此參考文章列出 Microsoft Sentinel 中使用者和實體行為分析服務的輸入資料來源。 它也會描述 UEBA 新增至實體的擴充,以提供警示和事件所需的內容。
Important
Microsoft Sentinel 已在 Microsoft Defender 入口網站中正式推出,包括沒有 Microsoft Defender XDR 或 E5 授權的客戶。
從 2026 年 7 月開始,所有在 Azure 入口網站中使用 Microsoft Sentinel 的客戶都會重新導向至 Defender 入口網站,且只會在 Defender 入口網站中使用 Microsoft Sentinel。 從 2025 年 7 月開始,許多新客戶 會自動上線並重新導向至 Defender 入口網站。
如果您仍在 Azure 入口網站中使用 Microsoft Sentinel,建議您開始規劃 轉換至 Defender 入口網站 ,以確保順利轉換,並充分利用 Microsoft Defender 所提供的統一安全性作業體驗。 如需詳細資訊,請參閱 移轉時間:Microsoft 淘汰 Sentinel 的 Azure 入口網站,以取得更高的安全性。
UEBA 數據源
這些是 UEBA 引擎收集和分析數據的數據源,用來定型 ML 模型,併為使用者、裝置和其他實體設定行為基準。 然後,UEBA 會查看來自這些來源的數據,以尋找異常和擷取見解。
| 數據源 | Connector | Log Analytics 資料表 | 分析的事件類別 |
|---|---|---|---|
| AAD 受控識別登入記錄 (預覽版) | Microsoft Entra ID | AADManagedIdentitySignInLogs | 所有受控識別登入事件 |
| AAD 服務主體登入記錄 (預覽版) | Microsoft Entra ID | AADServicePrincipalSignInLogs | 所有服務主體登入事件 |
| 稽核記錄 | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (預覽版) | Amazon Web Services 亞馬遜雲科技 S3 |
AWSCloudTrail | 主控台登入事件。 由 和 EventName = "ConsoleLogin"識別。EventSource = "signin.amazonaws.com" 事件必須具有有效的 UserIdentityPrincipalId。 |
| Azure 活動 | Azure 活動 | AzureActivity | Authorization AzureActiveDirectory Billing Compute 使用量 KeyVault Devices Network Resources Intune Logic Sql 儲存體 |
| 裝置登入事件 (預覽版) | Microsoft Defender 全面偵測回應 | DeviceLogonEvents | 所有裝置登入事件 |
| GCP 稽核記錄 (預覽版) | GCP Pub/Sub 稽核記錄 | GCPAuditLogs |
apigee.googleapis.com - API 管理平台iam.googleapis.com - 身分識別和存取管理 (IAM) 服務iamcredentials.googleapis.com - IAM 服務帳戶認證 APIcloudresourcemanager.googleapis.com - 雲端資源管理員 APIcompute.googleapis.com - 計算引擎 APIstorage.googleapis.com - 雲端儲存 APIcontainer.googleapis.com - Kubernetes 引擎 APIk8s.io - Kubernetes APIcloudsql.googleapis.com - 雲端 SQL APIbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - BigQuery 資料傳輸服務 APIcloudfunctions.googleapis.com - 雲端功能 APIappengine.googleapis.com - 應用程式引擎 APIdns.googleapis.com - 雲端 DNS APIbigquerydatapolicy.googleapis.com - BigQuery 資料政策 APIfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - Dataproc APIosconfig.googleapis.com - 作業系統組態 APIcloudkms.googleapis.com - 雲端 KMS APIsecretmanager.googleapis.com - 秘密管理器 API事件必須具有有效的: - PrincipalEmail - 呼叫 API 的使用者或服務帳戶- MethodName - 名為- 主要電子郵件, user@domain.com 格式。 |
| Okta CL (預覽版) | Okta 單一 Sign-On (使用 Azure Functions) | Okta_CL | 驗證、多重要素驗證 (MFA) 和工作階段事件,包括:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.start事件必須具有有效的使用者 ID ( actor_id_s)。 |
| 安全事件 | 透過 AMA 的 Windows 安全性事件 Windows 轉送事件 |
WindowsEvent SecurityEvent |
4624:已成功登入帳戶 4625:帳戶無法登入 4648:嘗試使用明確認證登入 4672:指派給新登入的特殊許可權 4688:已建立新的程式 |
| 登入記錄 | Microsoft Entra ID | SigninLogs | 所有登入事件 |
UEBA 擴充
本節說明 UEBA 新增至 Microsoft Sentinel 實體的擴充功能,您可以使用這些擴充來集中和加強安全性事件調查。 這些擴充會顯示在 實體頁面 上,並可在下列 Log Analytics 資料表中找到,其內容和結構描述如下:
BehaviorAnalytics 表格是儲存 UEBA 輸出資訊的位置。
下列來自 BehaviorAnalytics 數據表的三個動態欄位會在下列 實體擴充動態欄位 一節中說明。
UsersInsights 和 DevicesInsights 欄位包含來自 Active Directory/Microsoft Entra ID 和 Microsoft 威脅情報來源的實體資訊。
ActivityInsights 欄位包含實體資訊,以 Microsoft Sentinel 實體行為分析所建置的行為配置檔為基礎。
用戶活動會根據每次使用時動態編譯的基準進行分析。 每個活動都有自己的定義回溯期間,動態基準是從中衍生而來。 回顧期間在此表格的「 基準線 」直欄中指定。
IdentityInfo 數據表是儲存從 Microsoft Entra ID 同步處理至 UEBA 的身分識別資訊的位置 (,以及透過適用於身分識別的 Microsoft Defender) 從內部部署 Active Directory 同步處理的身分識別資訊。
BehaviorAnalytics 表格
下表描述Microsoft Sentinel 中每個 實體詳細數據頁面上 顯示的行為分析數據。
| Field | 類型 | Description |
|---|---|---|
| TenantId | 字串 | 租使用者的唯一標識碼。 |
| SourceRecordId | 字串 | EBA 事件的唯一標識碼。 |
| TimeGenerated | 日期時間 | 活動的發生時間戳。 |
| TimeProcessed | 日期時間 | EBA 引擎處理活動的時間戳。 |
| ActivityType | 字串 | 活動的高階類別。 |
| ActionType | 字串 | 活動的標準化名稱。 |
| UserName | 字串 | 起始活動之用戶的用戶名稱。 |
| UserPrincipalName | 字串 | 起始活動之使用者的完整用戶名稱。 |
| EventSource | 字串 | 提供原始事件的數據源。 |
| SourceIPAddress | 字串 | 起始活動的IP位址。 |
| SourceIPLocation | 字串 | 從起始活動的國家/地區,從IP位址擴充。 |
| SourceDevice | 字串 | 起始活動的裝置主機名。 |
| DestinationIPAddress | 字串 | 活動的目標的IP位址。 |
| DestinationIPLocation | 字串 | 活動目標的國家/地區,從IP位址擴充。 |
| DestinationDevice | 字串 | 目標裝置的名稱。 |
| UsersInsights | dynamic | 相關使用者的內容豐富(詳細資訊如下)。 |
| DevicesInsights | dynamic | 相關裝置的內容豐富(詳細資料如下)。 |
| ActivityInsights | dynamic | 基於我們的分析對活動進行上下文分析(詳情如下)。 |
| InvestigationPriority | int | 異常分數,介於0-10之間(0=良性,10=高度異常)。 此分數量化了與預期行為的偏差程度。 分數越高表示與基線的偏差越大,並且更有可能表示真正的異常。 較低的分數可能仍然是異常的,但不太可能是顯著或可操作的。 |
實體擴充動態欄位
UsersInsights 欄位
下表說明 BehaviorAnalytics 表格中 UsersInsights 動態欄位中所包含的擴充功能:
| 擴充名稱 | Description | 範例值 |
|---|---|---|
|
帳戶顯示名稱 (AccountDisplayName) |
用戶的帳戶顯示名稱。 | 管理員、海登·庫克 |
|
帳戶網域 (AccountDomain) |
用戶的帳戶功能變數名稱。 | |
|
帳戶物件標識碼 (AccountObjectID) |
用戶的帳戶物件標識碼。 | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
爆炸半徑 (BlastRadius) |
爆炸半徑是根據數個因素來計算:用戶在組織樹狀結構中的位置,以及使用者的Microsoft Entra 角色和許可權。 使用者必須在 Microsoft Entra ID 中填入 Manager 屬性,才能計算 BlastRadius 。 | 低、中、高 |
|
是休眠帳戶 (IsDormantAccount) |
該帳戶在過去 180 天內沒有使用過。 | 真、假 |
|
這是本機系統管理員 (IsLocalAdmin) |
帳戶具有本機系統管理員許可權。 | 真、假 |
|
是新的帳戶 (IsNewAccount) |
帳戶是在過去30天內建立的。 | 真、假 |
|
內部部署 SID (OnPremisesSID) |
與動作相關的用戶內部部署 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 欄位
下表說明 BehaviorAnalytics 表格中 DevicesInsights 動態欄位中的擴充功能:
| 擴充名稱 | Description | 範例值 |
|---|---|---|
|
Browser (Browser) |
動作中使用的瀏覽器。 | Microsoft Edge、Chrome 瀏覽器 |
|
裝置系列 (DeviceFamily) |
動作中使用的裝置系列。 | Windows |
|
裝置類型 (DeviceType) |
動作中使用的用戶端裝置類型 | Desktop |
|
ISP (ISP) |
動作中使用的因特網服務提供者。 | |
|
作業系統 (OperatingSystem) |
動作中使用的作業系統。 | 視窗10 |
|
威脅 Intel 指標描述 (ThreatIntelIndicatorDescription) |
從動作中使用的IP位址解析之觀察到的威脅指標描述。 | 主機是 Botnet 的成員:azorult |
|
威脅 Intel 指標類型 (ThreatIntelIndicatorType) |
從動作中使用的IP位址解析的威脅指標類型。 | Botnet、C2、CryptoMining、Darknet、Ddos、MalwareUrl、Malware、Phishing、Proxy、PUA、Watchlist |
|
使用者代理程式 (UserAgent) |
動作中使用的使用者代理程式。 | Microsoft Azure Graph 用戶端連結庫 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
使用者代理程式系列 (UserAgentFamily) |
動作中使用的使用者代理程式系列。 | Chrome、Microsoft Edge、Firefox 瀏覽器 |
ActivityInsights 欄位
下表說明 BehaviorAnalytics 表格中 ActivityInsights 動態欄位中所具有的擴充功能:
執行的動作
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次執行動作 (FirstTimeUserPerformedAction) |
180 | 使用者第一次執行動作。 | 真、假 |
|
使用者不常執行的動作 (ActionUncommonlyPerformedByUser) |
10 | 使用者通常不會執行動作。 | 真、假 |
|
在對等之間不常執行的動作 (ActionUncommonlyPerformedAmongPeers) |
180 | 此動作通常不會在使用者的對等之間執行。 | 真、假 |
|
第一次在租用戶中執行的動作 (FirstTimeActionPerformedInTenant) |
180 | 此動作是由組織中的任何人第一次執行。 | 真、假 |
|
租使用者中不常執行的動作 (ActionUncommonlyPerformedInTenant) |
180 | 該動作通常不會在組織中執行。 | 真、假 |
使用的應用程式
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次使用應用程式 (FirstTimeUserUsedApp) |
180 | 使用者第一次使用應用程式。 | 真、假 |
|
使用者不常使用的應用程式 (AppUncommonlyUsedByUser) |
10 | 使用者不常使用該應用程式。 | 真、假 |
|
在對等之間不常使用的應用程式 (AppUncommonlyUsedAmongPeers) |
180 | 該應用程序在用戶的同行中並不常用。 | 真、假 |
|
第一次在租用戶中觀察到的應用程式 (FirstTimeAppObservedInTenant) |
180 | 第一次在組織中觀察到應用程式。 | 真、假 |
|
租用戶中經常使用的應用程式 (AppUncommonlyUsedInTenant) |
180 | 該應用程式在組織中不常用。 | 真、假 |
使用的瀏覽器
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次透過瀏覽器連線 (FirstTimeUserConnectedViaBrowser) |
30 | 使用者第一次觀察到瀏覽器。 | 真、假 |
|
使用者不常使用的瀏覽器 (BrowserUncommonlyUsedByUser) |
10 | 使用者不常使用瀏覽器。 | 真、假 |
|
在對等之間不常使用瀏覽器 (BrowserUncommonlyUsedAmongPeers) |
30 | 瀏覽器在使用者的對等中並不常用。 | 真、假 |
|
第一次在租用戶中觀察到瀏覽器 (FirstTimeBrowserObservedInTenant) |
30 | 第一次在組織中觀察到瀏覽器。 | 真、假 |
|
租用戶中經常使用的瀏覽器 (BrowserUncommonlyUsedInTenant) |
30 | 瀏覽器在組織中並不常用。 | 真、假 |
從連線的國家/地區
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次從國家/地區連線 (FirstTimeUserConnectedFromCountry) |
90 | 從IP位址解析的地理位置第一次由用戶連線。 | 真、假 |
|
使用者不常從連線的國家/地區 (CountryUncommonlyConnectedFromByUser) |
10 | 從IP位址解析的地理位置通常不會由用戶連線。 | 真、假 |
|
國家/地區很少從同儕之間連線 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 從 IP 位址解析的地理位置通常不會從使用者的對等之間連線。 | 真、假 |
|
第一次從租用戶中觀察到的國家/地區連線 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 國家/地區第一次由組織中的任何人連線。 | 真、假 |
|
從租使用者中不常連線的國家/地區 (CountryUncommonlyConnectedFromInTenant) |
90 | 從 IP 位址解析的地理位置通常不會從組織中連線。 | 真、假 |
用來連線的裝置
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次從裝置連線 (FirstTimeUserConnectedFromDevice) |
30 | 使用者第一次從連線來源裝置。 | 真、假 |
|
使用者不常使用的裝置 (DeviceUncommonlyUsedByUser) |
10 | 使用者不常使用裝置。 | 真、假 |
|
在對等之間不常使用的裝置 (DeviceUncommonlyUsedAmongPeers) |
180 | 裝置在使用者的對等之間不常用。 | 真、假 |
|
第一次在租用戶中觀察到裝置 (FirstTimeDeviceObservedInTenant) |
30 | 裝置第一次在組織中觀察到。 | 真、假 |
|
租用戶中經常使用的裝置 (DeviceUncommonlyUsedInTenant) |
180 | 裝置在組織中不常用。 | 真、假 |
其他設備相關
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次登入裝置 (FirstTimeUserLoggedOnToDevice) |
180 | 使用者第一次連線到目的地裝置。 | 真、假 |
|
租用戶中經常使用的裝置系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 裝置系列在組織中不常用。 | 真、假 |
用來連線的因特網服務提供者
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
第一次透過 ISP 連線的使用者 (FirstTimeUserConnectedViaISP) |
30 | 使用者第一次觀察到 ISP。 | 真、假 |
|
使用者很少使用 ISP (ISPUncommonlyUsedByUser) |
10 | ISP 不是使用者常用的。 | 真、假 |
|
ISP 在對等之間很少使用 (ISPUncommonlyUsedAmongPeers) |
30 | ISP 在使用者的對等體中並不常用。 | 真、假 |
|
第一次透過租使用者中的 ISP 連線 (FirstTimeConnectionViaISPInTenant) |
30 | ISP 第一次在組織中觀察到。 | 真、假 |
|
在租使用者中很少使用 ISP (ISPUncommonlyUsedInTenant) |
30 | ISP 在組織中並不常用。 | 真、假 |
存取的資源
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
使用者第一次存取資源 (FirstTimeUserAccessedResource) |
180 | 使用者第一次存取資源。 | 真、假 |
|
使用者不常存取的資源 (ResourceUncommonlyAccessedByUser) |
10 | 使用者通常不會存取資源。 | 真、假 |
|
在對等之間不常存取的資源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 使用者對等之間通常不會存取資源。 | 真、假 |
|
第一次在租使用者中存取資源 (FirstTimeResourceAccessedInTenant) |
180 | 組織中的任何人第一次存取資源。 | 真、假 |
|
租用戶中經常存取的資源 (ResourceUncommonlyAccessedInTenant) |
180 | 組織中通常不會存取資源。 | 真、假 |
Miscellaneous
| 擴充名稱 | 基準線 (天) | Description | 範例值 |
|---|---|---|---|
|
上次使用者執行動作的時間 (LastTimeUserPerformedAction) |
180 | 使用者上次執行相同動作的時間。 | <時間戳> |
|
過去未執行類似的動作 (SimilarActionWasn'tPerformedInThePast) |
30 | 使用者未執行相同資源提供者中的動作。 | 真、假 |
|
來源IP位置 (SourceIPLocation) |
N/A | 從動作的來源IP解析的國家/地區。 | [英格蘭薩里] |
|
不常見的大量作業 (UncommonHighVolumeOfOperations) |
7 | 使用者在同一個提供者內執行了類似作業的高載 | 真、假 |
|
不尋常的Microsoft項目條件式存取失敗數目 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由於條件式存取而無法驗證不尋常的用戶數目 | 真、假 |
|
新增的異常裝置數目 (UnusualNumberOfDevicesAdded) |
5 | 使用者新增了不尋常的裝置數目。 | 真、假 |
|
刪除的異常裝置數目 (UnusualNumberOfDevicesDeleted) |
5 | 用戶刪除了不尋常的裝置數目。 | 真、假 |
|
新增至群組的不尋常用戶數目 (UnusualNumberOfUsersAddedToGroup) |
5 | 使用者已將不尋常的用戶數目新增至群組。 | 真、假 |
IdentityInfo 資料表
啟用 並設定 Microsoft Sentinel 工作區的 UEBA 之後,來自您Microsoft識別提供者的用戶數據會同步處理至 Log Analytics 中的 IdentityInfo 數據表,以用於 Microsoft Sentinel。
根據您在設定 UEBA 時選取的身分識別提供者,這些識別提供者是下列兩者之一:
- Microsoft Entra ID (雲端式)
- Microsoft Active Directory (內部部署,需要適用於身分識別的 Defender Microsoft)
您可以在分析規則、搜捕查詢和活頁簿中查詢 IdentityInfo 資料表,以增強分析以符合您的使用案例,並減少誤判。
雖然初始同步處理可能需要幾天的時間,但一旦數據完全同步處理:
每 14 天,Microsoft Sentinel 會與您的整個 Microsoft Entra ID (和內部部署 Active Directory,如果適用) 重新同步處理,以確保過時的記錄已完全更新。
除了這些一般完整同步處理之外,每當對 Microsoft Entra ID 中的使用者配置檔、群組和內建角色進行變更時,受影響的使用者記錄都會在 15-30 分鐘內重新擷取並更新 IdentityInfo 資料表。 此擷取是以一般費率計費。 例如:
已變更使用者屬性,例如顯示名稱、職稱或電子郵件位址。 此使用者的新記錄會擷取到 IdentityInfo 資料表中,並更新相關欄位。
群組 A 中有 100 位使用者。5 位使用者會新增至群組或從群組中移除。 在此情況下,會重新擷取這五個使用者記錄,並更新其 GroupMembership 欄位。
群組 A 中有 100 位使用者。 十個使用者會新增至群組 A。此外,群組 A1 和 A2 (每個群組有 10 個使用者) 會新增至群組 A。在此情況下,會重新擷取 30 個使用者記錄,並更新其 GroupMembership 欄位。 這是因為群組成員資格是可轉移的,因此群組的變更會影響其所有子群組。
群組 B (有 50 個使用者) 已重新命名為 Group BeGood。 在此情況下,會重新擷取 50 個使用者記錄,並更新其 GroupMembership 欄位。 如果該群組中有子群組,則所有成員記錄都會發生相同的動作。
IdentityInfo 資料表中的預設保留時間為 30 天。
Limitations
AssignedRoles 欄位僅支援內建角色。
GroupMembership 欄位支援列出每個使用者最多 500 個群組,包括子群組。 如果使用者是超過 500 個群組的成員,則只有前 500 個群組會與 IdentityInfo 資料表同步。 不過,群組不會以任何特定順序進行評估,因此在每次新的同步處理 (每 14 天一次) 時,可能會將一組不同的群組更新至使用者記錄。
刪除使用者時,不會立即從 IdentityInfo 資料表中刪除該使用者的記錄。 這是因為此數據表的其中一個用途是稽核用戶記錄的變更。 因此,我們希望此資料表具有刪除使用者的記錄,只有在 IdentityInfo 資料表中的使用者記錄仍然存在時,才會發生這種情況,即使實際使用者 (例如,在 Entra ID 中) 已刪除。
刪除的使用者可以藉由欄位中的值
deletedDateTime存在來識別。 因此,如果您需要查詢來顯示使用者清單,您可以藉由新增| where IsEmpty(deletedDateTime)至查詢來篩選掉已刪除的使用者。在刪除使用者之後的特定時間間隔內,使用者的記錄最終也會從 IdentityInfo 資料表中移除。
刪除群組時,或成員超過 100 人的群組名稱變更時,不會更新該群組的成員使用者記錄。 如果不同的變更導致其中一個用戶記錄更新,則會在該時間點包含更新的群組資訊。
IdentityInfo 數據表的其他版本
IdentityInfo 資料表有多個版本:
本文所討論的 Log Analytics 架構版本會在 Azure 入口網站中提供 Microsoft Sentinel。 啟用 UEBA 的客戶可以使用。
進階搜捕架構版本會透過適用於身分識別的 Microsoft Defender 提供 Microsoft Defender 入口網站。 它可供Microsoft Defender XDR 的客戶使用,無論是否Microsoft Sentinel,以及在Defender入口網站中自行Microsoft Sentinel的客戶。
UEBA 不需要啟用,才能存取此數據表。 不過,對於未啟用 UEBA 的客戶,UEBA 數據所填入的欄位不會顯示或可用。
如需詳細資訊,請參閱 此數據表的 進階搜捕 版本檔。
自 2025 年 5 月起,啟用 UEBA 的 Microsoft Defender 入口網站中Microsoft Sentinel 的客戶開始使用新版本的進階搜捕版本。 此新版本包含 Log Analytics 版本中的所有 UEBA 欄位,以及一些新欄位,稱為 統一版本 或 統一 IdentityInfo 資料表。
未啟用 UEBA 的 Defender 入口網站客戶,或完全沒有Microsoft Sentinel,繼續使用 舊版進 階搜捕 版本,而不需要 UEBA 產生的欄位。
如需統一版本的詳細資訊,請參閱進階搜捕檔中的 IdentityInfo。
Important
當你轉換到 Defender 入口網站時,該 IdentityInfo 資料表會變成原生的 Defender 資料表,不支援資料表層級的 RBAC(Role-Based 存取控制)。 如果您的組織使用 table-level RBAC 來限制 Azure 入口網站中對 IdentityInfo 該資料表的存取,當您轉換到 Defender 入口網站後,此存取控制將不再可用。
Schema
下列 [Log Analytics 架構] 索引標籤中的資料表描述 Azure 入口網站中 Log Analytics 中 IdentityInfo 資料表中包含的使用者身分識別資料。
如果您要將Microsoft Sentinel 上線至 Defender 入口網站,請選取 [與統一架構比較] 索引標籤,以檢視可能會影響威脅偵測規則和搜捕中查詢的變更。
| 欄位名稱 | 類型 | Description |
|---|---|---|
| AccountCloudSID | 字串 | 帳戶的 Microsoft Entra 安全性識別碼。 |
| AccountCreationTime | 日期時間 | 用戶帳戶建立的日期(UTC)。 |
| AccountDisplayName | 字串 | 用戶帳戶的顯示名稱。 |
| AccountDomain | 字串 | 用戶帳戶的功能變數名稱。 |
| AccountName | 字串 | 用戶帳戶的用戶名稱。 |
| AccountObjectId | 字串 | 用戶帳戶Microsoft Entra 對象標識碼。 |
| AccountSID | 字串 | 用戶帳戶的內部部署安全性標識碼。 |
| AccountTenantId | 字串 | 用戶帳戶Microsoft Entra 租用戶標識碼。 |
| AccountUPN | 字串 | 用戶帳戶的用戶主體名稱。 |
| AdditionalMailAddresses | dynamic | 使用者的其他電子郵件位址。 |
| AssignedRoles | dynamic | 用戶帳戶指派給Microsoft Entra 角色。 僅支援內建角色。 |
| BlastRadius | 字串 | 根據使用者在組織樹狀結構中的位置和使用者Microsoft Entra 角色和許可權的計算。 可能的值: 低、中、高 |
| ChangeSource | 字串 | 實體最新變更的來源。 可能的值: |
| City | 字串 | 用戶帳戶的城市。 |
| CompanyName | 字串 | 用戶所屬的公司名稱。 |
| Country | 字串 | 用戶帳戶的國家/地區。 |
| DeletedDateTime | 日期時間 | 刪除使用者的日期和時間。 |
| Department | 字串 | 用戶帳戶的部門。 |
| EmployeeId | 字串 | 由組織指派給使用者的員工標識碼。 |
| GivenName | 字串 | 用戶帳戶的指定名稱。 |
| GroupMembership | dynamic | Microsoft用戶帳戶為成員的 Entra 標識符群組。 |
| IsAccountEnabled | bool | 指出用戶帳戶是否在 Microsoft Entra ID 中啟用。 |
| JobTitle | 字串 | 用戶帳戶的職稱。 |
| MailAddress | 字串 | 用戶帳戶的主要電子郵件位址。 |
| Manager | 字串 | 用戶帳戶的管理員別名。 |
| OnPremisesDistinguishedName | 字串 | Microsoft Entra ID 辨別名稱 (DN)。 辨別名稱是一連串的相對辨別名稱(RDN),由逗號連接。 |
| Phone | 字串 | 用戶帳戶的電話號碼。 |
| RiskLevel | 字串 | 用戶帳戶Microsoft專案標識符風險層級。 可能的值: |
| RiskLevelDetails | 字串 | Microsoft Entra 標識符風險層級的詳細數據。 |
| RiskState | 字串 | 指出帳戶目前是否處於風險狀態,或是否已補救風險。 |
| SourceSystem | 字串 | 管理用戶的系統。 可能的值: |
| State | 字串 | 用戶帳戶的地理狀態。 |
| StreetAddress | 字串 | 用戶帳戶的辦公室街道位址。 |
| Surname | 字串 | 使用者的姓氏。 account. |
| TenantId | 字串 | 使用者的租用戶標識碼。 |
| TimeGenerated | 日期時間 | 產生事件的時間(UTC)。 |
| Type | 字串 | 資料表的名稱。 |
| UserAccountControl | dynamic | AD 網域中用戶帳戶的安全性屬性。 可能的值(可能包含多個值): |
| UserState | 字串 | Microsoft Entra ID 中用戶帳戶的目前狀態。 可能的值: |
| UserStateChangedOn | 日期時間 | 上次帳戶狀態變更的日期(UTC)。 |
| UserType | 字串 | 用戶類型。 |
在 Log Analytics 架構中存在下列欄位時,應該忽略,因為Microsoft Sentinel 不會使用或支援這些欄位:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
UEBA 與 Microsoft Sentinel 工作流程的整合
UEBA 洞察整合於 Microsoft Sentinel 中,以提升您的安全營運工作流程:
實體頁面與使用者調查
- 使用者面板異常:直接在使用者側面板及用戶頁面的總覽分頁中查看過去 30 天內最嚴重的三項使用者異常。 這在調查不同入口網站地點的用戶時,立即提供 UEBA 的上下文。 欲了解更多資訊,請參閱 「調查具有實體的實體頁面」。
狩獵與偵測增強
- Go Hunt 異常查詢:在調查使用者實體時,可直接從事件圖存取內建異常查詢,並根據 UEBA 結果即時進行情境搜尋。
- 異常表建議:在查詢合格資料來源時加入 UEBA 異常表,獲得智慧建議以提升搜尋查詢。
欲了解更多關於這些獵捕功能的資訊,請參閱 Microsoft Sentinel 中的威脅獵捕。
調查工作流程
- 強化調查圖表:在調查使用者實體事件時,直接從調查圖表存取 UEBA 異常查詢,以獲得即時行為上下文。
欲了解更多調查強化資訊,請參閱 「深入調查 Microsoft Sentinel 事件」。
強化 UEBA 整合的前提條件
要存取這些增強的 UEBA 功能:
- UEBA 必須在您的 Microsoft Sentinel 工作空間中啟用
- 你的工作空間必須接入 Microsoft Defender 入口網站(部分功能)
- 查看 UEBA 資料及執行搜尋查詢的適當權限
後續步驟
本文件說明 sentinel 實體行為分析數據表架構Microsoft。
- 深入瞭解 實體行為分析。
- 在 sentinel Microsoft 中啟用 UEBA。
- 將 UEBA 用於 您的調查。