Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article de référence répertorie les sources de données d’entrée pour le service User and Entity Behavior Analytics dans Microsoft Sentinel. Il décrit également les enrichissements ajoutés par UEBA aux entités, fournissant le contexte nécessaire aux alertes et aux incidents.
Important
Microsoft Sentinel est généralement disponible dans le portail Microsoft Defender, notamment pour les clients sans licence Microsoft Defender XDR ou E5.
À compter de juillet 2026, tous les clients utilisant Microsoft Sentinel dans le portail Azure seront redirigés vers le portail Defender et utiliseront Microsoft Sentinel uniquement dans le portail Defender. À compter de juillet 2025, de nombreux nouveaux clients sont automatiquement intégrés et redirigés vers le portail Defender.
Si vous utilisez toujours Microsoft Sentinel dans le portail Azure, nous vous recommandons de commencer à planifier votre transition vers le portail Defender pour garantir une transition fluide et tirer pleinement parti de l’expérience unifiée des opérations de sécurité offerte par Microsoft Defender. Pour plus d’informations, consultez It’s Time to Move : Retireing Microsoft Sentinel’s Azure portal for greater security.
Sources de données UEBA
Il s’agit des sources de données à partir desquelles le moteur UEBA collecte et analyse les données pour entraîner ses modèles ML et définir des bases de référence comportementales pour les utilisateurs, les appareils et d’autres entités. UEBA examine ensuite les données de ces sources pour rechercher des anomalies et des insights glanés.
| Source de données | Connector | Table Log Analytics | Catégories d’événements analysées |
|---|---|---|---|
| Journaux de connexion aux identités managées AAD (préversion) | Microsoft Entra ID (système d'identification de Microsoft) | AADManagedIdentitySignInLogs | Tous les événements de connexion d’identité managée |
| Journaux de connexion du principal de service AAD (préversion) | Microsoft Entra ID (système d'identification de Microsoft) | AADServicePrincipalSignInLogs | Tous les événements de connexion du principal de service |
| Journaux d’audit | Microsoft Entra ID (système d'identification de Microsoft) | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (préversion) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Événements de connexion à la console. Identifié par EventName = "ConsoleLogin" et EventSource = "signin.amazonaws.com". Les événements doivent avoir une valeur valide UserIdentityPrincipalId. |
| Activité Azure | Activité Azure | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| Événements d’ouverture de session d’appareil (préversion) | Microsoft Defender XDR | DeviceLogonEvents | Tous les événements d’ouverture de session d’appareil |
| Journaux d’audit GCP (préversion) | Journaux d’audit de pub/sous-audit GCP | GCPAuditLogs |
apigee.googleapis.com - Plateforme de gestion des APIiam.googleapis.com - Service Gestion des identités et des accès (IAM)iamcredentials.googleapis.com - API d’informations d’identification du compte de service IAMcloudresourcemanager.googleapis.com - API Cloud Resource Managercompute.googleapis.com - API du moteur de calculstorage.googleapis.com - API stockage cloudcontainer.googleapis.com - API du moteur Kubernetesk8s.io - API Kubernetescloudsql.googleapis.com - API SQL cloudbigquery.googleapis.com - API BigQuerybigquerydatatransfer.googleapis.com - API Du service de transfert de données BigQuerycloudfunctions.googleapis.com - API Cloud Functionsappengine.googleapis.com - API du moteur d’applicationdns.googleapis.com - API DNS cloudbigquerydatapolicy.googleapis.com - API de stratégie BigQuery Datafirestore.googleapis.com - API Firestoredataproc.googleapis.com - API Dataprocosconfig.googleapis.com - API Configuration du système d’exploitationcloudkms.googleapis.com - API KMS cloudsecretmanager.googleapis.com - API Gestionnaire de secretsLes événements doivent avoir une valeur valide : - PrincipalEmail - Compte d’utilisateur ou de service qui a appelé l’API- MethodName - Méthode d’API Google spécifique appelée- E-mail principal, au user@domain.com format. |
| Okta CL (préversion) | Okta Single Sign-On (à l’aide d’Azure Functions) | Okta_CL | Authentification, authentification multifacteur (MFA) et événements de session, notamment :app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startLes événements doivent avoir un ID d’utilisateur valide ( actor_id_s). |
| Événements de sécurité | Événements de sécurité Windows via AMA Événements transférés Windows |
WindowsEvent SecurityEvent |
4624 : connexion réussie d’un compte 4625 : échec de connexion d’un compte 4648 : une connexion a été tentée à l’aide d’informations d’identification explicites 4672 : privilèges spéciaux assignés à la nouvelle session 4688 : un processus a été créé |
| Journaux de connexion | Microsoft Entra ID (système d'identification de Microsoft) | SigninLogs | Tous les événements de connexion |
Enrichissements UEBA
Cette section décrit les enrichissements qu’UEBA ajoute aux entités Microsoft Sentinel, que vous pouvez utiliser pour concentrer et affiner vos enquêtes sur les incidents de sécurité. Ces enrichissements sont affichés sur les pages d’entité et se trouvent dans les tableaux Log Analytics suivants, le contenu et le schéma qui sont répertoriés ci-dessous :
La table BehaviorAnalytics est l’emplacement où les informations de sortie d’UEBA sont stockées.
Les trois champs dynamiques suivants de la table BehaviorAnalytics sont décrits dans la section des champs dynamiques des enrichissements d’entités ci-dessous.
Les champs UsersInsights et DevicesInsights contiennent des informations d’entité provenant des sources Active Directory / Microsoft Entra ID et Microsoft Threat Intelligence.
Le champ ActivityInsights contient des informations d’entité basées sur les profils comportementaux générés par l’analytique du comportement d’entité de Microsoft Sentinel.
Les activités utilisateur sont analysées par rapport à une base de référence compilée dynamiquement chaque fois qu’elle est utilisée. Chaque activité a sa propre période de recherche définie à partir de laquelle la base de référence dynamique est dérivée. La période de recherche est spécifiée dans la colonne Base de référence de cette table.
La table IdentityInfo est l’emplacement où les informations d’identité synchronisées avec UEBA à partir de l’ID Microsoft Entra (et à partir d’Active Directory local via Microsoft Defender pour Identity) sont stockées.
Table BehaviorAnalytics
Le tableau suivant décrit les données d’analyse du comportement affichées sur chaque page de détails d’entité dans Microsoft Sentinel.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Numéro d’identification unique du locataire. |
| SourceRecordId | string | Numéro d’identification unique de l’événement EBA. |
| TimeGenerated | datetime | Timestamp de l’occurrence de l’activité. |
| TimeProcessed | datetime | Timestamp du traitement de l’activité par le moteur EBA. |
| ActivityType | string | Catégorie de haut niveau de l’activité. |
| ActionType | string | Nom normalisé de l’activité. |
| UserName | string | Nom d’utilisateur de l’utilisateur ayant lancé l’activité. |
| UserPrincipalName | string | Nom d’utilisateur complet de l’utilisateur ayant lancé l’activité. |
| EventSource | string | Source de données ayant fourni l’événement d’origine. |
| SourceIPAddress | string | Adresse IP à partir de laquelle l’activité a été lancée. |
| SourceIPLocation | string | Pays/région à partir duquel l’activité a été lancée, enrichie à partir de l’adresse IP. |
| SourceDevice | string | Nom d’hôte de l’appareil ayant lancé l’activité. |
| DestinationIPAddress | string | Adresse IP de la cible de l’activité. |
| DestinationIPLocation | string | Pays/région de l’activité, enrichi à partir de l’adresse IP. |
| DestinationDevice | string | Nom de l’appareil cible. |
| UsersInsights | dynamic | Enrichissements contextuels des utilisateurs impliqués (détails ci-dessous). |
| DevicesInsights | dynamic | Enrichissements contextuels d’appareils impliqués (détails ci-dessous). |
| ActivityInsights | dynamic | Analyse contextuelle de l’activité en fonction de notre profilage (détails ci-dessous). |
| InvestigationPriority | int | Score d’anomalie, entre 0 et 10 (0 = bénigne, 10 = très anormale). Ce score quantifie le degré d’écart par rapport au comportement attendu. Les scores plus élevés indiquent un écart plus élevé par rapport à la ligne de base et sont plus susceptibles d’indiquer de véritables anomalies. Les scores inférieurs peuvent encore être anormales, mais sont moins susceptibles d’être significatifs ou actionnables. |
Champs dynamiques des enrichissements d’entités
Note
La colonne Nom d’enrichissement dans les tables de cette section affiche deux lignes d’informations.
- Le premier, en gras, est le « nom convivial » de l’enrichissement.
- Le deuxième (en italique et parenthèses) est le nom du champ de l’enrichissement tel qu’il est stocké dans la table Behavior Analytics.
Champ UsersInsights
Le tableau suivant décrit les enrichissements proposés dans le champ dynamique UsersInsights dans la table BehaviorAnalytics :
| Nom d’enrichissement | Description | Valeur d'échantillon |
|---|---|---|
|
Nom complet du compte (AccountDisplayName) |
Nom complet du compte de l’utilisateur. | Administrateur, Hayden Cook |
|
Domaine de compte (AccountDomain) |
Nom de domaine du compte de l’utilisateur. | |
|
ID d’objet account (AccountObjectID) |
ID de l’objet du compte de l’utilisateur. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Rayon d’explosion (BlastRadius) |
Le rayon d’impact est calculé en fonction de plusieurs facteurs : la position de l’utilisateur dans l’arborescence de l’organisation et les rôles et autorisations Microsoft Entra de l’utilisateur. L’utilisateur doit avoir la propriété Manager renseignée dans l’ID Microsoft Entra pour BlastRadius à calculer. | Faible, moyen, élevé |
|
Compte dormant (IsDormantAccount) |
Le compte n’a pas été utilisé depuis 180 jours. | Vrai, Faux |
|
Administrateur local (IsLocalAdmin) |
Le compte dispose de privilèges d’administrateur local. | Vrai, Faux |
|
Nouveau compte (IsNewAccount) |
Le compte a été créé au cours des 30 derniers jours. | Vrai, Faux |
|
SID local (OnPremisesSID) |
ID de sécurité local de l’utilisateur associé à l’action. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Champ DevicesInsights
Le tableau suivant décrit les enrichissements proposés dans le champ dynamique DevicesInsights dans la table BehaviorAnalytics :
| Nom d’enrichissement | Description | Valeur d'échantillon |
|---|---|---|
|
Browser (Browser) |
Navigateur utilisé dans l’action. | Microsoft Edge, Chrome |
|
Famille d’appareils (DeviceFamily) |
Famille d’appareils utilisée dans l’action. | Windows |
|
Type de périphérique (DeviceType) |
Type d’appareil client utilisé dans l’action. | Desktop |
|
ISP (ISP) |
Fournisseur de services Internet utilisé dans l’action. | |
|
Système d’exploitation (OperatingSystem) |
Système d’exploitation utilisé dans l’action. | Windows 10 |
|
Description de l’indicateur Intel sur les menaces (ThreatIntelIndicatorDescription) |
Description de l’indicateur de menace observé résolu à partir de l’adresse IP utilisée dans l’action. | L’hôte est membre de botnet : azorult |
|
Type d’indicateur Intel de menace (ThreatIntelIndicatorType) |
Type de l’indicateur de menace résolu à partir de l’adresse IP utilisée dans l’action. | Botnet, C2, Cryptomining, Darknet, DDOS, MaliiciousUrl, Malware, Phishing, Proxy (Proxy), PUA, Watchlist |
|
Agent utilisateur (UserAgent) |
Agent utilisateur utilisé dans l’action. | Bibliothèque de client Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Famille d’agents utilisateur (UserAgentFamily) |
Famille d’agents utilisateur utilisée dans l’action. | Chrome, Microsoft Edge, Firefox |
Champ ActivityInsights
Les tableaux suivants décrivent les enrichissements proposés dans le champ dynamique ActivityInsights dans la table BehaviorAnalytics :
Action effectuée
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Première fois que l’utilisateur a effectué une action (FirstTimeUserPerformedAction) |
180 | L’action a été effectuée pour la première fois par l’utilisateur. | Vrai, Faux |
|
Action rarement effectuée par l’utilisateur (ActionUncommonlyPerformedByUser) |
10 | L’action n’est généralement pas effectuée par l’utilisateur. | Vrai, Faux |
|
Action rarement effectuée entre pairs (ActionUncommonlyPerformedAmongPeers) |
180 | L’action n’est généralement pas effectuée parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Première action effectuée dans le locataire (FirstTimeActionPerformedInTenant) |
180 | L’action a été effectuée pour la première fois par toute personne de l’organisation. | Vrai, Faux |
|
Action rarement effectuée dans le locataire (ActionUncommonlyPerformedInTenant) |
180 | L’action n’est généralement pas effectuée dans l’organisation. | Vrai, Faux |
Application utilisée
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Application utilisée pour la première fois par l’utilisateur (FirstTimeUserUsedApp) |
180 | L’application a été utilisée pour la première fois par l’utilisateur. | Vrai, Faux |
|
Application rarement utilisée par l’utilisateur (AppUncommonlyUsedByUser) |
10 | L’application n’est pas couramment utilisée par l’utilisateur. | Vrai, Faux |
|
Application rarement utilisée entre pairs (AppUncommonlyUsedAmongPeers) |
180 | L’application n’est pas couramment utilisée parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Première fois que l’application a été observée dans le locataire (FirstTimeAppObservedInTenant) |
180 | L’application a été observée pour la première fois dans l’organisation. | Vrai, Faux |
|
Application rarement utilisée dans le locataire (AppUncommonlyUsedInTenant) |
180 | L’application n’est pas couramment utilisée dans l’organisation. | Vrai, Faux |
Navigateur utilisé
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Utilisateur connecté à la première fois via le navigateur (FirstTimeUserConnectedViaBrowser) |
30 | Le navigateur a été observé pour la première fois par l’utilisateur. | Vrai, Faux |
|
Navigateur rarement utilisé par l’utilisateur (BrowserUncommonlyUsedByUser) |
10 | Le navigateur n’est pas couramment utilisé par l’utilisateur. | Vrai, Faux |
|
Navigateur rarement utilisé parmi les pairs (BrowserUncommonlyUsedAmongPeers) |
30 | Le navigateur n’est pas couramment utilisé parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Navigateur de première fois observé dans le locataire (FirstTimeBrowserObservedInTenant) |
30 | Le navigateur a été observé pour la première fois dans l’organisation. | Vrai, Faux |
|
Navigateur rarement utilisé dans le locataire (BrowserUncommonlyUsedInTenant) |
30 | Le navigateur n’est pas couramment utilisé dans l’organisation. | Vrai, Faux |
Pays/région connectés à partir de
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Premier utilisateur connecté à partir du pays (FirstTimeUserConnectedFromCountry) |
90 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, a été utilisé pour la première fois par l’utilisateur pour établir la connexion. | Vrai, Faux |
|
Pays rarement connecté à partir de l’utilisateur (CountryUncommonlyConnectedFromByUser) |
10 | L’emplacement géographique, tel que résolu à partir de l’adresse IP, n’est généralement pas utilisé par l’utilisateur pour établir la connexion. | Vrai, Faux |
|
Pays rarement connecté d’un pair à l’autre (CountryUncommonlyConnectedFromAmongPeers) |
90 | L’emplacement géographique, tel qu’il est résolu à partir de l’adresse IP, n’est généralement pas connecté à partir des pairs de l’utilisateur. | Vrai, Faux |
|
Première connexion à partir du pays observé dans le locataire (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Le pays/la région a été connecté pour la première fois par toute personne de l’organisation. | Vrai, Faux |
|
Pays rarement connecté à partir d’un locataire (CountryUncommonlyConnectedFromInTenant) |
90 | L’emplacement géographique, tel qu’il est résolu à partir de l’adresse IP, n’est généralement pas connecté à partir de l’organisation. | Vrai, Faux |
Appareil utilisé pour se connecter
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Premier utilisateur connecté à partir de l’appareil (FirstTimeUserConnectedFromDevice) |
30 | L’appareil source a été utilisé pour la première fois par l’utilisateur pour se connecter. | Vrai, Faux |
|
Appareil rarement utilisé par l’utilisateur (DeviceUncommonlyUsedByUser) |
10 | L’appareil n’est pas couramment utilisé par l’utilisateur. | Vrai, Faux |
|
Appareil rarement utilisé parmi les pairs (DeviceUncommonlyUsedAmongPeers) |
180 | L’appareil n’est pas couramment utilisé parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Premier appareil observé dans le locataire (FirstTimeDeviceObservedInTenant) |
30 | L’appareil a été observé pour la première fois dans l’organisation. | Vrai, Faux |
|
Appareil rarement utilisé dans le locataire (DeviceUncommonlyUsedInTenant) |
180 | L’appareil n’est pas couramment utilisé dans l’organisation. | Vrai, Faux |
Autres appareils connexes
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Premier utilisateur connecté à l’appareil (FirstTimeUserLoggedOnToDevice) |
180 | L’utilisateur s’est connecté à l’appareil de destination pour la première fois. | Vrai, Faux |
|
Famille d’appareils rarement utilisée dans le locataire (DeviceFamilyUncommonlyUsedInTenant) |
30 | La famille d’appareils n’est pas couramment utilisée dans l’organisation. | Vrai, Faux |
Fournisseur de services Internet utilisé pour la connexion
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Utilisateur connecté à la première fois via l’ISP (FirstTimeUserConnectedViaISP) |
30 | L’ISP a été observé pour la première fois par l’utilisateur. | Vrai, Faux |
|
ISP rarement utilisé par l’utilisateur (ISPUncommonlyUsedByUser) |
10 | L’ISP n’est pas couramment utilisé par l’utilisateur. | Vrai, Faux |
|
IsP rarement utilisé chez les pairs (ISPUncommonlyUsedAmongPeers) |
30 | L’ISP n’est pas couramment utilisé parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Connexion à la première fois via isP dans le locataire (FirstTimeConnectionViaISPInTenant) |
30 | L’ISP a été observé pour la première fois dans l’organisation. | Vrai, Faux |
|
IsP rarement utilisé dans le locataire (ISPUncommonlyUsedInTenant) |
30 | L’ISP n’est pas couramment utilisé dans l’organisation. | Vrai, Faux |
Ressource accessible
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Première fois que l’utilisateur a accédé à la ressource (FirstTimeUserAccessedResource) |
180 | La ressource a été consultée pour la première fois par l’utilisateur. | Vrai, Faux |
|
Ressource rarement accessible par l’utilisateur (ResourceUncommonlyAccessedByUser) |
10 | La ressource n’est pas couramment accessible par l’utilisateur. | Vrai, Faux |
|
Ressource rarement accessible entre pairs (ResourceUncommonlyAccessedAmongPeers) |
180 | La ressource n’est généralement pas consultée parmi les pairs de l’utilisateur. | Vrai, Faux |
|
Première ressource accessible dans le locataire (FirstTimeResourceAccessedInTenant) |
180 | La ressource a été consultée pour la première fois par une personne de l’organisation. | Vrai, Faux |
|
Ressource rarement accessible dans le locataire (ResourceUncommonlyAccessedInTenant) |
180 | La ressource n’est pas couramment accessible dans l’organisation. | Vrai, Faux |
Miscellaneous
| Nom d’enrichissement | Base de référence (jours) | Description | Valeur d'échantillon |
|---|---|---|---|
|
Dernière action effectuée par l’utilisateur (LastTimeUserPerformedAction) |
180 | Dernière fois que l’utilisateur a effectué la même action. | <Horodatage> |
|
Une action similaire n’a pas été effectuée dans le passé (SimilarActionWasn'tPerformedInThePast) |
30 | Aucune action dans le même fournisseur de ressources n’a été effectuée par l’utilisateur. | Vrai, Faux |
|
Emplacement IP source (SourceIPLocation) |
N/A | Pays/région résolus à partir de l’adresse IP source de l’action. | [Surrey, Angleterre] |
|
Volume élevé rare d’opérations (UncommonHighVolumeOfOperations) |
7 | Un utilisateur a effectué une rafale d’opérations similaires au sein du même fournisseur. | Vrai, Faux |
|
Nombre inhabituel d’échecs d’accès conditionnel Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un nombre inhabituel d’utilisateurs n’a pas pu s’authentifier en raison de l’accès conditionnel | Vrai, Faux |
|
Nombre inhabituel d’appareils ajoutés (UnusualNumberOfDevicesAdded) |
5 | Un utilisateur a ajouté un nombre inhabituel d’appareils. | Vrai, Faux |
|
Nombre inhabituel d’appareils supprimés (UnusualNumberOfDevicesDeleted) |
5 | Un utilisateur a supprimé un nombre inhabituel d’appareils. | Vrai, Faux |
|
Nombre inhabituel d’utilisateurs ajoutés au groupe (UnusualNumberOfUsersAddedToGroup) |
5 | Un utilisateur a ajouté un nombre d’utilisateurs à un groupe. | Vrai, Faux |
Table IdentityInfo
Une fois que vous avez activé et configuré UEBA pour votre espace de travail Microsoft Sentinel, les données utilisateur de vos fournisseurs d’identité Microsoft sont synchronisées avec la table IdentityInfo dans Log Analytics pour une utilisation dans Microsoft Sentinel.
Ces fournisseurs d’identité sont soit les deux suivants, en fonction de ceux que vous avez sélectionnés lorsque vous avez configuré UEBA :
- ID Microsoft Entra (basé sur le cloud)
- Microsoft Active Directory (local, nécessite Microsoft Defender pour Identity))
Vous pouvez interroger la table IdentityInfo dans les règles d’analyse, les requêtes de repérage et les classeurs, en améliorant votre analytique pour répondre à vos cas d’usage et réduire les faux positifs.
Alors que la synchronisation initiale peut prendre quelques jours, une fois les données entièrement synchronisées :
Tous les 14 jours, Microsoft Sentinel resynchronise avec l’ensemble de votre ID Microsoft Entra (et votre Active Directory local, le cas échéant) pour vous assurer que les enregistrements obsolètes sont entièrement mis à jour.
Outre ces synchronisations complètes régulières, chaque fois que des modifications sont apportées à vos profils utilisateur, groupes et rôles intégrés dans Microsoft Entra ID, les enregistrements utilisateur affectés sont réinitialisé et mis à jour dans la table IdentityInfo dans les 15 à 30 minutes. Cette ingestion est facturée à des tarifs réguliers. Par exemple:
Un attribut utilisateur, tel que le nom d’affichage, le titre du travail ou l’adresse e-mail, a été modifié. Un nouvel enregistrement pour cet utilisateur est ingéré dans la table IdentityInfo , avec les champs pertinents mis à jour.
Le groupe A compte 100 utilisateurs. 5 utilisateurs sont ajoutés au groupe ou supprimés du groupe. Dans ce cas, ces cinq enregistrements utilisateur sont reingestés et leurs champs GroupMembership sont mis à jour.
Le groupe A compte 100 utilisateurs. Dix utilisateurs sont ajoutés au groupe A. En outre, les groupes A1 et A2, chacun avec 10 utilisateurs, sont ajoutés au groupe A. Dans ce cas, 30 enregistrements utilisateur sont réinitérés et leurs champs GroupMembership mis à jour. Cela se produit parce que l’appartenance au groupe est transitive, de sorte que les modifications apportées aux groupes affectent tous leurs sous-groupes.
Le groupe B (avec 50 utilisateurs) est renommé Groupe BeGood. Dans ce cas, 50 enregistrements utilisateur sont reingestés et leurs champs GroupMembership mis à jour. S’il existe des sous-groupes dans ce groupe, la même chose se produit pour tous les enregistrements de leurs membres.
Le temps de rétention par défaut dans la table IdentityInfo est de 30 jours.
Limitations
Le champ AssignedRoles prend uniquement en charge les rôles intégrés.
Le champ GroupMembership prend en charge la liste jusqu’à 500 groupes par utilisateur, y compris les sous-groupes. Si un utilisateur est membre de plus de 500 groupes, seuls les 500 premiers sont synchronisés avec la table IdentityInfo . Les groupes ne sont pas évalués dans un ordre particulier. Toutefois, à chaque nouvelle synchronisation (tous les 14 jours), il est possible qu’un autre ensemble de groupes soit mis à jour vers l’enregistrement utilisateur.
Lorsqu’un utilisateur est supprimé, l’enregistrement de cet utilisateur n’est pas immédiatement supprimé de la table IdentityInfo . La raison en est que l’un des objectifs de cette table est d’auditer les modifications apportées aux enregistrements utilisateur. Par conséquent, nous voulons que cette table ait un enregistrement d’un utilisateur supprimé, ce qui peut se produire uniquement si l’enregistrement utilisateur dans la table IdentityInfo existe toujours, même si l’utilisateur réel (par exemple, dans Entra ID) est supprimé.
Les utilisateurs supprimés peuvent être identifiés par la présence d’une valeur dans le
deletedDateTimechamp. Par conséquent, si vous avez besoin d’une requête pour afficher une liste d’utilisateurs, vous pouvez filtrer les utilisateurs supprimés en ajoutant| where IsEmpty(deletedDateTime)à la requête.À un certain intervalle de temps après la suppression d’un utilisateur, l’enregistrement de l’utilisateur est finalement supprimé de la table IdentityInfo .
Lorsqu’un groupe est supprimé ou si un groupe avec plus de 100 membres a son nom modifié, les enregistrements d’utilisateurs membres de ce groupe ne sont pas mis à jour. Si une modification différente entraîne la mise à jour de l’un des enregistrements de ces utilisateurs, les informations de groupe mises à jour sont incluses à ce stade.
Autres versions de la table IdentityInfo
Il existe plusieurs versions de la table IdentityInfo :
La version du schéma Log Analytics , décrite dans cet article, sert Microsoft Sentinel dans le portail Azure. Il est disponible pour les clients qui ont activé UEBA.
La version avancée du schéma de repérage sert le portail Microsoft Defender via Microsoft Defender pour Identity. Il est disponible pour les clients de Microsoft Defender XDR, avec ou sans Microsoft Sentinel, et aux clients de Microsoft Sentinel lui-même dans le portail Defender.
UEBA n’a pas besoin d’être activé pour avoir accès à cette table. Toutefois, pour les clients sans UEBA activé, les champs renseignés par les données UEBA ne sont pas visibles ou disponibles.
Pour plus d’informations, consultez la documentation de la version de repérage avancée de ce tableau.
Depuis mai 2025, les clients de Microsoft Sentinel dans le portail Microsoft Defenderavec UEBA activécommencent à utiliser une nouvelle version de la version de chasse avancée . Cette nouvelle version inclut tous les champs UEBA de la version Log Analytics ainsi que certains nouveaux champs, et est appelé version unifiée ou table IdentityInfo unifiée.
Les clients du portail Defender sans UEBA activés ou sans Microsoft Sentinel continuent d’utiliser la version antérieure de la chasse avancée, sans les champs générés par UEBA.
Pour plus d’informations sur la version unifiée, consultez IdentityInfo dans la documentation de repérage avancée.
Schema
Le tableau de l’onglet « Schéma Log Analytics » suivant décrit les données d’identité utilisateur incluses dans la table IdentityInfo dans Log Analytics dans le portail Azure.
Si vous intégrez Microsoft Sentinel au portail Defender, sélectionnez l’onglet « Comparer au schéma unifié » pour afficher les modifications susceptibles d’affecter les requêtes dans vos règles de détection des menaces et les chasses.
| Nom du champ | Type | Description |
|---|---|---|
| AccountCloudSID | string | Identificateur de sécurité Microsoft Entra du compte. |
| AccountCreationTime | datetime | Date à laquelle le compte d’utilisateur a été créé (UTC). |
| AccountDisplayName | string | Nom d’affichage du compte d’utilisateur. |
| AccountDomain | string | Nom de domaine du compte d’utilisateur. |
| AccountName | string | Nom d’utilisateur du compte d’utilisateur. |
| AccountObjectId | string | ID d’objet Microsoft Entra pour le compte d’utilisateur. |
| AccountSID | string | Identificateur de sécurité local du compte d’utilisateur. |
| AccountTenantId | string | ID de locataire Microsoft Entra du compte d’utilisateur. |
| AccountUPN | string | Nom d’utilisateur principal du compte d’utilisateur. |
| AdditionalMailAddresses | dynamic | Adresses e-mail supplémentaires de l’utilisateur. |
| AssignedRoles | dynamic | Les rôles Microsoft Entra auxquels le compte d’utilisateur est attribué. Seuls les rôles intégrés sont pris en charge. |
| BlastRadius | string | Un calcul basé sur la position de l’utilisateur dans l’arborescence de l’organisation et sur les rôles et autorisations Microsoft Entra de l’utilisateur. Valeurs possibles : Faible, Moyen, Élevé |
| ChangeSource | string | Source de la dernière modification apportée à l’entité. Valeurs possibles : |
| City | string | Ville du compte d’utilisateur. |
| CompanyName | string | Nom de l’entreprise auquel appartient l’utilisateur. |
| Country | string | Pays/région du compte d’utilisateur. |
| DeletedDateTime | datetime | Date et heure de suppression de l’utilisateur. |
| Department | string | Département du compte d’utilisateur. |
| EmployeeId | string | Identificateur d’employé attribué à l’utilisateur par l’organisation. |
| GivenName | string | Prénom du compte d’utilisateur. |
| GroupMembership | dynamic | Groupes d’ID Microsoft Entra où le compte d’utilisateur est membre. |
| IsAccountEnabled | bool | Indique si le compte d’utilisateur est activé ou non dans Microsoft Entra ID. |
| JobTitle | string | Poste occupé par le compte d’utilisateur. |
| MailAddress | string | Adresse e-mail principale du compte d’utilisateur. |
| Manager | string | Alias du responsable du compte d’utilisateur. |
| OnPremisesDistinguishedName | string | Nom unique Microsoft Entra ID (DN). Un nom unique est une séquence de noms uniques relatifs (RDN), connectés par des virgules. |
| Phone | string | Numéro de téléphone du compte d’utilisateur. |
| RiskLevel | string | Niveau de risque microsoft Entra ID du compte d’utilisateur. Valeurs possibles : |
| RiskLevelDetails | string | Détails concernant le niveau de risque microsoft Entra ID. |
| RiskState | string | Indication si le compte est à risque maintenant ou si le risque a été corrigé. |
| SourceSystem | string | Système dans lequel l’utilisateur est géré. Valeurs possibles : |
| State | string | État géographique du compte d’utilisateur. |
| StreetAddress | string | Adresse postale du bureau du compte d’utilisateur. |
| Surname | string | Nom de l’utilisateur. account. |
| TenantId | string | ID du locataire de l’utilisateur |
| TimeGenerated | datetime | Heure à laquelle l’événement a été généré (UTC). |
| Type | string | Nom de la table. |
| UserAccountControl | dynamic | Attributs de sécurité du compte d’utilisateur dans le domaine AD. Valeurs possibles (peut contenir plusieurs valeurs) : |
| UserState | string | État actuel du compte d’utilisateur dans Microsoft Entra ID. Valeurs possibles : |
| UserStateChangedOn | datetime | Date de la dernière modification de l’état du compte (UTC). |
| UserType | string | Type d’utilisateur. |
Les champs suivants, s’ils existent dans le schéma Log Analytics, doivent être ignorés, car ils ne sont pas utilisés ou pris en charge par Microsoft Sentinel :
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Intégration UEBA avec les flux de travail Microsoft Sentinel
Les insights UEBA sont intégrés dans Microsoft Sentinel pour améliorer vos flux de travail opérationnels de sécurité :
Pages d’entités et enquête utilisateur
- Anomalies dans le panneau utilisateur : Consultez directement les 3 principales anomalies utilisateur des 30 derniers jours dans le panneau côté utilisateur et dans l’onglet aperçu des pages utilisateur. Cela fournit un contexte UEBA immédiat lors de l’enquête sur les utilisateurs à travers différents portails. Pour plus d’informations, voir Enquêter sur les entités avec les pages d’entité.
Amélioration de la chasse et de la détection
- Requête Go Hunt Anomalies : Accéder directement aux requêtes intégrées d’anomalies à partir des graphiques d’incidents lors de l’investigation des entités utilisateurs, permettant une chasse contextuelle immédiate basée sur les résultats UEBA.
- Recommandations de table des anomalies : Recevez des suggestions intelligentes pour améliorer les requêtes de chasse en ajoutant la table des anomalies UEBA lors de l’interrogation de sources de données éligibles.
Pour plus d’informations sur ces améliorations de chasse, voir Chasse aux menaces dans Microsoft Sentinel.
Flux de travail d’investigation
- Graphique d’investigation amélioré : Lorsque vous enquêtez sur des incidents impliquant des entités utilisateurs, accédez directement aux requêtes d’anomalies UEBA depuis le graphe d’investigation pour obtenir un contexte comportemental immédiat.
Pour plus d’informations sur les améliorations des enquêtes, consultez en détail Enquêter sur les incidents Microsoft Sentinel.
Prérequis pour une intégration améliorée de l’UEBA
Pour accéder à ces capacités améliorées de l’UEBA :
- UEBA doit être activé dans votre espace de travail Microsoft Sentinel
- Votre espace de travail doit être intégré au portail Microsoft Defender (pour certaines fonctionnalités)
- Autorisations appropriées pour consulter les données UEBA et lancer des requêtes de chasse
Étapes suivantes
Dans ce document, nous avons décrit le schéma de la table d’analyse du comportement des entités Microsoft Sentinel.
- En savoir plus sur l’analytique du comportement des entités.
- Activez UEBA dans Microsoft Sentinel.
- Placez UEBA à utiliser dans vos enquêtes.