связано с тем, что одной из целей этой таблицы является аудит изменений в пользовательских записях. Поэтому мы хотим, чтобы в этой таблице была запись об удалении пользователя, что может произойти только в том случае, если запись пользователя в таблице IdentityInfo все еще существует, даже если фактический пользователь (например, в Entra идентификаторе) удален.

    Удаленных пользователей можно определить по наличию значения в deletedDateTime поле. Поэтому, если вам нужен запрос для отображения списка пользователей, можно отфильтровать удаленных пользователей, добавив | where IsEmpty(deletedDateTime) в запрос.

    Через определенный промежуток времени после удаления пользователя запись пользователя в конечном итоге также удаляется из таблицы IdentityInfo .

  • При удалении группы или изменении имени группы с более чем 100 участниками ее записи пользователей не обновляются. Если другое изменение приводит к обновлению одной из записей этих пользователей, обновленные сведения о группе будут включены в этот момент.

Другие версии таблицы IdentityInfo

Существует несколько версий таблицы IdentityInfo :

  • Версия схемы Log Analytics, описанная в этой статье, служит Microsoft Sentinel в портал Azure. Он доступен для тех клиентов, которые включили UEBA.

  • Версия схемы расширенной охоты обслуживает портал Microsoft Defender через Microsoft Defender для удостоверений. Он доступен клиентам Microsoft Defender XDR с Microsoft Sentinel или без него, а также клиентам Microsoft Sentinel сам по себе на портале Defender.

    Для доступа к этой таблице не нужно включать UEBA. Однако для клиентов, не включив UEBA, поля, заполненные данными UEBA, не видны или недоступны.

    Дополнительные сведения см. в документации по версии расширенной охоты этой таблицы.

  • С мая 2025 г. клиенты Microsoft Sentinel на портале Microsoft Defenderс включенным UEBAначинают использовать новый выпуск версии Advanced Hunting. Этот новый выпуск включает все поля UEBA из версии Log Analytics, а также некоторые новые поля и называется унифицированной версией или унифицированной таблицей IdentityInfo.

    Клиенты портала Defender без поддержки UEBA или вообще без Microsoft Sentinel по-прежнему используют предыдущий выпуск версии Расширенной охоты без полей, созданных UEBA.

    Дополнительные сведения об унифицированной версии см. в разделе IdentityInfo документации по расширенной охоте.

Важно!

При переходе на портал Defender таблица становится собственной таблицей Defender, IdentityInfo которая не поддерживает RBAC на уровне таблиц (контроль доступа на основе ролей). Если ваша организация использует RBAC табличного уровня для ограничения доступа к IdentityInfo таблице в портал Azure, это управление доступом больше не будет доступно после перехода на портал Defender.

Схема

В таблице на следующей вкладке "Схема Log Analytics" описаны данные удостоверений пользователей, включенные в таблицу IdentityInfo в Log Analytics в портал Azure.

При подключении Microsoft Sentinel к порталу Defender перейдите на вкладку "Сравнить с унифицированной схемой", чтобы просмотреть изменения, которые могут повлиять на запросы в правилах обнаружения угроз и охоте.

Имя поля Тип Описание
AccountCloudSID string Идентификатор Microsoft Entra безопасности учетной записи.
AccountCreationTime datetime Дата создания учетной записи пользователя (UTC).
AccountDisplayName string Отображаемое имя учетной записи пользователя.
AccountDomain string Доменное имя учетной записи пользователя.
Accountname string Имя пользователя учетной записи пользователя.
AccountObjectId string Идентификатор объекта Microsoft Entra для учетной записи пользователя.
AccountSID string Локальный идентификатор безопасности учетной записи пользователя.
AccountTenantId string Идентификатор клиента Microsoft Entra учетной записи пользователя.
AccountUPN string Имя субъекта-пользователя учетной записи пользователя.
AdditionalMailAddresses Динамический Дополнительные адреса электронной почты пользователя.
AssignedRoles Динамический Роли Microsoft Entra, которым назначена учетная запись пользователя. Поддерживаются только встроенные роли.
BlastRadius string Вычисление на основе позиции пользователя в дереве организации и Microsoft Entra ролей и разрешений пользователя.
Возможные значения: Низкий, Средний, Высокий
ChangeSource string Источник последнего изменения сущности.
Возможные значения:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Список
  • FullSync
  • City string Город учетной записи пользователя.
    CompanyName string Название компании, к которой принадлежит пользователь.
    Страна string Страна или регион учетной записи пользователя.
    DeletedDateTime datetime Дата и время удаления пользователя.
    Department string Отдел учетной записи пользователя.
    Employeeid string Идентификатор сотрудника, назначенный пользователю организацией.
    GivenName string Имя учетной записи пользователя.
    GroupMembership Динамический Microsoft Entra ID группы, участником которых является учетная запись пользователя.
    IsAccountEnabled логический Указание на то, включена ли учетная запись пользователя в Microsoft Entra ID или нет.
    JobTitle string Название задания учетной записи пользователя.
    MailAddress string Основной адрес электронной почты учетной записи пользователя.
    Сотрудник string Псевдоним руководителя учетной записи пользователя.
    OnPremisesDistinguishedName string Microsoft Entra ID различающееся имя (DN). Различающееся имя — это последовательность относительных различаемых имен (RDN), соединенных запятыми.
    Phone string Номер телефона учетной записи пользователя.
    RiskLevel string Уровень риска Microsoft Entra ID учетной записи пользователя.
    Возможные значения:
  • Низкая
  • Средний
  • Высокий
  • RiskLevelDetails string Сведения об уровне риска Microsoft Entra ID.
    RiskState string Указывает, находится ли учетная запись под угрозой сейчас или был ли устранен риск.
    SourceSystem string Система, в которой управляет пользователь.
    Возможные значения:
  • AzureActiveDirectory
  • ActiveDirectory
  • Гибридная среда
  • Состояние string Географическое состояние учетной записи пользователя.
    StreetAddress string Адрес офиса учетной записи пользователя.
    Фамилия string Фамилия пользователя. Учетной записи.
    Идентификатор клиента string Идентификатор клиента пользователя.
    TimeGenerated datetime Время создания события (UTC).
    Type string Имя таблицы.
    UserAccountControl Динамический Атрибуты безопасности учетной записи пользователя в домене AD.
    Возможные значения (могут содержать несколько):
  • AccountDisabled
  • HomedirRequired
  • Учетная запись заблокирована
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • ДелегированиеNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState string Текущее состояние учетной записи пользователя в Microsoft Entra ID.
    Возможные значения:
  • Active
  • Disabled
  • Спящие
  • Блокировки
  • UserStateChangedOn datetime Дата последнего изменения состояния учетной записи (UTC).
    UserType string Тип пользователя.

    Следующие поля, хотя они существуют в схеме Log Analytics, следует игнорировать, так как они не используются и не поддерживаются Microsoft Sentinel:

    • Приложения
    • EntityRiskScore
    • ExtensionProperty
    • InvestigationPriority
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • LastSeenDate
    • OnPremisesExtensionAttributes
    • Связанные Учетные записи
    • ServicePrincipals
    • Tags
    • UACFlags