Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este artigo de referência lista as fontes de dados de entrada para o serviço User and Entity Behavior Analytics no Microsoft Sentinel. Também descreve os enriquecimentos que a UEBA acrescenta às entidades, fornecendo o contexto necessário para alertas e incidentes.
Important
O Microsoft Sentinel está geralmente disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.
A partir de julho de 2026, todos os clientes que usam o Microsoft Sentinel no portal do Azure serão redirecionados para o portal do Defender e usarão o Microsoft Sentinel somente no portal do Defender. A partir de julho de 2025, muitos novos clientes são automaticamente integrados e redirecionados para o portal Defender.
Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que comece a planejar sua transição para o portal do Defender para garantir uma transição suave e aproveitar ao máximo a experiência unificada de operações de segurança oferecida pelo Microsoft Defender. Para obter mais informações, consulte É hora de mover: desativando o portal do Azure do Microsoft Sentinel para maior segurança.
Fontes de dados da UEBA
Essas são as fontes de dados a partir das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA analisa os dados dessas fontes para encontrar anomalias e obter insights.
| Fonte de dados | Connector | Tabela do Log Analytics | Categorias de eventos analisadas |
|---|---|---|---|
| Logs de entrada de identidade gerenciados do AAD (Visualização) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Todos os eventos de início de sessão de identidade geridos |
| Logs de entrada da entidade de serviço do AAD (Visualização) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Todos os eventos de entrada da entidade de serviço |
| Registos de Auditoria | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (visualização) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Eventos de início de sessão na consola. Identificado por EventName = "ConsoleLogin" e EventSource = "signin.amazonaws.com". Os eventos devem ter um UserIdentityPrincipalIdarquivo . |
| Atividade do Azure | Atividade do Azure | AzureActivity | Authorization AzureActiveDirectory Billing Computação Consumo KeyVault Devices Network Resources Intune Logic Sql Armazenamento |
| Eventos de Logon do Dispositivo (Visualização) | Microsoft Defender XDR | DeviceLogonEvents | Todos os eventos de logon do dispositivo |
| Logs de auditoria do GCP (visualização) | Logs de Auditoria Pub/Sub do GCP | GCPAuditLogs |
apigee.googleapis.com - Plataforma de Gestão APIiam.googleapis.com - Serviço de Gestão de Identidades e Acessos (IAM)iamcredentials.googleapis.com - API de credenciais de conta de serviço do IAMcloudresourcemanager.googleapis.com - API do Cloud Resource Managercompute.googleapis.com - API do Mecanismo de Computaçãostorage.googleapis.com - API de armazenamento em nuvemcontainer.googleapis.com - API do mecanismo Kubernetesk8s.io - API do Kubernetescloudsql.googleapis.com - API SQL na nuvembigquery.googleapis.com - API do BigQuerybigquerydatatransfer.googleapis.com - API do Serviço de Transferência de Dados do BigQuerycloudfunctions.googleapis.com - API de funções na nuvemappengine.googleapis.com - API do App Enginedns.googleapis.com - API de DNS na nuvembigquerydatapolicy.googleapis.com - API de Política de Dados do BigQueryfirestore.googleapis.com - API Firestoredataproc.googleapis.com - API Dataprocosconfig.googleapis.com - API de configuração do sistema operacionalcloudkms.googleapis.com - API KMS na nuvemsecretmanager.googleapis.com - API do Gestor SecretoOs eventos devem ter um valor válido: - PrincipalEmail - O usuário ou conta de serviço que chamou a API- MethodName - O método específico da API do Google chamado- Email principal, em user@domain.com formato. |
| Okta CL (Pré-visualização) | Okta Single Sign-On (usando o Azure Functions) | Okta_CL | Autenticação, autenticação multifator (MFA) e eventos de sessão, incluindo:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startOs eventos devem ter um ID de usuário válido ( actor_id_s). |
| Eventos de Segurança | Eventos de segurança do Windows via AMA Eventos encaminhados do Windows |
WindowsEvent SecurityEvent |
4624: Uma conta foi iniciada com êxito 4625: Falha ao iniciar sessão numa conta 4648: Foi tentado um logon usando credenciais explícitas 4672: Privilégios especiais atribuídos ao novo logon 4688: Um novo processo foi criado |
| Registos de início de sessão | Microsoft Entra ID | SigninLogs | Todos os eventos de início de sessão |
Enriquecimento UEBA
Esta seção descreve os enriquecimentos que o UEBA adiciona às entidades do Microsoft Sentinel, que você pode usar para focar e aprimorar suas investigações de incidentes de segurança. Esses enriquecimentos são exibidos em páginas de entidades e podem ser encontrados nas seguintes tabelas do Log Analytics, cujo conteúdo e esquema estão listados abaixo:
A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.
Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção de campos dinâmicos de enriquecimento de entidade abaixo.
Os campos UsersInsights e DevicesInsights contêm informações de entidade de fontes do Ative Directory / Microsoft Entra ID e Microsoft Threat Intelligence.
O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise de comportamento de entidade do Microsoft Sentinel.
As atividades do usuário são analisadas em relação a uma linha de base que é compilada dinamicamente cada vez que é usada. Cada atividade tem seu próprio período de retrospetiva definido a partir do qual a linha de base dinâmica é derivada. O período de retrospetiva é especificado na coluna Linha de base nesta tabela.
A tabela IdentityInfo é onde as informações de identidade sincronizadas com o UEBA a partir do Microsoft Entra ID (e do Ative Directory local por meio do Microsoft Defender for Identity) são armazenadas.
Tabela BehaviorAnalytics
A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Sentinel.
| Field | Tipo | Description |
|---|---|---|
| TenantId | cadeia (de caracteres) | O número de ID exclusivo do locatário. |
| SourceRecordId | cadeia (de caracteres) | O número de identificação exclusivo do evento da EBA. |
| TimeGenerated | datetime | O carimbo de data/hora da ocorrência da atividade. |
| TimeProcessed | datetime | O carimbo de data/hora do processamento da atividade pelo mecanismo da EBA. |
| ActivityType | cadeia (de caracteres) | A categoria de alto nível da atividade. |
| ActionType | cadeia (de caracteres) | O nome normalizado da atividade. |
| UserName | cadeia (de caracteres) | O nome de usuário do usuário que iniciou a atividade. |
| UserPrincipalName | cadeia (de caracteres) | O nome de usuário completo do usuário que iniciou a atividade. |
| EventSource | cadeia (de caracteres) | A fonte de dados que forneceu o evento original. |
| SourceIPAddress | cadeia (de caracteres) | O endereço IP a partir do qual a atividade foi iniciada. |
| SourceIPLocation | cadeia (de caracteres) | O país/região a partir do qual a atividade foi iniciada, enriquecido a partir do endereço IP. |
| SourceDevice | cadeia (de caracteres) | O nome do host do dispositivo que iniciou a atividade. |
| DestinationIPAddress | cadeia (de caracteres) | O endereço IP do alvo da atividade. |
| DestinationIPLocation | cadeia (de caracteres) | O país/região do alvo da atividade, enriquecido a partir do endereço IP. |
| DestinationDevice | cadeia (de caracteres) | O nome do dispositivo de destino. |
| UsersInsights | dynamic | Os enriquecimentos contextuais dos utilizadores envolvidos (detalhes abaixo). |
| DevicesInsights | dynamic | O enriquecimento contextual dos dispositivos envolvidos (detalhes abaixo). |
| ActivityInsights | dynamic | A análise contextual da atividade com base no nosso perfil (detalhes abaixo). |
| InvestigationPriority | int | O escore de anomalia, entre 0-10 (0=benigno, 10=altamente anômalo). Esta pontuação quantifica o grau de desvio do comportamento esperado. Pontuações mais altas indicam maior desvio da linha de base e são mais prováveis de indicar anomalias verdadeiras. Pontuações mais baixas ainda podem ser anômalas, mas são menos prováveis de serem significativas ou acionáveis. |
Campos dinâmicos de enriquecimento de entidades
Note
A coluna Nome do enriquecimento nas tabelas desta seção exibe duas linhas de informações.
- O primeiro, em negrito, é o "nome amigo" do enriquecimento.
- O segundo (em itálico e parênteses) é o nome do campo do enriquecimento conforme armazenado na tabela do Behavior Analytics.
Campo UsersInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico UsersInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valor da amostra |
|---|---|---|
|
Nome de exibição da conta (AccountDisplayName) |
O nome de exibição da conta do usuário. | Administrador, Hayden Cook |
|
Domínio da conta (AccountDomain) |
O nome de domínio da conta do usuário. | |
|
ID do objeto da conta (AccountObjectID) |
O ID do objeto de conta do usuário. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Raio de explosão (BlastRadius) |
O raio de explosão é calculado com base em vários fatores: a posição do usuário na árvore organizacional e as funções e permissões do Microsoft Entra do usuário. O usuário deve ter a propriedade Manager preenchida no Microsoft Entra ID para que o BlastRadius seja calculado. | Baixo, Médio, Alto |
|
A conta está inativa (IsDormantAccount) |
A conta não foi usada nos últimos 180 dias. | Verdadeiro, Falso |
|
É administrador local (IsLocalAdmin) |
A conta tem privilégios de administrador local. | Verdadeiro, Falso |
|
É nova conta (IsNewAccount) |
A conta foi criada nos últimos 30 dias. | Verdadeiro, Falso |
|
SID local (OnPremisesSID) |
O SID local do usuário relacionado à ação. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valor da amostra |
|---|---|---|
|
Browser (Browser) |
O navegador usado na ação. | Microsoft Edge, Chrome |
|
Família de dispositivos (DeviceFamily) |
A família de dispositivos usada na ação. | Windows |
|
Tipo de dispositivo (DeviceType) |
O tipo de dispositivo cliente usado na ação | Desktop |
|
ISP (ISP) |
O fornecedor de acesso à Internet utilizado na ação. | |
|
Sistema Operativo (OperatingSystem) |
O sistema operacional usado na ação. | Janelas 10 |
|
Descrição do indicador de informações sobre ameaças (ThreatIntelIndicatorDescription) |
Descrição do indicador de ameaça observada resolvido a partir do endereço IP usado na ação. | O anfitrião é membro da botnet: azorult |
|
Tipo de indicador de informação de ameaça (ThreatIntelIndicatorType) |
O tipo do indicador de ameaça resolvido a partir do endereço IP usado na ação. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, API, Lista de observação |
|
Agente de usuário (UserAgent) |
O agente de usuário usado na ação. | Biblioteca de Cliente do Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Família de agentes de usuário (UserAgentFamily) |
A família de agentes de usuário usada na ação. | Chrome, Microsoft Edge, Firefox |
Campo ActivityInsights
As tabelas a seguir descrevem os enriquecimentos apresentados no campo dinâmico do ActivityInsights na tabela do BehaviorAnalytics:
Ação executada
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Ação executada pela primeira vez pelo usuário (FirstTimeUserPerformedAction) |
180 | A ação foi realizada pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Ação raramente executada pelo usuário (ActionUncommonlyPerformedByUser) |
10 | A ação geralmente não é executada pelo usuário. | Verdadeiro, Falso |
|
Ação raramente executada entre pares (ActionUncommonlyPerformedAmongPeers) |
180 | A ação não é comumente executada entre os pares do usuário. | Verdadeiro, Falso |
|
Primeira ação executada no locatário (FirstTimeActionPerformedInTenant) |
180 | A ação foi realizada pela primeira vez por alguém da organização. | Verdadeiro, Falso |
|
Ação raramente executada no locatário (ActionUncommonlyPerformedInTenant) |
180 | A ação não é comumente executada na organização. | Verdadeiro, Falso |
Aplicação utilizada
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Aplicativo usado pela primeira vez pelo usuário (FirstTimeUserUsedApp) |
180 | O aplicativo foi usado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Aplicação pouco utilizada pelo utilizador (AppUncommonlyUsedByUser) |
10 | O aplicativo não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Aplicativo pouco usado entre pares (AppUncommonlyUsedAmongPeers) |
180 | O aplicativo não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Aplicativo pela primeira vez observado no locatário (FirstTimeAppObservedInTenant) |
180 | O aplicativo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Aplicativo pouco usado em locatários (AppUncommonlyUsedInTenant) |
180 | O aplicativo não é comumente usado na organização. | Verdadeiro, Falso |
Navegador usado
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Usuário pela primeira vez conectado via navegador (FirstTimeUserConnectedViaBrowser) |
30 | O navegador foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Navegador pouco utilizado pelo utilizador (BrowserUncommonlyUsedByUser) |
10 | O navegador não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Navegador pouco usado entre pares (BrowserUncommonlyUsedAmongPeers) |
30 | O navegador não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Navegador pela primeira vez observado no inquilino (FirstTimeBrowserObservedInTenant) |
30 | O navegador foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Navegador pouco utilizado em inquilinos (BrowserUncommonlyUsedInTenant) |
30 | O navegador não é comumente usado na organização. | Verdadeiro, Falso |
País/região conectado a partir de
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Utilizador pela primeira vez ligado a partir do país (FirstTimeUserConnectedFromCountry) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, foi conectada pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
País invulgarmente ligado a partir de por utilizador (CountryUncommonlyConnectedFromByUser) |
10 | A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada pelo usuário. | Verdadeiro, Falso |
|
País incomumente conectado entre pares (CountryUncommonlyConnectedFromAmongPeers) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada entre os pares do usuário. | Verdadeiro, Falso |
|
Primeira conexão do país observada no inquilino (FirstTimeConnectionFromCountryObservedInTenant) |
90 | O país/região foi conectado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
|
País incomumente conectado a partir de inquilino (CountryUncommonlyConnectedFromInTenant) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não é normalmente conectada na organização. | Verdadeiro, Falso |
Dispositivo utilizado para ligar
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Utilizador pela primeira vez ligado a partir do dispositivo (FirstTimeUserConnectedFromDevice) |
30 | O dispositivo de origem foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Dispositivo usado incomumente pelo usuário (DeviceUncommonlyUsedByUser) |
10 | O dispositivo não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
Dispositivo pouco usado entre pares (DeviceUncommonlyUsedAmongPeers) |
180 | O dispositivo não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Dispositivo pela primeira vez observado no inquilino (FirstTimeDeviceObservedInTenant) |
30 | O dispositivo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
Dispositivo pouco utilizado no inquilino (DeviceUncommonlyUsedInTenant) |
180 | O dispositivo não é comumente usado na organização. | Verdadeiro, Falso |
Outros dispositivos relacionados
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Utilizador pela primeira vez com sessão iniciada no dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | O dispositivo de destino foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Família de dispositivos pouco utilizada no inquilino (DeviceFamilyUncommonlyUsedInTenant) |
30 | A família de dispositivos não é comumente usada na organização. | Verdadeiro, Falso |
Provedor de serviços de Internet usado para se conectar
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Usuário pela primeira vez conectado via ISP (FirstTimeUserConnectedViaISP) |
30 | O ISP foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
ISP pouco utilizado pelo utilizador (ISPUncommonlyUsedByUser) |
10 | O ISP não é comumente usado pelo usuário. | Verdadeiro, Falso |
|
ISP pouco usado entre pares (ISPUncommonlyUsedAmongPeers) |
30 | O ISP não é comumente usado entre os pares do usuário. | Verdadeiro, Falso |
|
Primeira conexão via ISP no locatário (FirstTimeConnectionViaISPInTenant) |
30 | O ISP foi observado pela primeira vez na organização. | Verdadeiro, Falso |
|
ISP pouco utilizado em inquilinos (ISPUncommonlyUsedInTenant) |
30 | O ISP não é comumente usado na organização. | Verdadeiro, Falso |
Recurso acessado
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Recurso acessado pelo usuário pela primeira vez (FirstTimeUserAccessedResource) |
180 | O recurso foi acessado pela primeira vez pelo usuário. | Verdadeiro, Falso |
|
Recurso raramente acessado pelo usuário (ResourceUncommonlyAccessedByUser) |
10 | O recurso não é comumente acessado pelo usuário. | Verdadeiro, Falso |
|
Recurso raramente acessado entre pares (ResourceUncommonlyAccessedAmongPeers) |
180 | O recurso não é comumente acessado entre os pares do usuário. | Verdadeiro, Falso |
|
Recurso acessado pela primeira vez no locatário (FirstTimeResourceAccessedInTenant) |
180 | O recurso foi acessado pela primeira vez por qualquer pessoa da organização. | Verdadeiro, Falso |
|
Recurso raramente acessado no locatário (ResourceUncommonlyAccessedInTenant) |
180 | O recurso não é comumente acessado na organização. | Verdadeiro, Falso |
Miscellaneous
| Nome do enriquecimento | Início do estudo (dias) | Description | Valor da amostra |
|---|---|---|---|
|
Última ação executada pelo usuário (LastTimeUserPerformedAction) |
180 | Última vez que o usuário executou a mesma ação. | <Carimbo de data/hora> |
|
Ação semelhante não foi realizada no passado (SimilarActionWasn'tPerformedInThePast) |
30 | Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. | Verdadeiro, Falso |
|
Localização do IP de origem (SourceIPLocation) |
N/A | O país/região resolvido a partir do IP de origem da ação. | [Surrey, Inglaterra] |
|
Elevado volume de operações pouco frequente (UncommonHighVolumeOfOperations) |
7 | Um usuário executou uma explosão de operações semelhantes dentro do mesmo provedor | Verdadeiro, Falso |
|
Número incomum de falhas de acesso condicional do Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Um número incomum de usuários não conseguiu autenticar devido ao acesso condicional | Verdadeiro, Falso |
|
Número incomum de dispositivos adicionados (UnusualNumberOfDevicesAdded) |
5 | Um usuário adicionou um número incomum de dispositivos. | Verdadeiro, Falso |
|
Número incomum de dispositivos excluídos (UnusualNumberOfDevicesDeleted) |
5 | Um usuário excluiu um número incomum de dispositivos. | Verdadeiro, Falso |
|
Número incomum de usuários adicionados ao grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Um usuário adicionou um número incomum de usuários a um grupo. | Verdadeiro, Falso |
Tabela IdentityInfo
Depois de habilitar e configurar o UEBA para seu espaço de trabalho do Microsoft Sentinel, os dados do usuário de seus provedores de identidade da Microsoft são sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel.
Esses provedores de identidade são um ou ambos os seguintes, dependendo do que você selecionou quando configurou o UEBA:
- Microsoft Entra ID (baseado na nuvem)
- Microsoft Ative Directory (local, requer o Microsoft Defender for Identity))
Você pode consultar a tabela IdentityInfo em regras de análise, consultas de busca e pastas de trabalho, aprimorando suas análises para se adequar aos seus casos de uso e reduzindo falsos positivos.
Embora a sincronização inicial possa levar alguns dias, uma vez que os dados estão totalmente sincronizados:
A cada 14 dias, o Microsoft Sentinel ressincroniza com toda a sua ID do Microsoft Entra (e com o Ative Directory local, se aplicável) para garantir que os registros obsoletos sejam totalmente atualizados.
Além dessas sincronizações completas regulares, sempre que são feitas alterações em seus perfis de usuário, grupos e funções internas no Microsoft Entra ID, os registros de usuário afetados são reintroduzidos e atualizados na tabela IdentityInfo dentro de 15 a 30 minutos. Esta ingestão é cobrada a taxas regulares. Por exemplo:
Um atributo de usuário, como nome para exibição, cargo ou endereço de email, foi alterado. Um novo registro para esse usuário é ingerido na tabela IdentityInfo , com os campos relevantes atualizados.
O Grupo A tem 100 usuários. 5 usuários são adicionados ao grupo ou removidos do grupo. Nesse caso, esses cinco registros de usuário são reintroduzidos e seus campos GroupMembership são atualizados.
O Grupo A tem 100 usuários. Dez usuários são adicionados ao Grupo A. Além disso, os grupos A1 e A2, cada um com 10 usuários, são adicionados ao Grupo A. Nesse caso, 30 registros de usuário são reintroduzidos e seus campos GroupMembership atualizados. Isso acontece porque a associação ao grupo é transitiva, portanto, as alterações nos grupos afetam todos os seus subgrupos.
O Grupo B (com 50 usuários) é renomeado para Grupo BeGood. Nesse caso, 50 registros de usuário são reintroduzidos e seus campos GroupMembership atualizados. Se houver subgrupos nesse grupo, o mesmo acontece com todos os registros de seus membros.
O tempo de retenção padrão na tabela IdentityInfo é de 30 dias.
Limitations
O campo AssignedRoles suporta apenas funções internas.
O campo GroupMembership suporta a listagem de até 500 grupos por usuário, incluindo subgrupos. Se um usuário for membro de mais de 500 grupos, somente os primeiros 500 serão sincronizados com a tabela IdentityInfo . No entanto, os grupos não são avaliados em nenhuma ordem específica, portanto, a cada nova sincronização (a cada 14 dias), é possível que um conjunto diferente de grupos seja atualizado para o registro do usuário.
Quando um usuário é excluído, o registro desse usuário não é excluído imediatamente da tabela IdentityInfo . A razão para isso é que um dos objetivos desta tabela é auditar alterações nos registros de usuários. Portanto, queremos que esta tabela tenha um registro de um usuário sendo excluído, o que só pode acontecer se o registro de usuário na tabela IdentityInfo ainda existir, mesmo que o usuário real (digamos, no Entra ID) seja excluído.
Os usuários excluídos podem ser identificados pela presença de um valor no
deletedDateTimecampo. Portanto, se você precisar de uma consulta para mostrar uma lista de usuários, poderá filtrar os usuários excluídos adicionando| where IsEmpty(deletedDateTime)à consulta.Em um determinado intervalo de tempo depois que um usuário foi excluído, o registro do usuário também é removido da tabela IdentityInfo .
Quando um grupo é excluído, ou se um grupo com mais de 100 membros tem seu nome alterado, os registros de usuário membro desse grupo não são atualizados. Se uma alteração diferente fizer com que os registros de um desses usuários sejam atualizados, as informações atualizadas do grupo serão incluídas nesse ponto.
Outras versões da tabela IdentityInfo
Existem várias versões da tabela IdentityInfo :
A versão do esquema do Log Analytics , discutida neste artigo, serve o Microsoft Sentinel no portal do Azure. Está disponível para os clientes que habilitaram o UEBA.
A versão do esquema de caça avançada serve o portal do Microsoft Defender através do Microsoft Defender for Identity. Está disponível para clientes do Microsoft Defender XDR, com ou sem Microsoft Sentinel, e para clientes do Microsoft Sentinel por si só no portal Defender.
A UEBA não precisa estar habilitada para ter acesso a essa tabela. No entanto, para clientes sem UEBA habilitado, os campos preenchidos por dados UEBA não são visíveis ou disponíveis.
Para obter mais informações, consulte a documentação da versão de caça avançada desta tabela.
A partir de maio de 2025, os clientes do Microsoft Sentinel no portal Microsoft Defender com aUEBA habilitadacomeçam a usar uma nova versão da versão de caça avançada . Esta nova versão inclui todos os campos UEBA da versão do Log Analytics, bem como alguns campos novos, e é referida como a versão unificada ou a tabela unificada IdentityInfo.
Os clientes do portal Defender sem UEBA habilitada, ou sem o Microsoft Sentinel, continuam a usar a versão anterior da versão de caça avançada, sem os campos gerados pela UEBA.
Para obter mais informações sobre a versão unificada, consulte IdentityInfo na documentação de caça avançada.
Schema
A tabela na guia "Esquema do Log Analytics" a seguir descreve os dados de identidade do usuário incluídos na tabela IdentityInfo no Log Analytics no portal do Azure.
Se você estiver integrando o Microsoft Sentinel ao portal do Defender, selecione a guia "Comparar com esquema unificado" para exibir as alterações que podem afetar as consultas em suas regras de deteção de ameaças e caçadas.
| Nome do campo | Tipo | Description |
|---|---|---|
| AccountCloudSID | cadeia (de caracteres) | O identificador de segurança Microsoft Entra da conta. |
| AccountCreationTime | datetime | A data em que a conta de utilizador foi criada (UTC). |
| AccountDisplayName | cadeia (de caracteres) | O nome para exibição da conta de usuário. |
| AccountDomain | cadeia (de caracteres) | O nome de domínio da conta de usuário. |
| AccountName | cadeia (de caracteres) | O nome de usuário da conta de usuário. |
| AccountObjectId | cadeia (de caracteres) | A ID do objeto Microsoft Entra para a conta de usuário. |
| AccountSID | cadeia (de caracteres) | O identificador de segurança local da conta de usuário. |
| AccountTenantId | cadeia (de caracteres) | A ID de locatário do Microsoft Entra da conta de usuário. |
| AccountUPN | cadeia (de caracteres) | O nome principal do usuário da conta de usuário. |
| AdditionalMailAddresses | dynamic | Os endereços de e-mail adicionais do usuário. |
| AssignedRoles | dynamic | As funções do Microsoft Entra às quais a conta de usuário é atribuída. Apenas funções internas são suportadas. |
| BlastRadius | cadeia (de caracteres) | Um cálculo baseado na posição do usuário na árvore organizacional e nas funções e permissões do Microsoft Entra do usuário. Valores possíveis: Baixo, Médio, Alto |
| ChangeSource | cadeia (de caracteres) | A origem da última alteração na entidade. Valores possíveis: |
| City | cadeia (de caracteres) | A cidade da conta de utilizador. |
| CompanyName | cadeia (de caracteres) | O nome da empresa à qual o usuário pertence. |
| Country | cadeia (de caracteres) | O país/região da conta de utilizador. |
| DeletedDateTime | datetime | A data e a hora em que o usuário foi excluído. |
| Department | cadeia (de caracteres) | O departamento da conta de usuário. |
| EmployeeId | cadeia (de caracteres) | O identificador de funcionário atribuído ao usuário pela organização. |
| GivenName | cadeia (de caracteres) | O nome próprio da conta de utilizador. |
| GroupMembership | dynamic | Grupos de ID do Microsoft Entra onde a conta de usuário é membro. |
| IsAccountEnabled | bool | Uma indicação sobre se a conta de usuário está habilitada no Microsoft Entra ID ou não. |
| JobTitle | cadeia (de caracteres) | O título do trabalho da conta de usuário. |
| MailAddress | cadeia (de caracteres) | O endereço de e-mail principal da conta de usuário. |
| Manager | cadeia (de caracteres) | O alias de gerente da conta de usuário. |
| OnPremisesDistinguishedName | cadeia (de caracteres) | O nome distinto (DN) do Microsoft Entra ID. Um nome distinto é uma sequência de nomes distintos relativos (RDN), ligados por vírgulas. |
| Phone | cadeia (de caracteres) | O número de telefone da conta de usuário. |
| RiskLevel | cadeia (de caracteres) | O nível de risco do Microsoft Entra ID da conta de usuário. Valores possíveis: |
| RiskLevelDetails | cadeia (de caracteres) | Detalhes sobre o nível de risco do Microsoft Entra ID. |
| RiskState | cadeia (de caracteres) | Indicação se a conta está em risco agora ou se o risco foi corrigido. |
| SourceSystem | cadeia (de caracteres) | O sistema onde o usuário é gerenciado. Valores possíveis: |
| State | cadeia (de caracteres) | O estado geográfico da conta de usuário. |
| StreetAddress | cadeia (de caracteres) | O endereço do escritório da conta de usuário. |
| Surname | cadeia (de caracteres) | O apelido do utilizador. account. |
| TenantId | cadeia (de caracteres) | O ID do locatário do usuário. |
| TimeGenerated | datetime | A hora em que o evento foi gerado (UTC). |
| Type | cadeia (de caracteres) | O nome da tabela. |
| UserAccountControl | dynamic | Atributos de segurança da conta de utilizador no domínio AD. Valores possíveis (podem conter mais de um): |
| UserState | cadeia (de caracteres) | O estado atual da conta de usuário no Microsoft Entra ID. Valores possíveis: |
| UserStateChangedOn | datetime | A data da última vez que o estado da conta foi alterado (UTC). |
| UserType | cadeia (de caracteres) | O tipo de usuário. |
Os campos a seguir, embora existam no esquema do Log Analytics, devem ser desconsiderados, pois não são usados ou suportados pelo Microsoft Sentinel:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Integração UEBA com fluxos de trabalho Microsoft Sentinel
Os insights UEBA estão integrados em todo o Microsoft Sentinel para melhorar os seus fluxos de trabalho de operações de segurança:
Páginas de entidades e investigação de utilizadores
- Anomalias no Painel de Utilizador: Veja as 3 principais anomalias dos últimos 30 dias diretamente no painel do lado do utilizador e no separador de visão geral das páginas de utilizador. Isto fornece contexto imediato da UEBA ao investigar utilizadores em várias localizações de portais. Para mais informações, consulte Investigar páginas de entidades com entidades.
Aprimoramento da caça e deteção
- Go Hunt Anomalies Query: Acede às consultas de anomalias integradas diretamente a partir de grafos de incidentes ao investigar entidades do utilizador, permitindo uma caça contextual imediata com base nos resultados da UEBA.
- Recomendações da Tabela de Anomalias: Receba sugestões inteligentes para melhorar as consultas de caça adicionando a tabela de Anomalias da UEBA ao consultar fontes de dados elegíveis.
Para mais informações sobre estas melhorias de caça, consulte Caça de Ameaças no Microsoft Sentinel.
Fluxos de trabalho de investigação
- Gráfico de investigação melhorado: Ao investigar incidentes com entidades utilizadoras, aceda diretamente às consultas de anomalias UEBA a partir do grafo de investigação para obter contexto comportamental imediato.
Para mais informações sobre melhorias na investigação, consulte Investigar incidentes Microsoft Sentinel em detalhe.
Pré-requisitos para uma integração melhorada com a UEBA
Para aceder a estas capacidades melhoradas da UEBA:
- O UEBA deve estar ativado no seu espaço de trabalho Microsoft Sentinel
- O seu espaço de trabalho deve estar integrado no portal Microsoft Defender (para algumas funcionalidades)
- Permissões apropriadas para visualizar dados UEBA e executar consultas de caça
Próximos passos
Este documento descreveu o esquema da tabela de análise de comportamento de entidade do Microsoft Sentinel.
- Saiba mais sobre a análise do comportamento da entidade.
- Habilite o UEBA no Microsoft Sentinel.
- Coloque a UEBA para usar em suas investigações.