Microsoft Sentinel UEBA-referencia
Ez a referenciacikk a Microsoft Sentinel User and Entity Behavior Analytics szolgáltatásának bemeneti adatforrását sorolja fel. Az UEBA által az entitásokhoz hozzáadott bővítéseket is ismerteti, amelyek a riasztások és incidensek szükséges kontextusát biztosítják.
Fontos
A Microsoft Sentinel általánosan elérhető a Microsoft egyesített biztonsági üzemeltetési platformján a Microsoft Defender portálon. Előzetes verzióként a Microsoft Sentinel elérhető a Defender portálon Microsoft Defender XDR vagy E5 licenc nélkül. További információ: Microsoft Sentinel a Microsoft Defender portálon.
UEBA-adatforrások
Ezek azok az adatforrások, amelyekből az UEBA-motor adatokat gyűjt és elemez az ML-modellek betanítása és a felhasználók, eszközök és egyéb entitások viselkedési alapkonfigurációinak beállítása érdekében. Az UEBA ezután ezekből a forrásokból származó adatokat vizsgálja meg, hogy megtalálja az anomáliákat és a glean elemzéseket.
Adatforrás | esemény |
---|---|
Microsoft Entra ID Bejelentkezési naplók |
Mind |
Microsoft Entra ID Naplók |
ApplicationManagement DirectoryManagement GroupManagement Eszköz RoleManagement UserManagementCategory |
Azure-tevékenységnaplók | Engedélyezés AzureActiveDirectory Számlázás Compute Használat KeyVault Eszközök Network (Hálózat) Források Intune Logika Sql Tárolás |
Windows biztonság események WindowsEvent vagy SecurityEvent |
4624: Sikeresen bejelentkezett egy fiók 4625: Egy fiók nem tudott bejelentkezni 4648: Explicit hitelesítő adatokkal kísérelték meg a bejelentkezést 4672: Az új bejelentkezéshez rendelt különleges jogosultságok 4688: Új folyamat jött létre |
UEBA-bővítések
Ez a szakasz ismerteti a Microsoft Sentinel-entitásokhoz hozzáadott UEBA-bővítéseket, valamint azok részleteit, amelyekkel a biztonsági incidensek kivizsgálásait összpontosíthatja és élesítheti. Ezek a bővítések entitásoldalakon jelennek meg, és az alábbi Log Analytics-táblákban találhatók, amelyek tartalma és sémája az alábbiakban látható:
A BehaviorAnalytics tábla tárolja az UEBA kimeneti adatait.
A BehaviorAnalytics tábla alábbi három dinamikus mezőjét az entitásbővítések dinamikus mezőinek alábbi szakasza ismerteti.
A UsersInsights és a DevicesInsights mezők az Active Directory/Microsoft Entra ID és a Microsoft Threat Intelligence forrásaiból származó entitásadatokat tartalmazzák.
Az ActivityInsights mező a Microsoft Sentinel entitás-viselkedéselemzése által létrehozott viselkedési profilok alapján tartalmaz entitásadatokat.
A felhasználói tevékenységeket a rendszer minden használatkor dinamikusan összeállított alapkonfiguráció alapján elemzi. Minden tevékenységnek van egy meghatározott visszatekintési időszaka, amelyből a dinamikus alapkonfiguráció származik. A visszatekintési időszak a tábla Alapterv oszlopában van megadva.
Az IdentityInfo tábla tárolja az identitásadatokat az UEBA-ra szinkronizálva a Microsoft Entra-azonosítóból (és a Microsoft Defender for Identity-en keresztüli helyi Active Directory).
BehaviorAnalytics tábla
Az alábbi táblázat a Microsoft Sentinel minden entitásadatlapján megjelenített viselkedéselemzési adatokat ismerteti.
Mező | Típus | Leírás |
---|---|---|
TenantId | húr | A bérlő egyedi azonosítószáma. |
SourceRecordId | húr | Az EBA-esemény egyedi azonosítószáma. |
TimeGenerated | dátum/idő | A tevékenység előfordulásának időbélyege. |
TimeProcessed | dátum/idő | A tevékenység EBA-motor általi feldolgozásának időbélyege. |
ActivityType | húr | A tevékenység magas szintű kategóriája. |
ActionType | húr | A tevékenység normalizált neve. |
UserName | húr | A tevékenységet kezdeményező felhasználó felhasználóneve. |
UserPrincipalName | húr | A tevékenységet kezdeményező felhasználó teljes felhasználóneve. |
EventSource | húr | Az eredeti eseményt biztosító adatforrás. |
SourceIPAddress | húr | Az IP-cím, amelyről a tevékenység elindult. |
SourceIPLocation | húr | Az az ország/régió, amelyből a tevékenységet kezdeményezték, IP-címmel bővítve. |
SourceDevice | húr | A tevékenységet kezdeményező eszköz állomásneve. |
DestinationIPAddress | húr | A tevékenység céljának IP-címe. |
DestinationIPLocation | húr | A tevékenység céljának országa/régiója, IP-címmel kiegészítve. |
DestinationDevice | húr | A céleszköz neve. |
UsersInsights | dinamikus | Az érintett felhasználók környezetfüggő bővítése (részletek alább). |
DevicesInsights | dinamikus | Az érintett eszközök környezetfüggő bővítése (részletek alább). |
ActivityInsights | dinamikus | A tevékenység környezeti elemzése a profilkészítés alapján (részletek alább). |
InvestigationPriority | egész | Az anomália pontszáma 0 és 10 között (0=jóindulatú, 10=erősen rendellenes). |
Entitások dinamikus mezőinek bővítése
Feljegyzés
Az ebben a szakaszban található táblázatokBan a Bővítés név oszlopa két információsort jelenít meg.
UsersInsights mező
Az alábbi táblázat a BehaviorAnalytics tábla UsersInsights dinamikus mezőjében szereplő bővítéseket ismerteti:
Bővítés neve | Leírás | Mintaérték |
---|---|---|
Fiók megjelenítendő neve (AccountDisplayName) |
A felhasználó fiókmegjelenítési neve. | Rendszergazda, Hayden Cook |
Fióktartomány (AccountDomain) |
A felhasználó fióktartományneve. | |
Fiókobjektum azonosítója (AccountObjectID) |
A felhasználó fiókobjektum-azonosítója. | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
Robbanási sugár (BlastRadius) |
A robbanási sugár kiszámítása több tényező alapján történik: a felhasználó elhelyezkedése a szervezeti fában, valamint a felhasználó Microsoft Entra-szerepkörei és engedélyei. A felhasználónak a BlastRadiushoz tartozó Microsoft Entra-azonosítóban kell kitöltenie a Manager tulajdonságot. | Alacsony, Közepes, Magas |
Alvó fiók (IsDormantAccount) |
A fiókot az elmúlt 180 napban nem használták. | Igaz, Hamis |
Helyi rendszergazda (IsLocalAdmin) |
A fiók helyi rendszergazdai jogosultságokkal rendelkezik. | Igaz, Hamis |
Új fiók (IsNewAccount) |
A fiók az elmúlt 30 napban jött létre. | Igaz, Hamis |
Helyszíni SID (OnPremisesSID) |
A művelethez kapcsolódó felhasználó helyszíni BIZTONSÁGI azonosítója. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights mező
Az alábbi táblázat a BehaviorAnalytics tábla DevicesInsights dinamikus mezőjében szereplő bővítéseket ismerteti:
Bővítés neve | Leírás | Mintaérték |
---|---|---|
Böngésző (Böngésző) |
A műveletben használt böngésző. | Edge, Chrome |
Eszközcsalád (DeviceFamily) |
A műveletben használt eszközcsalád. | Windows |
Eszköz típusa (DeviceType) |
A műveletben használt ügyféleszköz típusa | Asztali |
Internetszolgáltató (INTERNETSZOLGÁLTATÓ) |
A műveletben használt internetszolgáltató. | |
Operációs rendszer (OperatingSystem) |
A műveletben használt operációs rendszer. | Windows 10 |
Fenyegetés intel jelző leírása (ThreatIntelIndicatorDescription) |
A műveletben használt IP-címről feloldott megfigyelt fenyegetésjelző leírása. | A gazdagép a botnet tagja: azorult |
Fenyegetés intel jelző típusa (ThreatIntelIndicatorType) |
A műveletben használt IP-címről feloldott fenyegetésjelző típusa. | Botnet, C2, CryptoMining, Darknet, Ddos, MalwareUrl, Malware, Phishing, Proxy, PUA, Watchlist |
Felhasználói ügynök (UserAgent) |
A műveletben használt felhasználói ügynök. | Microsoft Azure Graph Ügyfélkódtár 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
Felhasználói ügynök család (UserAgentFamily) |
A műveletben használt felhasználói ügynökcsalád. | Chrome, Edge, Firefox |
ActivityInsights mező
Az alábbi táblázatok a BehaviorAnalytics tábla ActivityInsights dinamikus mezőjében szereplő bővítéseket ismertetik:
Végrehajtott művelet
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
A felhasználó első műveletének végrehajtása (FirstTimeUserPerformedAction) |
180 | A műveletet a felhasználó először hajtotta végre. | Igaz, Hamis |
A felhasználó által ritkán végrehajtott művelet (ActionUncommonlyPerformedByUser) |
10 | A műveletet a felhasználó gyakran nem hajtja végre. | Igaz, Hamis |
A társviszonyban nem gyakran végrehajtott művelet (ActionUncommonlyPerformedAmongPeers) |
180 | A műveletet gyakran nem hajtják végre a felhasználók társviszonyai között. | Igaz, Hamis |
Első alkalommal végrehajtott művelet a bérlőben (FirstTimeActionPerformedInTenant) |
180 | A műveletet a szervezet bármely tagja először hajtotta végre. | Igaz, Hamis |
A bérlőben ritkán végrehajtott művelet (ActionUncommonlyPerformedInTenant) |
180 | A műveletet gyakran nem hajtják végre a szervezetben. | Igaz, Hamis |
Használt alkalmazás
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal használt alkalmazás (FirstTimeUserUsedApp) |
180 | A felhasználó először használta az alkalmazást. | Igaz, Hamis |
A felhasználó által gyakran használt alkalmazás (AppUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az alkalmazást. | Igaz, Hamis |
A társviszonyban nem gyakran használt alkalmazás (AppUncommonlyUsedAmongPeers) |
180 | Az alkalmazást gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
Első alkalommal figyelték meg az alkalmazást a bérlőben (FirstTimeAppObservedInTenant) |
180 | Az alkalmazást először figyelték meg a szervezetben. | Igaz, Hamis |
A bérlőben gyakran használt alkalmazás (AppUncommonlyUsedInTenant) |
180 | Az alkalmazást gyakran nem használják a szervezetben. | Igaz, Hamis |
Használt böngésző
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal, amikor a felhasználó böngészőn keresztül csatlakozik (FirstTimeUserConnectedViaBrowser) |
30 | A böngészőt a felhasználó először figyelte meg. | Igaz, Hamis |
A felhasználó által gyakran használt böngésző (BrowserUncommonlyUsedByUser) |
10 | A böngészőt általában nem használja a felhasználó. | Igaz, Hamis |
A társviszonyban nem gyakran használt böngésző (BrowserUncommonlyUsedAmongPeers) |
30 | A böngészőt gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
Első alkalommal megfigyelt böngésző a bérlőben (FirstTimeBrowserObservedInTenant) |
30 | A böngészőt először figyelték meg a szervezetben. | Igaz, Hamis |
A bérlőben gyakran használt böngésző (BrowserUncommonlyUsedInTenant) |
30 | A böngészőt gyakran nem használják a szervezetben. | Igaz, Hamis |
Ország/régió összekapcsolva innen:
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal csatlakozik a felhasználó az országból (FirstTimeUserConnectedFromCountry) |
90 | Az IP-cím alapján feloldott földrajzi helyet a felhasználó első alkalommal kapcsolta össze. | Igaz, Hamis |
A felhasználó által nem gyakran csatlakoztatott ország (CountryUncommonlyConnectedFromByUser) |
10 | Az IP-cím alapján feloldott földrajzi helyet a felhasználó általában nem csatlakoztatja. | Igaz, Hamis |
Nem ritkán a társviszonyban álló országok (CountryUncommonlyConnectedFromAmongPeers) |
90 | Az IP-cím alapján feloldott földrajzi hely általában nem kapcsolódik a felhasználó társviszonyaihoz. | Igaz, Hamis |
Első alkalommal észlelt országkapcsolat a bérlőben (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Az országot/régiót a szervezet bármely tagja első alkalommal kapcsolta össze. | Igaz, Hamis |
Az ország nem gyakran csatlakozik a bérlőhöz (CountryUncommonlyConnectedFromInTenant) |
90 | Az IP-cím alapján feloldott földrajzi hely általában nem kapcsolódik a szervezethez. | Igaz, Hamis |
Csatlakozáshoz használt eszköz
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal csatlakozik a felhasználó az eszközről (FirstTimeUserConnectedFromDevice) |
30 | A forráseszközt először a felhasználó csatlakoztatta. | Igaz, Hamis |
A felhasználó által gyakran használt eszköz (DeviceUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az eszközt. | Igaz, Hamis |
A társviszonyban nem gyakran használt eszköz (DeviceUncommonlyUsedAmongPeers) |
180 | Az eszközt gyakran nem használják a felhasználók társviszonyai között. | Igaz, Hamis |
Első alkalommal figyelték meg az eszközt a bérlőben (FirstTimeDeviceObservedInTenant) |
30 | Az eszközt először figyelték meg a szervezetben. | Igaz, Hamis |
A bérlőben gyakran használt eszköz (DeviceUncommonlyUsedInTenant) |
180 | Az eszközt gyakran nem használják a szervezetben. | Igaz, Hamis |
Egyéb eszközhöz kapcsolódó
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal bejelentkezett felhasználó az eszközre (FirstTimeUserLoggedOnToDevice) |
180 | A céleszközt a felhasználó először csatlakoztatta. | Igaz, Hamis |
A bérlőben gyakran használt eszközcsalád (DeviceFamilyUncommonlyUsedInTenant) |
30 | Az eszközcsaládot gyakran nem használják a szervezetben. | Igaz, Hamis |
Csatlakozáshoz használt internetszolgáltató
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal csatlakozik a felhasználó az internetszolgáltatón keresztül (FirstTimeUserConnectedViaISP) |
30 | A felhasználó először figyelte meg az internetszolgáltatót. | Igaz, Hamis |
A felhasználó által gyakran használt internetszolgáltató (ISPUncommonlyUsedByUser) |
10 | A felhasználó gyakran nem használja az internetszolgáltatót. | Igaz, Hamis |
A társviszonyban nem gyakran használt internetszolgáltató (ISPUncommonlyUsedAmongPeers) |
30 | Az internetszolgáltatót gyakran nem használják a felhasználói társviszonyok között. | Igaz, Hamis |
Első kapcsolat internetszolgáltatón keresztül a bérlőben (FirstTimeConnectionViaISPInTenant) |
30 | Az internetszolgáltatót először figyelték meg a szervezetben. | Igaz, Hamis |
A bérlőben gyakran használt internetszolgáltató (ISPUncommonlyUsedInTenant) |
30 | Az internetszolgáltatót gyakran nem használják a szervezetben. | Igaz, Hamis |
Elért erőforrás
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
Első alkalommal, amikor a felhasználó hozzáfért az erőforráshoz (FirstTimeUserAccessedResource) |
180 | A felhasználó először fért hozzá az erőforráshoz. | Igaz, Hamis |
A felhasználó által nem gyakran elért erőforrás (ResourceUncommonlyAccessedByUser) |
10 | Az erőforrást gyakran nem éri el a felhasználó. | Igaz, Hamis |
A társviszonyban nem gyakran elérhető erőforrás (ResourceUncommonlyAccessedAmongPeers) |
180 | Az erőforrás gyakran nem érhető el a felhasználói társviszonyok között. | Igaz, Hamis |
Első alkalommal elért erőforrás a bérlőben (FirstTimeResourceAccessedInTenant) |
180 | Az erőforráshoz először a szervezet bármely tagja fért hozzá. | Igaz, Hamis |
Az erőforrás nem gyakran érhető el a bérlőben (ResourceUncommonlyAccessedInTenant) |
180 | Az erőforrás gyakran nem érhető el a szervezetben. | Igaz, Hamis |
Egyéb
Bővítés neve | Alapterv (nap) | Leírás | Mintaérték |
---|---|---|---|
A felhasználó legutóbbi műveletének időpontja (LastTimeUserPerformedAction) |
180 | Legutóbb, amikor a felhasználó ugyanezt a műveletet hajtotta végre. | <Időbélyeg> |
Hasonló műveletet korábban nem hajtottak végre (SimilarActionWasn'tPerformedInThePast) |
30 | A felhasználó nem hajtott végre műveletet ugyanabban az erőforrás-szolgáltatóban. | Igaz, Hamis |
Forrás IP-címe (SourceIPLocation) |
N/A | A művelet forrás IP-címéről feloldott ország/régió. | [Surrey, Anglia] |
Nem gyakori nagy mennyiségű művelet (Nem gyakorihighVolumeOfOperations) |
7 | Egy felhasználó hasonló műveleteket hajtott végre ugyanazon a szolgáltatón belül | Igaz, Hamis |
A Microsoft Entra feltételes hozzáférési hibáinak szokatlan száma (UnusualNumberOfAADConditionalAccessFailures) |
5 | Szokatlan számú felhasználó nem tudott hitelesítést végezni a feltételes hozzáférés miatt | Igaz, Hamis |
Szokatlan számú eszköz hozzáadva (UnusualNumberOfDevicesAdded) |
5 | A felhasználó szokatlan számú eszközt adott hozzá. | Igaz, Hamis |
Szokatlan számú törölt eszköz (UnusualNumberOfDevicesDeleted) |
5 | A felhasználó szokatlan számú eszközt törölt. | Igaz, Hamis |
Szokatlan számú felhasználó van hozzáadva a csoporthoz (UnusualNumberOfUsersAddedToGroup) |
5 | Egy felhasználó szokatlan számú felhasználót adott hozzá egy csoporthoz. | Igaz, Hamis |
IdentityInfo tábla
Miután engedélyezte az UEBA-t a Microsoft Sentinel-munkaterületen, a Microsoft Entra-azonosító adatai szinkronizálódnak a Log Analytics IdentityInfo táblájával a Microsoft Sentinelben való használatra. A Microsoft Entra-azonosítóból szinkronizált felhasználói adatokat beágyazhatja az elemzési szabályokba, hogy az elemzések a használati eseteknek megfelelően javuljanak, és csökkenjenek a hamis pozitív értékek.
Bár a kezdeti szinkronizálás eltarthat néhány napig, az adatok teljes szinkronizálása után:
A Microsoft Entra ID felhasználói profiljainak, csoportjainak és szerepköreinek módosításai 15–30 percen belül frissülnek az IdentityInfo táblában.
A Microsoft Sentinel 14 naponta újra szinkronizálódik a teljes Microsoft Entra-azonosítóval, hogy az elavult rekordok teljes mértékben frissüljenek.
Az IdentityInfo tábla alapértelmezett megőrzési ideje 30 nap.
Korlátozások
Jelenleg csak a beépített szerepkörök támogatottak.
A törölt csoportok adatai, ahol egy felhasználót eltávolítottak egy csoportból, jelenleg nem támogatottak.
Az IdentityInfo tábla verziói
Az IdentityInfo tábla két verziója létezik:
- A Log Analytics sémaverziója a Microsoft Sentinelt szolgálja ki az Azure Portalon.
- A Speciális vadászati séma verziója a Microsoft Sentinelt szolgálja ki a Microsoft Defender portálon a Microsoft Defender for Identityen keresztül.
A tábla mindkét verzióját a Microsoft Entra ID táplálja, de a Log Analytics-verzió hozzáadott néhány mezőt.
A Microsoft Sentinel a Microsoft Defender portálon a tábla Speciális keresési verzióját használja. A tábla két verziója közötti különbségek minimalizálása érdekében a Log Analytics-verzió legtöbb egyedi mezője fokozatosan hozzáadódik a Speciális keresési verzióhoz is. Függetlenül attól, hogy melyik portálon használja a Microsoft Sentinelt, szinte minden információhoz hozzáférése lesz, bár előfordulhat, hogy a verziók közötti szinkronizálás kis idő késéssel jár. További információkért tekintse meg a tábla speciális vadászati verziójának dokumentációját.
Az alábbi táblázat az Azure Portal Log Analytics identityInfo táblájában szereplő felhasználói identitásadatokat ismerteti. A negyedik oszlop a tábla Speciális keresési verziójának megfelelő mezőket jeleníti meg, amelyeket a Microsoft Sentinel a Defender portálon használ. A félkövér betűs mezők neve a Speciális keresési sémában más, mint a Microsoft Sentinel Log Analytics-verzióban.
Mezőnév a következőben: Log Analytics-séma |
Típus | Leírás | Mezőnév a következőben: Speciális vadászati séma |
---|---|---|---|
AccountCloudSID | húr | A fiók Microsoft Entra biztonsági azonosítója. | CloudSid |
AccountCreationTime | dátum/idő | A felhasználói fiók létrehozásának dátuma (UTC). | CreatedDateTime |
AccountDisplayName | húr | A felhasználói fiók megjelenítendő neve. | AccountDisplayName |
AccountDomain | húr | A felhasználói fiók tartományneve. | AccountDomain |
AccountName | húr | A felhasználói fiók felhasználóneve. | AccountName |
AccountObjectId | húr | A felhasználói fiók Microsoft Entra objektumazonosítója. | AccountObjectId |
AccountSID | húr | A felhasználói fiók helyszíni biztonsági azonosítója. | AccountSID |
AccountTenantId | húr | A felhasználói fiók Microsoft Entra-bérlőazonosítója. | -- |
AccountUPN | húr | A felhasználói fiók egyszerű neve. | AccountUPN |
AdditionalMailAddresses | dinamikus | A felhasználó további e-mail-címei. | -- |
AssignedRoles | dinamikus | Az a Microsoft Entra szerepkör, amelyhez a felhasználói fiók hozzá van rendelve. | AssignedRoles |
BlastRadius | húr | Számítás a felhasználó szervezeti fában elfoglalt helye, valamint a felhasználó Microsoft Entra-szerepkörei és engedélyei alapján. Lehetséges értékek: Alacsony, Közepes, Magas |
-- |
ChangeSource | húr | Az entitás legutóbbi módosításának forrása. Lehetséges értékek: |
ChangeSource |
Cégnév | A vállalat neve, amelyhez a felhasználó tartozik. | -- | |
Város | húr | A felhasználói fiók városa. | Város |
Country | húr | A felhasználói fiók országa/régiója. | Ország |
DeletedDateTime | dátum/idő | A felhasználó törlésének dátuma és időpontja. | -- |
Osztály | húr | A felhasználói fiók részlege. | Részleg |
GivenName | húr | A felhasználói fiók utóneve. | GivenName |
Csoporttagság | dinamikus | Microsoft Entra-csoportok, ahol a felhasználói fiók tag. | -- |
IsAccountEnabled | logikai | Annak jelzése, hogy a felhasználói fiók engedélyezve van-e a Microsoft Entra-azonosítóban. | IsAccountEnabled |
JobTitle | húr | A felhasználói fiók beosztása. | Munkakör |
MailAddress | húr | A felhasználói fiók elsődleges e-mail-címe. | E-mailcím |
Menedzser | húr | A felhasználói fiók kezelői aliasa. | Kezelő |
OnPremisesDistinguishedName | húr | A Microsoft Entra ID megkülönböztető neve (DN). A megkülönböztető név a relatív megkülönböztető nevek (RDN) sorozata, amelyet vesszők kapcsolnak össze. | DistinguishedName |
Telefon | húr | A felhasználói fiók telefonszáma. | Telefonszám |
SourceSystem | húr | Az a rendszer, amelyben a felhasználót kezelik. Lehetséges értékek: |
SourceProvider |
State | húr | A felhasználói fiók földrajzi állapota. | Állapot |
StreetAddress | húr | A felhasználói fiók irodai címe. | Cím |
Vezetéknév | húr | A felhasználó vezetékneve. fiókot. | Vezetéknév |
TenantId | húr | A felhasználó bérlőazonosítója. | -- |
TimeGenerated | dátum/idő | Az esemény létrehozásának időpontja (UTC). | Időbélyeg |
Típus | húr | A tábla neve. | -- |
UserAccountControl | dinamikus | Az AD-tartományban lévő felhasználói fiók biztonsági attribútumai. Lehetséges értékek (egynél több is lehet): |
-- |
UserState | húr | A felhasználói fiók aktuális állapota a Microsoft Entra-azonosítóban. Lehetséges értékek: |
-- |
UserStateChangedOn | dátum/idő | A fiók állapotának legutóbbi módosításának dátuma (UTC). | -- |
UserType | húr | A felhasználó típusa. | -- |
Következő lépések
Ez a dokumentum a Microsoft Sentinel entitás viselkedéselemzési táblázatsémát ismertette.
- További információ az entitás viselkedéselemzéséről.
- Engedélyezze az UEBA-t a Microsoft Sentinelben.
- Használja az UEBA-t a vizsgálatokhoz.