Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo de referência lista as fontes de dados de entrada para o serviço de Análise de Comportamento de Usuário e Entidade no Microsoft Sentinel. Ele também descreve os enriquecimentos que a UEBA adiciona às entidades, fornecendo o contexto necessário para alertas e incidentes.
Important
O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão apenas o Microsoft Sentinel no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal do Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retiring Microsoft Sentinel's Azure portal for more security.
Fontes de dados da UEBA
Essas são as fontes de dados das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA examina os dados dessas fontes para encontrar anomalias e obter insights glean.
| Fonte de dados | Connector | Tabela do Log Analytics | Categorias de evento analisadas |
|---|---|---|---|
| Logs de entrada de identidade gerenciada do AAD (versão prévia) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Todos os eventos de entrada de identidade gerenciada |
| Logs de entrada da entidade de serviço do AAD (versão prévia) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Todos os eventos de entrada da entidade de serviço |
| Logs de Auditoria | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (versão prévia) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Eventos de entrada do console. Identificado por EventName = "ConsoleLogin" e EventSource = "signin.amazonaws.com". Os eventos devem ter um valor válido UserIdentityPrincipalId. |
| Atividade do Azure | Atividade do Azure | AzureActivity | Authorization AzureActiveDirectory Billing Computação Consumo KeyVault Devices Network Resources Intune Logic Sql Armazenamento |
| Eventos de logon do dispositivo (versão prévia) | Microsoft Defender XDR | DeviceLogonEvents | Todos os eventos de logon do dispositivo |
| Logs de auditoria do GCP (versão prévia) | Logs de auditoria do GCP Pub/Sub | GCPAuditLogs |
apigee.googleapis.com – Plataforma de Gerenciamento de APIiam.googleapis.com – Serviço IAM (Gerenciamento de Identidade e Acesso)iamcredentials.googleapis.com – API de Credenciais da Conta de Serviço do IAMcloudresourcemanager.googleapis.com – API do Cloud Resource Managercompute.googleapis.com – API do Mecanismo de Computaçãostorage.googleapis.com – API de Armazenamento em Nuvemcontainer.googleapis.com – API do Mecanismo do Kubernetesk8s.io – API do Kubernetescloudsql.googleapis.com – API do SQL de nuvembigquery.googleapis.com - API do BigQuerybigquerydatatransfer.googleapis.com – API do Serviço de Transferência de Dados do BigQuerycloudfunctions.googleapis.com – API do Cloud Functionsappengine.googleapis.com – API do Mecanismo de Aplicativodns.googleapis.com – API DNS na nuvembigquerydatapolicy.googleapis.com – API de Política de Dados do BigQueryfirestore.googleapis.com – API do Firestoredataproc.googleapis.com – API do Dataprocosconfig.googleapis.com - API de Configuração do SOcloudkms.googleapis.com – API kms de nuvemsecretmanager.googleapis.com – API do Gerenciador de SegredosOs eventos devem ter uma validade: - PrincipalEmail - O usuário ou a conta de serviço que chamou a API- MethodName - O método específico da API do Google chamado- Email principal, em user@domain.com formato. |
| Okta CL (versão prévia) | Okta Single Sign-On (usando o Azure Functions) | Okta_CL | Autenticação, MFA (autenticação multifator) e eventos de sessão, incluindo:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startOs eventos devem ter uma ID de Usuário válida ( actor_id_s). |
| Eventos de segurança | Eventos de segurança do Windows por meio do AMA Eventos encaminhados pelo Windows |
WindowsEvent SecurityEvent |
4624: logon de uma conta feito com êxito 4625: falha no logon de uma conta 4648: houve uma tentativa de logon usando credenciais explícitas 4672: privilégios especiais atribuídos a um novo logon 4688: foi criado um novo processo |
| Logs de entrada | Microsoft Entra ID | SigninLogs | Todos os eventos de entrada |
Enriquecimentos ueba
Esta seção descreve os enriquecimentos que a UEBA adiciona às entidades do Microsoft Sentinel, que você pode usar para se concentrar e aprimorar suas investigações de incidentes de segurança. Esses enriquecimentos são exibidos em páginas de entidade e podem ser encontrados nas seguintes tabelas do Log Analytics, o conteúdo e o esquema dos quais estão listados abaixo:
A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.
Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção campos dinâmicos de enriquecimentos de entidade abaixo.
Os campos UsersInsights e DevicesInsights contêm informações de entidade do Active Directory/Microsoft Entra ID e fontes de Inteligência contra Ameaças da Microsoft.
O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise de comportamento de entidade do Microsoft Sentinel.
As atividades do usuário são analisadas em relação a uma linha de base que é compilada dinamicamente cada vez que é usada. Cada atividade tem seu próprio período de pesquisa definido do qual a linha de base dinâmica é derivada. O período de pesquisa é especificado na coluna Linha de Base nesta tabela.
A tabela IdentityInfo é onde as informações de identidade sincronizadas com o UEBA da ID do Microsoft Entra (e do Active Directory local por meio do Microsoft Defender para Identidade) são armazenadas.
Tabela BehaviorAnalytics
A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Sentinel.
| Field | Tipo | Description |
|---|---|---|
| TenantId | cadeia | O número de ID exclusivo do locatário. |
| SourceRecordId | cadeia | O número de ID exclusivo do evento do EBA. |
| TimeGenerated | datetime | O carimbo de data/hora da ocorrência da atividade. |
| TimeProcessed | datetime | O carimbo de data/hora do processamento da atividade pelo mecanismo do EBA. |
| ActivityType | cadeia | A categoria de alto nível da atividade. |
| ActionType | cadeia | O nome normalizado da atividade. |
| UserName | cadeia | O nome de usuário de quem iniciou a atividade. |
| UserPrincipalName | cadeia | O nome de usuário completo de quem iniciou a atividade. |
| EventSource | cadeia | A fonte de dados que forneceu o evento original. |
| SourceIPAddress | cadeia | O endereço IP em que a atividade foi iniciada. |
| SourceIPLocation | cadeia | O país/região a partir do qual a atividade foi iniciada, enriquecida a partir do endereço IP. |
| SourceDevice | cadeia | O nome de host do dispositivo que iniciou a atividade. |
| DestinationIPAddress | cadeia | O endereço IP do destino da atividade. |
| DestinationIPLocation | cadeia | O país/região do destino da atividade, enriquecido a partir do endereço IP. |
| DestinationDevice | cadeia | O nome do dispositivo de destino. |
| UsersInsights | dynamic | Os enriquecimentos contextuais dos usuários envolvidos (detalhes abaixo). |
| DevicesInsights | dynamic | Os enriquecimentos contextuais de dispositivos envolvidos (detalhes abaixo). |
| ActivityInsights | dynamic | A análise contextual da atividade com base em nossa criação de perfil (detalhes abaixo). |
| InvestigationPriority | int | A pontuação de anomalias, entre 0 e 10 (0 = benigno, 10 = altamente anormal). Essa pontuação quantifica o grau de desvio do comportamento esperado. Pontuações mais altas indicam maior desvio da linha de base e são mais prováveis que indiquem anomalias verdadeiras. Pontuações mais baixas ainda podem ser anômalas, mas são menos propensas a serem significativas ou acionáveis. |
Campos dinâmicos de enriquecimentos de entidade
Note
A coluna Nome do Enriquecimento nas tabelas desta seção exibe duas linhas de informações.
- O primeiro, em negrito, é o "nome amigável" do enriquecimento.
- O segundo (em itálico e parênteses) é o nome do campo do enriquecimento, conforme armazenado na tabela Análise de Comportamento.
Campo UsersInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico UsersInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valor de amostra |
|---|---|---|
|
Nome de exibição da conta (AccountDisplayName) |
O nome para exibição da conta do usuário. | Administrador, Hayden Cook |
|
Domínio da conta (AccountDomain) |
O nome de domínio da conta do usuário. | |
|
ID do objeto account (AccountObjectID) |
A ID de objeto da conta do usuário. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Explosão (BlastRadius) |
O raio da explosão é calculado com base em vários fatores: a posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário. O usuário deve ter a propriedade Manager preenchida na ID do Microsoft Entra para BlastRadius a ser calculada. | Baixo, Médio, Alto |
|
Conta inativa (IsDormantAccount) |
A conta não foi usada nos últimos 180 dias. | Verdadeiro, Falso |
|
É administrador local (IsLocalAdmin) |
A conta tem privilégios de administrador local. | Verdadeiro, Falso |
|
É uma nova conta (IsNewAccount) |
A conta foi criada nos últimos 30 dias. | Verdadeiro, Falso |
|
SID local (OnPremisesSID) |
O SID local do usuário relacionado à ação. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valor de amostra |
|---|---|---|
|
Browser (Browser) |
O navegador usado na ação. | Microsoft Edge, Chrome |
|
Família de dispositivos (DeviceFamily) |
A família de dispositivos usada na ação. | Windows |
|
Tipo de dispositivo (DeviceType) |
O tipo de dispositivo do cliente usado na ação | Desktop |
|
ISP (ISP) |
O provedor de serviços de Internet usado na ação. | |
|
Sistema operacional (OperatingSystem) |
O sistema operacional usado na ação. | Windows 10 |
|
Descrição do indicador de inteligência contra ameaças (ThreatIntelIndicatorDescription) |
Descrição do indicador de ameaça observado resolvido do endereço IP usado na ação. | O host é membro de botnet: azorult |
|
Tipo de indicador intel de ameaça (ThreatIntelIndicatorType) |
O tipo do indicador de ameaça resolvido do endereço IP usado na ação. | Botnet, C2, Criptomineração, Darknet, DDOS, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Agente de usuário (UserAgent) |
O agente do usuário usado na ação. | Biblioteca de clientes do Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Família de agente de usuário (UserAgentFamily) |
A família do agente do usuário usada na ação. | Chrome, Microsoft Edge, Firefox |
Campo ActivityInsights
As tabelas a seguir descrevem os enriquecimentos apresentados no campo dinâmico ActivityInsights na tabela BehaviorAnalytics:
Ação executada
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Ação executada pelo usuário pela primeira vez (FirstTimeUserPerformedAction) |
180 | A ação foi realizada pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Ação executada de forma incomum pelo usuário (ActionUncommonlyPerformedByUser) |
10 | A ação não é normalmente executada pelo usuário. | Verdadeiro, Falso |
|
Ação realizada de forma incomum entre pares (ActionUncommonlyPerformedAmongPeers) |
180 | A ação não é normalmente executada entre os pares do usuário. | Verdadeiro, Falso |
|
Ação pela primeira vez executada no locatário (FirstTimeActionPerformedInTenant) |
180 | A ação foi realizada pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
Ação executada de forma incomum no locatário (ActionUncommonlyPerformedInTenant) |
180 | A ação não é normalmente executada na organização. | Verdadeiro, Falso |
Aplicativo usado
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Aplicativo usado pelo usuário pela primeira vez (FirstTimeUserUsedApp) |
180 | O aplicativo foi usado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Aplicativo usado de forma incomum pelo usuário (AppUncommonlyUsedByUser) |
10 | O aplicativo não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Aplicativo usado de forma incomum entre pares (AppUncommonlyUsedAmongPeers) |
180 | O aplicativo não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Aplicativo pela primeira vez observado no locatário (FirstTimeAppObservedInTenant) |
180 | O aplicativo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Aplicativo usado de forma incomum no locatário (AppUncommonlyUsedInTenant) |
180 | O aplicativo não é comumente usado na organização. | Verdadeiro, Falso |
Navegador usado
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Usuário conectado pela primeira vez por meio do navegador (FirstTimeUserConnectedViaBrowser) |
30 | O navegador foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Navegador usado de forma incomum pelo usuário (BrowserUncommonlyUsedByUser) |
10 | O navegador não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Navegador usado de forma incomum entre pares (BrowserUncommonlyUsedAmongPeers) |
30 | O navegador não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Navegador pela primeira vez observado no locatário (FirstTimeBrowserObservedInTenant) |
30 | O navegador foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Navegador usado de forma incomum no locatário (BrowserUncommonlyUsedInTenant) |
30 | O navegador não é comumente usado na organização. | Verdadeiro, Falso |
País/região conectado a partir de
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Primeira vez que o usuário se conectou do país (FirstTimeUserConnectedFromCountry) |
90 | A localização geográfica, como resolvida do endereço IP, foi conectada pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
País conectado de maneira incomum por usuário (CountryUncommonlyConnectedFromByUser) |
10 | A localização geográfica, como resolvida do endereço IP, não é normalmente conectada pelo usuário. | Verdadeiro, Falso |
|
País extraordinariamente conectado entre pares (CountryUncommonlyConnectedFromAmongPeers) |
90 | A localização geográfica, conforme resolvida a partir do endereço IP, não é comumente conectada entre os pares do usuário. | Verdadeiro, Falso |
|
Conexão pela primeira vez do país observada no locatário (FirstTimeConnectionFromCountryObservedInTenant) |
90 | O país/região foi conectado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
País conectado de maneira incomum no locatário (CountryUncommonlyConnectedFromInTenant) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada na organização. | Verdadeiro, Falso |
Dispositivo usado para se conectar
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Usuário conectado pela primeira vez do dispositivo (FirstTimeUserConnectedFromDevice) |
30 | O dispositivo de origem foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Dispositivo usado de forma incomum pelo usuário (DeviceUncommonlyUsedByUser) |
10 | O dispositivo não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Dispositivo usado de forma incomum entre pares (DeviceUncommonlyUsedAmongPeers) |
180 | O dispositivo não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Dispositivo pela primeira vez observado no locatário (FirstTimeDeviceObservedInTenant) |
30 | O dispositivo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Dispositivo usado de forma incomum no locatário (DeviceUncommonlyUsedInTenant) |
180 | O dispositivo não é comumente usado na organização. | Verdadeiro, Falso |
Outros dispositivos relacionados
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Primeira vez que o usuário fez logon no dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | O dispositivo de destino foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Família de dispositivos usada de forma incomum no locatário (DeviceFamilyUncommonlyUsedInTenant) |
30 | A família de dispositivos não é comumente usada na organização. | Verdadeiro, Falso |
Provedor de serviços de Internet usado para se conectar
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Usuário conectado pela primeira vez via ISP (FirstTimeUserConnectedViaISP) |
30 | O ISP foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
ISP usado de forma incomum pelo usuário (ISPUncommonlyUsedByUser) |
10 | O ISP não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
ISP usado de forma incomum entre pares (ISPUncommonlyUsedAmongPeers) |
30 | O ISP não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Conexão pela primeira vez via ISP no locatário (FirstTimeConnectionViaISPInTenant) |
30 | O ISP foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
ISP usado de forma incomum no locatário (ISPUncommonlyUsedInTenant) |
30 | O ISP não é comumente usado na organização. | Verdadeiro, Falso |
Recurso acessado
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Recurso acessado pelo usuário pela primeira vez (FirstTimeUserAccessedResource) |
180 | O recurso foi acessado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Recurso acessado de forma incomum pelo usuário (ResourceUncommonlyAccessedByUser) |
10 | O recurso não é comumente acessado pelo usuário. | Verdadeiro, Falso |
|
Recurso acessado de forma incomum entre pares (ResourceUncommonlyAccessedAmongPeers) |
180 | O recurso não é normalmente acessado entre os colegas do usuário. | Verdadeiro, Falso |
|
Recurso da primeira vez acessado no locatário (FirstTimeResourceAccessedInTenant) |
180 | O recurso foi acessado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
Recurso acessado de forma incomum no locatário (ResourceUncommonlyAccessedInTenant) |
180 | O recurso não é comumente acessado na organização. | Verdadeiro, Falso |
Miscellaneous
| Nome do enriquecimento | Linha de base (dias) | Description | Valor de amostra |
|---|---|---|---|
|
Última vez que o usuário executou a ação (LastTimeUserPerformedAction) |
180 | Última vez que o usuário realizou a mesma ação. | <Timestamp> |
|
Ação semelhante não foi executada no passado (SimilarActionWasn'tPerformedInThePast) |
30 | Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. | Verdadeiro, Falso |
|
Local de IP de origem (SourceIPLocation) |
N/A | O país/região resolvido a partir do IP de origem da ação. | [Surrey, Inglaterra] |
|
Volume alto incomum de operações (UncommonHighVolumeOfOperations) |
7 | Um usuário realizou uma intermitência de operações semelhantes dentro do mesmo provedor | Verdadeiro, Falso |
|
Número incomum de falhas de acesso condicional do Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Um número incomum de usuários não pôde se autenticar devido ao acesso condicional | Verdadeiro, Falso |
|
Número incomum de dispositivos adicionados (UnusualNumberOfDevicesAdded) |
5 | Um usuário adicionou um número incomum de dispositivos. | Verdadeiro, Falso |
|
Número incomum de dispositivos excluídos (UnusualNumberOfDevicesDeleted) |
5 | Um usuário excluiu um número incomum de dispositivos. | Verdadeiro, Falso |
|
Número incomum de usuários adicionados ao grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Um usuário adicionou um número incomum de usuários a um grupo. | Verdadeiro, Falso |
Tabela IdentityInfo
Depois de habilitar e configurar o UEBA para seu workspace do Microsoft Sentinel, os dados do usuário de seus provedores de identidade da Microsoft serão sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel.
Esses provedores de identidade são ou ambos os seguintes, dependendo do que você selecionou quando configurou o UEBA:
- ID do Microsoft Entra (baseada em nuvem)
- O Microsoft Active Directory (local, requer o Microsoft Defender para Identidade))
Você pode consultar a tabela IdentityInfo em regras de análise, consultas de busca e pastas de trabalho, aprimorando sua análise para atender aos casos de uso e reduzindo falsos positivos.
Embora a sincronização inicial possa levar alguns dias, depois que os dados estiverem totalmente sincronizados:
A cada 14 dias, o Microsoft Sentinel ressincroniza com toda a ID do Microsoft Entra (e seu Active Directory local, se aplicável) para garantir que os registros obsoletos sejam totalmente atualizados.
Além dessas sincronizações completas regulares, sempre que são feitas alterações em seus perfis de usuário, grupos e funções internas na ID do Microsoft Entra, os registros de usuário afetados são redimensionados e atualizados na tabela IdentityInfo dentro de 15 a 30 minutos. Essa ingestão é cobrada a taxas regulares. Por exemplo:
Um atributo de usuário, como nome de exibição, cargo ou endereço de email, foi alterado. Um novo registro para esse usuário é ingerido na tabela IdentityInfo , com os campos relevantes atualizados.
O grupo A tem 100 usuários. Cinco usuários são adicionados ao grupo ou removidos do grupo. Nesse caso, esses cinco registros de usuário são reingessados e seus campos groupMembership atualizados.
O grupo A tem 100 usuários. Dez usuários são adicionados ao Grupo A. Além disso, os grupos A1 e A2, cada um com 10 usuários, são adicionados ao Grupo A. Nesse caso, 30 registros de usuário são reingessados e seus campos groupMembership atualizados. Isso acontece porque a associação ao grupo é transitiva, portanto, as alterações nos grupos afetam todos os seus subgrupos.
O grupo B (com 50 usuários) é renomeado para Grupo BeGood. Nesse caso, 50 registros de usuário são reingessados e seus campos groupMembership atualizados. Se houver subgrupos nesse grupo, o mesmo acontecerá para todos os registros de seus membros.
O tempo de retenção padrão na tabela IdentityInfo é de 30 dias.
Limitations
O campo AssignedRoles dá suporte apenas a funções internas.
O campo GroupMembership dá suporte à listagem de até 500 grupos por usuário, incluindo subgrupos. Se um usuário for membro de mais de 500 grupos, somente os primeiros 500 serão sincronizados com a tabela IdentityInfo . No entanto, os grupos não são avaliados em nenhuma ordem específica, portanto, a cada nova sincronização (a cada 14 dias), é possível que um conjunto diferente de grupos seja atualizado para o registro do usuário.
Quando um usuário é excluído, o registro desse usuário não é excluído imediatamente da tabela IdentityInfo . O motivo disso é que uma das finalidades desta tabela é auditar as alterações nos registros de usuário. Portanto, queremos que essa tabela tenha um registro de um usuário sendo excluído, o que só poderá acontecer se o registro de usuário na tabela IdentityInfo ainda existir, mesmo que o usuário real (digamos, na ID do Entra) seja excluído.
Os usuários excluídos podem ser identificados pela presença de um valor no
deletedDateTimecampo. Portanto, se você precisar de uma consulta para mostrar uma lista de usuários, poderá filtrar usuários excluídos adicionando| where IsEmpty(deletedDateTime)à consulta.Em um determinado intervalo de tempo depois que um usuário foi excluído, o registro do usuário também é removido da tabela IdentityInfo .
Quando um grupo é excluído ou se um grupo com mais de 100 membros tiver seu nome alterado, os registros de usuário membro desse grupo não serão atualizados. Se uma alteração diferente fizer com que um dos registros desses usuários seja atualizado, as informações de grupo atualizadas serão incluídas nesse ponto.
Outras versões da tabela IdentityInfo
Há várias versões da tabela IdentityInfo :
A versão do esquema do Log Analytics , discutida neste artigo, atende ao Microsoft Sentinel no portal do Azure. Ele está disponível para os clientes que habilitaram o UEBA.
A versão avançada do esquema de busca atende ao portal do Microsoft Defender por meio do Microsoft Defender para Identidade. Ele está disponível para clientes do Microsoft Defender XDR, com ou sem o Microsoft Sentinel, e para clientes do Microsoft Sentinel sozinhos no portal do Defender.
A UEBA não precisa ser habilitada para ter acesso a esta tabela. No entanto, para clientes sem UEBA habilitado, os campos preenchidos por dados UEBA não estão visíveis ou disponíveis.
Para obter mais informações, consulte a documentação da versão de busca avançada desta tabela.
A partir de maio de 2025, os clientes do Microsoft Sentinel no portal do Microsoft Defendercom UEBA habilitadocomeçam a usar uma nova versão de busca avançada . Esta nova versão inclui todos os campos UEBA da versão do Log Analytics, bem como alguns novos campos, e é conhecida como a versão unificada ou a tabela IdentityInfo unificada.
Os clientes do portal do Defender sem UEBA habilitado ou sem o Microsoft Sentinel continuam a usar a versão anterior da versão de busca avançada, sem os campos gerados pela UEBA.
Para obter mais informações sobre a versão unificada, consulte IdentityInfo na documentação de busca avançada.
Schema
A tabela na guia "Esquema do Log Analytics" a seguir descreve os dados de identidade do usuário incluídos na tabela IdentityInfo no Log Analytics no portal do Azure.
Se você estiver integrando o Microsoft Sentinel ao portal do Defender, selecione a guia "Comparar com o esquema unificado" para exibir as alterações que podem afetar potencialmente as consultas em suas regras e buscas de detecção de ameaças.
| Nome do campo | Tipo | Description |
|---|---|---|
| AccountCloudSID | cadeia | O identificador de segurança do Microsoft Entra da conta. |
| AccountCreationTime | datetime | A data em que a conta de usuário foi criada (UTC). |
| AccountDisplayName | cadeia | O nome para exibição da conta de usuário. |
| AccountDomain | cadeia | O nome de domínio da conta de usuário. |
| AccountName | cadeia | O nome de usuário da conta de usuário. |
| AccountObjectId | cadeia | A ID de objeto do Microsoft Entra para a conta de usuário. |
| AccountSID | cadeia | O identificador de segurança local da conta de usuário. |
| AccountTenantId | cadeia | A ID do locatário do Microsoft Entra da conta de usuário. |
| AccountUPN | cadeia | O nome UPN da conta de usuário. |
| AdditionalMailAddresses | dynamic | Os endereços de e-mail adicionais do usuário. |
| AssignedRoles | dynamic | As funções do Microsoft Entra às quais a conta de usuário está atribuída. Há suporte apenas para funções internas. |
| BlastRadius | cadeia | Um cálculo baseado na posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário. Valores possíveis: Baixo, Médio, Alto |
| ChangeSource | cadeia | A origem da última alteração na entidade. Valores possíveis: |
| City | cadeia | A cidade da conta de usuário. |
| CompanyName | cadeia | O nome da empresa à qual o usuário pertence. |
| Country | cadeia | O país/região da conta de usuário. |
| DeletedDateTime | datetime | A data e a hora em que o usuário foi excluído. |
| Department | cadeia | O departamento da conta de usuário. |
| EmployeeId | cadeia | O identificador de funcionário atribuído ao usuário pela organização. |
| GivenName | cadeia | O nome da conta de usuário. |
| GroupMembership | dynamic | Grupos de ID do Microsoft Entra em que a conta de usuário é membro. |
| IsAccountEnabled | bool | Uma indicação da conta de usuário estar ou não habilitada no Microsoft Entra ID. |
| JobTitle | cadeia | O cargo da conta de usuário. |
| MailAddress | cadeia | Endereço de email principal da conta de usuário. |
| Manager | cadeia | O alias do gerente da conta de usuário. |
| OnPremisesDistinguishedName | cadeia | O DN (nome diferenciado) do Microsoft Entra ID. Um nome diferenciado é uma sequência de RDN (nomes diferenciados relativos), conectados por vírgulas. |
| Phone | cadeia | O número de telefone da conta de usuário. |
| RiskLevel | cadeia | O nível de risco da ID do Microsoft Entra da conta de usuário. Valores possíveis: |
| RiskLevelDetails | cadeia | Detalhes sobre o nível de risco da ID do Microsoft Entra. |
| RiskState | cadeia | Indicação se a conta está em risco agora ou se o risco foi corrigido. |
| SourceSystem | cadeia | O sistema em que o usuário é gerenciado. Valores possíveis: |
| State | cadeia | O estado geográfico da conta de usuário. |
| StreetAddress | cadeia | O endereço comercial da conta de usuário. |
| Surname | cadeia | O sobrenome do usuário. account. |
| TenantId | cadeia | A ID do locatário do usuário. |
| TimeGenerated | datetime | A hora em que o evento foi gerado (UTC). |
| Type | cadeia | O nome da tabela. |
| UserAccountControl | dynamic | Atributos de segurança da conta de usuário no domínio do AD. Valores possíveis (podem conter mais de um): |
| UserState | cadeia | O estado atual da conta de usuário no Microsoft Entra ID. Valores possíveis: |
| UserStateChangedOn | datetime | A data da última vez em que o estado da conta foi alterado (UTC). |
| UserType | cadeia | O tipo de usuário. |
Os campos a seguir, embora existam no esquema do Log Analytics, devem ser desconsiderados, pois não são usados ou suportados pelo Microsoft Sentinel:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Integração UEBA com fluxos de trabalho Microsoft Sentinel
Os insights da UEBA estão integrados em todo o Microsoft Sentinel para aprimorar seus fluxos de trabalho de operações de segurança:
Páginas de entidades e investigação de usuários
- Anomalias no Painel de Usuário: Veja as 3 principais anomalias de usuários dos últimos 30 dias diretamente no painel do lado do usuário e na aba de visão geral das páginas de usuário. Isso fornece um contexto imediato da UEBA ao investigar usuários em várias localizações de portais. Para mais informações, veja Investigar páginas de entidades com entidades.
Aprimoramento da caça e detecção
- Consulta de Anomalias Go Hunt: Acesse consultas de anomalias embutidas diretamente a partir de grafos de incidentes ao investigar entidades de usuário, permitindo uma busca contextual imediata baseada nos resultados da UEBA.
- Recomendações de Tabelas de Anomalias: Receba sugestões inteligentes para aprimorar consultas de caça adicionando a tabela de Anomalias da UEBA ao consultar fontes de dados elegíveis.
Para mais informações sobre essas melhorias de caça, veja Caça a Ameaças no Microsoft Sentinel.
Fluxos de trabalho de investigação
- Gráfico de investigação aprimorada: Ao investigar incidentes com entidades usuários, acesse as consultas de anomalias da UEBA diretamente do grafo de investigação para obter contexto comportamental imediato.
Para mais informações sobre melhorias na investigação, veja Investigue incidentes Microsoft Sentinel em profundidade.
Pré-requisitos para uma integração aprimorada com a UEBA
Para acessar essas capacidades aprimoradas da UEBA:
- O UEBA deve estar ativado no seu workspace Microsoft Sentinel
- Seu espaço de trabalho deve estar integrado ao portal Microsoft Defender (para alguns recursos)
- Permissões apropriadas para visualizar dados da UEBA e executar consultas de caça
Próximas etapas
Este documento descreveu o esquema da tabela da análise de comportamento de entidade do Microsoft Azure Sentinel.
- Saiba mais sobre a análise de comportamento da entidade.
- Habilite o UEBA no Microsoft Sentinel.
- Coloque a UEBA para usar em suas investigações.