Microsoft Sentinel UEBA リファレンス
このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。
重要
Microsoft Sentinel が、Microsoft Defender ポータルの Microsoft 統合セキュリティ オペレーション プラットフォーム内で一般提供されました。 詳しくは、「Microsoft Defender ポータルの Microsoft Sentinel」を参照してください。
UEBA データ ソース
これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。
| データ ソース | イベント |
|---|---|
| Microsoft Entra ID サインイン ログ |
すべて |
| Microsoft Entra ID 監査ログ |
ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| Azure のアクティビティ ログ | 承認 AzureActiveDirectory 課金 Compute 従量課金 KeyVault デバイス ネットワーク リソース Intune ロジック Sql ストレージ |
| Windows セキュリティ イベント WindowsEvent または SecurityEvent |
4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに特権が割り当てられました 4688: 新しいプロセスが作成されました |
UEBA エンリッチメント
このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 これらのエンリッチメントはエンティティ ページに表示され、次の Log Analytics テーブルで確認できます。内容とスキーマは次のとおりです。
BehaviorAnalytics テーブルには、UEBA の出力情報が格納されます。
BehaviorAnalytics テーブルに含まれる以下の 3 つの動的フィールドについて、次の「エンティティ エンリッチメント動的フィールド」のセクションで説明します。
UsersInsights および DevicesInsights フィールドには、Active Directory または Microsoft Entra ID および Microsoft 脅威インテリジェンス ソースのエンティティ情報が格納されます。
ActivityInsights フィールドには、Microsoft Sentinel のエンティティ行動分析によって作成される行動プロファイルに基づくエンティティ情報が格納されます。
ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、この動的なベースラインの派生元であるルックバック期間が定義されています。 このルックバック期間は、この表の「ベースライン」列で指定されています。
IdentityInfo テーブルには、Microsoft Entra ID から (および Microsoft Defender for Identity 経由でオンプレミスの Active Directory から) UEBA に同期された ID 情報が格納されます。
BehaviorAnalytics テーブル
次の表に、Microsoft Sentinel の各エンティティの詳細ページに表示される行動分析データを示します。
| フィールド | タイプ | 説明 |
|---|---|---|
| TenantId | string | テナントの一意の ID 番号。 |
| SourceRecordId | string | EBA イベントの一意の ID 番号。 |
| TimeGenerated | DATETIME | アクティビティの発生のタイムスタンプ。 |
| TimeProcessed | DATETIME | EBA エンジンによるアクティビティの処理のタイムスタンプ。 |
| ActivityType | string | アクティビティの高レベルのカテゴリ。 |
| ActionType | string | アクティビティの標準化名。 |
| UserName | string | アクティビティを開始したユーザーのユーザー名。 |
| UserPrincipalName | string | アクティビティを開始したユーザーの完全なユーザー名。 |
| EventSource | string | 元のイベントを提供したデータ ソース。 |
| SourceIPAddress | string | アクティビティが開始された元の IP アドレス。 |
| SourceIPLocation | string | アクティビティが開始された元の国 (IP アドレスからエンリッチ処理済み)。 |
| SourceDevice | string | アクティビティを開始したデバイスのホスト名。 |
| DestinationIPAddress | string | アクティビティのターゲットの IP アドレス。 |
| DestinationIPLocation | string | アクティビティのターゲットの国 (IP アドレスからエンリッチ処理済み)。 |
| DestinationDevice | string | ターゲット デバイスの名前。 |
| UsersInsights | 動的 | 関連するユーザーのコンテキスト エンリッチメント (詳細は後述)。 |
| DevicesInsights | 動的 | 関連するデバイスのコンテキスト エンリッチメント (詳細は後述)。 |
| ActivityInsights | 動的 | プロファイリングに基づくアクティビティのコンテキスト分析 (詳細は後述)。 |
| InvestigationPriority | INT | 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。 |
エンティティ エンリッチメントの動的フィールド
注意
このセクションのテーブルのエンリッチメント名列には、2 行の情報が表示されます。
- 1 行目には、エンリッチメントの "フレンドリ名" が太字で示されています。
- " (斜体とかっこ) " で示された 2 行目は、「行動分析テーブル」に格納されるエンリッチメントのフィールド名です。
UsersInsights フィールド
次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドで使用されるエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | 値の例 |
|---|---|---|
| Account display name (アカウントの表示名) (AccountDisplayName) |
ユーザーのアカウント表示名。 | Admin、Hayden Cook |
| アカウントのドメイン (AccountDomain) |
ユーザーのアカウント ドメイン名。 | |
| Account object ID (アカウント オブジェクト ID) (AccountObjectID) |
ユーザーのアカウント オブジェクト ID。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| 爆発半径 (BlastRadius) |
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 BlastRadius を計算するには、Microsoft Entra ID で Manager プロパティが設定されている必要があります。 | 低、中、高 |
| Is dormant account (非アクティブ アカウント) (IsDormantAccount) |
アカウントは過去 180 日間使用されていません。 | True、False |
| Is local admin (ローカル管理者) (IsLocalAdmin) |
アカウントにはローカル管理者特権があります。 | True、False |
| Is new account (新しいアカウント) (IsNewAccount) |
アカウントは過去 30 日以内に作成されました。 | True、False |
| On premises SID (オンプレミス SID) (OnPremisesSID) |
アクションに関連するユーザーのオンプレミスの SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights フィールド
次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで使用されるエンリッチメントについて説明します。
| エンリッチメント名 | 説明 | 値の例 |
|---|---|---|
| ブラウザー (Browser) |
アクションで使用されたブラウザー。 | Microsoft Edge、Chrome |
| デバイス ファミリ (DeviceFamily) |
アクションで使用されたデバイス ファミリ。 | Windows |
| Device type (デバイスの種類) (DeviceType) |
アクションで使用されたクライアント デバイスの種類 | デスクトップ |
| ISP (ISP) |
アクションで使用されたインターネット サービス プロバイダー。 | |
| オペレーティング システム (OperatingSystem) |
アクションで使用されたオペレーティング システム。 | Windows 10 |
| Threat intel indicator description (脅威インテリジェンス インジケーターの説明) (ThreatIntelIndicatorDescription) |
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 | Host is member of botnet: azorult (ホストはボットネット azorult のメンバーである) |
| Threat intel indicator type (脅威インテリジェンス インジケーターの種類) (ThreatIntelIndicatorType) |
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 | Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist |
| User agent (UserAgent) |
アクションで使用されたユーザー エージェント。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp、 EvoSTS |
| User agent family (ユーザー エージェント ファミリ) (UserAgentFamily) |
アクションで使用されたユーザー エージェント ファミリ。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights フィールド
次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで使用されるエンリッチメントについて説明します。
実行されたアクション
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user performed action (ユーザーによる初めてのアクションの実行) (FirstTimeUserPerformedAction) |
180 | そのユーザーはそのアクションを初めて実行しました。 | True、False |
| Action uncommonly performed by user (ユーザーによってあまり実行されないアクション) (ActionUncommonlyPerformedByUser) |
10 | そのユーザーはそのアクションをあまり実行しません。 | True、False |
| Action uncommonly performed among peers (同僚によってあまり実行されないアクション) (ActionUncommonlyPerformedAmongPeers) |
180 | ユーザーの同僚はそのアクションをあまり実行しません。 | True、False |
| First time action performed in tenant (テナントでの初めてのアクションの実行) (FirstTimeActionPerformedInTenant) |
180 | 組織内の誰かが、そのアクションを初めて実行しました。 | True、False |
| Action uncommonly performed in tenant (テナントであまり実行されないアクション) (ActionUncommonlyPerformedInTenant) |
180 | その組織ではそのアクションをあまり実行しません。 | True、False |
使用されたアプリ
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user used app (ユーザーによる初めてのアプリの使用) (FirstTimeUserUsedApp) |
180 | そのユーザーはそのアプリを初めて使用しました。 | True、False |
| App uncommonly used by user (ユーザーによってあまり使用されないアプリ) (AppUncommonlyUsedByUser) |
10 | そのユーザーはそのアプリをあまり使用しません。 | True、False |
| App uncommonly used among peers (同僚によってあまり使用されないアプリ) (AppUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのアプリをあまり使用しません。 | True、False |
| First time app observed in tenant (テナントでのアプリの初めての観察) (FirstTimeAppObservedInTenant) |
180 | そのアプリは、その組織で初めて観察されました。 | True、False |
| App uncommonly used in tenant (テナントであまり使用されないアプリ) (AppUncommonlyUsedInTenant) |
180 | そのアプリはその組織ではあまり使用されません。 | True、False |
使用されたブラウザー
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user connected via browser (ユーザーによるブラウザーでの初めての接続) (FirstTimeUserConnectedViaBrowser) |
30 | そのユーザーによるそのブラウザーの使用が初めて観察されました。 | True、False |
| Browser uncommonly used by user (ユーザーによってあまり使用されないブラウザー) (BrowserUncommonlyUsedByUser) |
10 | そのユーザーはそのブラウザーをあまり使用しません。 | True、False |
| Browser uncommonly used among peers (同僚によってあまり使用されないブラウザー) (BrowserUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はそのブラウザーをあまり使用しません。 | True、False |
| First time browser observed in tenant (テナントでのブラウザーの初めての観察) (FirstTimeBrowserObservedInTenant) |
30 | そのブラウザーは、その組織で初めて観察されました。 | True、False |
| Browser uncommonly used in tenant (テナントであまり使用されないブラウザー) (BrowserUncommonlyUsedInTenant) |
30 | そのブラウザーはその組織ではあまり使用されません。 | True、False |
接続元の国
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user connected from country (ユーザーが初めて接続してきた国) (FirstTimeUserConnectedFromCountry) |
90 | IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 | True、False |
| Country uncommonly connected from by user (ユーザーがあまり接続してこない国) (CountryUncommonlyConnectedFromByUser) |
10 | IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 | True、False |
| Country uncommonly connected from among peers (同僚があまり接続してこない国) (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。 | True、False |
| First time connection from country observed in tenant (テナントで観察された初めて接続してきた国) (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 組織内の誰かが、その国から初めて接続しました。 | True、False |
| Country uncommonly connected from in tenant (テナントであまり接続されない国) (CountryUncommonlyConnectedFromInTenant) |
90 | IP アドレスからの解決で、テナントはその地域からあまり接続されません。 | True、False |
接続に使用されたデバイス
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user connected from device (ユーザーが初めて接続してきたデバイス) (FirstTimeUserConnectedFromDevice) |
30 | そのユーザーはそのソース デバイスから初めて接続しました。 | True、False |
| Device uncommonly used by user (ユーザーによってあまり使用されないデバイス) (DeviceUncommonlyUsedByUser) |
10 | そのユーザーはそのデバイスをあまり使用しません。 | True、False |
| Device uncommonly used among peers (同僚によってあまり使用されないデバイス) (DeviceUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのデバイスをあまり使用しません。 | True、False |
| First time device observed in tenant (テナントでのデバイスの初めての観察) (FirstTimeDeviceObservedInTenant) |
30 | そのデバイスは、その組織で初めて観察されました。 | True、False |
| Device uncommonly used in tenant (テナントであまり使用されないデバイス) (DeviceUncommonlyUsedInTenant) |
180 | そのデバイスはその組織ではあまり使用されません。 | True、False |
その他のデバイス関連
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user logged on to device (ユーザーによるデバイスへの初めてのログオン) (FirstTimeUserLoggedOnToDevice) |
180 | そのユーザーはそのターゲット デバイスに初めて接続しました。 | True、False |
| Device family uncommonly used in tenant (テナントであまり使用されないデバイス ファミリ) (DeviceFamilyUncommonlyUsedInTenant) |
30 | そのデバイス ファミリはその組織ではあまり使用されません。 | True、False |
接続に使用されたインターネット サービス プロバイダー
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user connected via ISP (ユーザーによる ISP での初めての接続) (FirstTimeUserConnectedViaISP) |
30 | そのユーザーによるその ISP の使用が初めて観察されました。 | True、False |
| ISP uncommonly used by user (ユーザーによってあまり使用されない ISP) (ISPUncommonlyUsedByUser) |
10 | そのユーザーはその ISP をあまり使用しません。 | True、False |
| ISP uncommonly used among peers (同僚によってあまり使用されない ISP) (ISPUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はその ISP をあまり使用しません。 | True、False |
| First time connection via ISP in tenant (テナントでの ISP 経由による初めての接続) (FirstTimeConnectionViaISPInTenant) |
30 | その ISP は、その組織で初めて観察されました。 | True、False |
| ISP uncommonly used in tenant (テナントであまり使用されない ISP) (ISPUncommonlyUsedInTenant) |
30 | その ISP はその組織ではあまり使用されません。 | True、False |
アクセス先のリソース
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| First time user accessed resource (ユーザーによるリソースへの初めてのアクセス) (FirstTimeUserAccessedResource) |
180 | そのリソースはそのユーザーによって初めてアクセスされました。 | True、False |
| Resource uncommonly accessed by user (ユーザーがあまりアクセスしないリソース) (ResourceUncommonlyAccessedByUser) |
10 | そのユーザーはそのリソースにあまりアクセスしません。 | True、False |
| Resource uncommonly accessed among peers (同僚があまりアクセスしないリソース) (ResourceUncommonlyAccessedAmongPeers) |
180 | ユーザーの同僚はそのリソースにあまりアクセスしません。 | True、False |
| First time resource accessed in tenant (テナントでのリソースへの初めてのアクセス) (FirstTimeResourceAccessedInTenant) |
180 | 組織内の誰かが、そのリソースに初めてアクセスしました。 | True、False |
| Resource uncommonly accessed in tenant (テナントがあまりアクセスしないリソース) (ResourceUncommonlyAccessedInTenant) |
180 | その組織はそのリソースにあまりアクセスしません。 | True、False |
その他
| エンリッチメント名 | ベースライン (日数) | 説明 | 値の例 |
|---|---|---|---|
| Last time user performed action (ユーザーによる最後のアクションの実行) (LastTimeUserPerformedAction) |
180 | ユーザーが同じアクションを最後に実行した日時。 | <Timestamp> |
| Similar action wasn't performed in the past (過去に類似のものが実行されたことのないアクション) (SimilarActionWasn'tPerformedInThePast) |
30 | 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 | True、False |
| Source IP location (ソース IP の場所) (SourceIPLocation) |
N/A | アクションのソース IP から解決された国。 | [Surrey、England] |
| Uncommon high volume of operations (一般的でない大量の操作) (UncommonHighVolumeOfOperations) |
7 | ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 | True、False |
| Unusual number of Microsoft Entra Conditional Access failures (Microsoft Entra 条件付きアクセスの異常な回数の失敗) (UnusualNumberOfAADConditionalAccessFailures) |
5 | 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました | True、False |
| Unusual number of devices added (異常な数のデバイスの追加) (UnusualNumberOfDevicesAdded) |
5 | ユーザーが異常な数のデバイスを追加しました。 | True、False |
| Unusual number of devices deleted (異常な数のデバイスの削除) (UnusualNumberOfDevicesDeleted) |
5 | ユーザーが異常な数のデバイスを削除しました。 | True、False |
| Unusual number of users added to group (異常な数のユーザーのグループへの追加) (UnusualNumberOfUsersAddedToGroup) |
5 | ユーザーが異常な数のユーザーをグループに追加しました。 | True、False |
IdentityInfo テーブル
Microsoft Sentinel ワークスペースの UEBA を有効にした後、Microsoft Entra ID のデータが、Microsoft Sentinel で使用するために Log Analytics の IdentityInfo テーブルに同期されます。 Microsoft Entra ID から同期されたユーザー データを分析ルールに埋め込み、ユース ケースに合うように分析を強化して、擬陽性を減らすことができます。
初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。
Microsoft Entra ID でユーザー プロファイル、グループ、ロールに加えられた変更は、 IdentityInfo テーブルで 15 から 30 分以内に更新されます。
古いレコードが完全に更新されるように、Microsoft Sentinel では14日ごとに Microsoft Entra ID 全体と同期し直します。
IdentityInfo テーブルの既定の保有期間は 30 日です。
制限事項
現在サポートされているのは組み込みロールだけです。
削除されたグループ (ユーザーがグループから削除された場所) についてのデータは、現在サポートされていません。
IdentityInfo テーブルのバージョン
実際には、 IdentityInfo テーブルには次の 2 つのバージョンがあります。
- Log Analytics スキーマ バージョンは、Azure portal で Microsoft Sentinel に対応します。
- Advanced hunting スキーマ バージョンは、Microsoft Defender for Identity を介して Microsoft Defender ポータルで Microsoft Sentinel にサービスを提供します。
このテーブルの両方のバージョンは Microsoft Entra ID によって提供されますが、Log Analytics バージョンではいくつかのフィールドが追加されました。
統合セキュリティ運用プラットフォーム Defender ポータルでは、この表の Advanced hunting バージョンが使用されます。 テーブルの 2 つのバージョン間の違いを最小限に抑えるために、Log Analytics バージョンの一意のフィールドのほとんどは、 Advanced hunting バージョンにも徐々に追加されます。 Microsoft Sentinel を使用しているポータルに関係なく、ほぼすべて同じ情報にアクセスできますが、バージョン間の同期にわずかなタイム ラグが発生する可能性があります。 詳細については、この表の Advanced hunting バージョンの文書を参照してください。
次の表では、Azure portal の Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。 4 番目の列には、Microsoft Sentinel が Defender ポータルで使用するテーブルの Advanced hunting バージョンの対応するフィールドが表示されます。 太字のフィールド名は、 Advanced hunting スキーマでは、Microsoft Sentinel Log Analytics バージョンとは異なる名前になります。
| フィールド名 Log Analytics のスキーマ |
型 | 説明 | フィールド名 高度なハンティング スキーマ |
|---|---|---|---|
| AccountCloudSID | string | アカウントの Microsoft Entra セキュリティ識別子。 | CloudSid |
| AccountCreationTime | DATETIME | ユーザー アカウントが作成された日付 (UTC)。 | CreatedDateTime |
| AccountDisplayName | string | ユーザー アカウントの表示名。 | AccountDisplayName |
| AccountDomain | string | ユーザー アカウントのドメイン名。 | AccountDomain |
| AccountName | string | ユーザー アカウントのユーザー名。 | AccountName |
| AccountObjectId | string | ユーザー アカウントの Microsoft Entra オブジェクト ID。 | AccountObjectId |
| AccountSID | string | ユーザー アカウントのオンプレミス セキュリティ識別子。 | AccountSID |
| AccountTenantId | string | ユーザー アカウントの Microsoft Entra テナント ID。 | -- |
| AccountUPN | string | ユーザー アカウントのユーザー プリンシパル名。 | AccountUPN |
| AdditionalMailAddresses | 動的 | ユーザーの追加のメール アドレス。 | -- |
| AssignedRoles | 動的 | ユーザー アカウントが割り当てられている Microsoft Entra ロール。 | AssignedRoles |
| BlastRadius | string | 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。 使用可能な値: "低、中、高" |
-- |
| ChangeSource | string | エンティティに対し、最新の変更があるソース。 可能な値: |
ChangeSource |
| CompanyName | ユーザーが属する会社名。 | -- | |
| City (市) | string | ユーザー アカウントの市。 | 市 |
| 国 | string | ユーザー アカウントの国。 | 国 |
| DeletedDateTime | DATETIME | ユーザーが削除された日時。 | -- |
| 部門 | string | ユーザー アカウントの部門。 | 部署 |
| GivenName | string | ユーザー アカウントの名。 | GivenName |
| GroupMembership | 動的 | ユーザー アカウントがメンバーになっている Microsoft Entra グループ。 | -- |
| IsAccountEnabled | [bool] | ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。 | IsAccountEnabled |
| JobTitle | string | ユーザー アカウントの役職。 | JobTitle |
| MailAddress | string | ユーザー アカウントのプライマリ メール アドレス。 | EmailAddress |
| マネージャー | string | ユーザー アカウントのマネージャーの別名。 | 管理者 |
| OnPremisesDistinguishedName | string | Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 | DistinguishedName |
| 電話 | string | ユーザー アカウントの電話番号。 | スマートフォン |
| SourceSystem | string | ユーザーが管理されているシステム。 可能な値: |
SourceProvider |
| 状態 | string | ユーザー アカウントの地理的な状態。 | 都道府県 |
| StreetAddress | string | ユーザー アカウントのオフィスの番地。 | 住所 |
| Surname | string | ユーザーの姓名の姓。 アカウント。 | Surname |
| TenantId | string | ユーザーのテナント ID。 | -- |
| TimeGenerated | DATETIME | イベントが生成された時刻 (UTC)。 | Timestamp |
| Type | string | テーブルの名前。 | -- |
| UserAccountControl | 動的 | AD ドメイン内のユーザー アカウントのセキュリティ属性。 指定できる値 (複数の値を含む場合があります): |
-- |
| UserState | string | Microsoft Entra ID におけるユーザー アカウントの現在の状態。 指定できる値 |
-- |
| UserStateChangedOn | DATETIME | アカウントの状態が最後に変更された日付 (UTC)。 | -- |
| UserType | string | ユーザーの種類。 | -- |
次の手順
このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。
- エンティティ行動分析の詳細を確認する。
- Microsoft Sentinel で UEBA を有効にする。
- 調査で UEBA を使用する。