Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo di riferimento elenca le origini dati di input per il servizio Analisi comportamento utente ed entità in Microsoft Sentinel. Descrive anche gli arricchimenti aggiunti da UEBA alle entità, fornendo il contesto necessario per gli avvisi e gli eventi imprevisti.
Important
Microsoft Sentinel è disponibile a livello generale nel portale di Microsoft Defender, incluso per i clienti senza Microsoft Defender XDR o una licenza E5.
A partire da luglio 2026, tutti i clienti che usano Microsoft Sentinel nel portale di Azure verranno reindirizzati al portale di Defender e useranno Microsoft Sentinel solo nel portale di Defender. A partire da luglio 2025, molti nuovi clienti vengono eseguiti automaticamente l'onboarding e reindirizzati al portale di Defender.
Se si usa ancora Microsoft Sentinel nel portale di Azure, è consigliabile iniziare a pianificare la transizione al portale di Defender per garantire una transizione senza problemi e sfruttare appieno l'esperienza unificata delle operazioni di sicurezza offerte da Microsoft Defender. Per altre informazioni, vedere It's Time to Move: ritiro del portale di Azure di Microsoft Sentinel per una maggiore sicurezza.
Origini dati UEBA
Queste sono le origini dati da cui il motore UEBA raccoglie e analizza i dati per eseguire il training dei modelli di Machine Learning e impostare linee di base comportamentali per utenti, dispositivi e altre entità. UEBA esamina quindi i dati di queste origini per trovare anomalie e informazioni dettagliate.
| L'origine dei dati | Connector | Tabella di Log Analytics | Categorie di eventi analizzati |
|---|---|---|---|
| Log di accesso dell'identità gestita di AAD (anteprima) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Tutti gli eventi di accesso all'identità gestita |
| Log di accesso dell'entità servizio AAD (anteprima) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Tutti gli eventi di accesso dell'entità servizio |
| Registri di audit | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (anteprima) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Eventi di accesso alla console. Identificato da EventName = "ConsoleLogin" e EventSource = "signin.amazonaws.com". Gli eventi devono avere un oggetto valido UserIdentityPrincipalId. |
| Attività di Azure | Attività di Azure | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| Eventi di accesso del dispositivo (anteprima) | Microsoft Defender XDR | DeviceLogonEvents | Tutti gli eventi di accesso del dispositivo |
| Log di controllo GCP (anteprima) | Log di controllo GCP Pub/Sub | GCPAuditLogs |
apigee.googleapis.com - Piattaforma gestione APIiam.googleapis.com - Servizio IAM (Identity and Access Management)iamcredentials.googleapis.com - API credenziali dell'account del servizio IAMcloudresourcemanager.googleapis.com - API di Cloud Resource Managercompute.googleapis.com - API del motore di calcolostorage.googleapis.com - API di archiviazione cloudcontainer.googleapis.com - API del motore Kubernetesk8s.io - API Kubernetescloudsql.googleapis.com - API SQL cloudbigquery.googleapis.com - API BigQuerybigquerydatatransfer.googleapis.com - API del servizio di trasferimento dei dati BigQuerycloudfunctions.googleapis.com - API Funzioni cloudappengine.googleapis.com - API del motore di appdns.googleapis.com - API DNS cloudbigquerydatapolicy.googleapis.com - API Criteri per BigQuery Datafirestore.googleapis.com - API Firestoredataproc.googleapis.com - API Dataprocosconfig.googleapis.com - API di configurazione del sistema operativocloudkms.googleapis.com - API del Servizio di gestione delle chiavi cloudsecretmanager.googleapis.com - API Secret ManagerGli eventi devono avere un valore valido: - PrincipalEmail - L'account utente o del servizio che ha chiamato l'API- MethodName - Metodo dell'API Google specifico denominato- Indirizzo di posta elettronica principale, in user@___domain.com formato . |
| Okta CL (anteprima) | Okta Single Sign-On (uso di Funzioni di Azure) | Okta_CL | Autenticazione, autenticazione a più fattori (MFA) ed eventi di sessione, tra cui:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startGli eventi devono avere un ID utente valido ( actor_id_s). |
| Eventi di sicurezza | Eventi di sicurezza di Windows tramite AMA Eventi inoltrati di Windows |
WindowsEvent SecurityEvent |
4624: Un account è stato connesso correttamente 4625: Un account non è riuscito ad accedere 4648: Tentativo di accesso con credenziali esplicite 4672: Privilegi speciali assegnati al nuovo accesso 4688: È stato creato un nuovo processo |
| Log di accesso | Microsoft Entra ID | SigninLogs | Tutti gli eventi di accesso |
Arricchimenti UEBA
Questa sezione descrive gli arricchimenti aggiunti da UEBA alle entità di Microsoft Sentinel, che è possibile usare per concentrarsi e affinare le indagini sugli eventi imprevisti di sicurezza. Questi arricchimenti vengono visualizzati nelle pagine delle entità e sono disponibili nelle tabelle di Log Analytics seguenti, il contenuto e lo schema dei quali sono elencati di seguito:
La tabella BehaviorAnalytics è la posizione in cui vengono archiviate le informazioni di output di UEBA.
I tre campi dinamici seguenti della tabella BehaviorAnalytics sono descritti nella sezione campi dinamici arricchimenti di entità di seguito.
I campi UsersInsights e DevicesInsights contengono informazioni sulle entità di Active Directory/Microsoft Entra ID e Microsoft Threat Intelligence origini.
Il campo ActivityInsights contiene informazioni sull'entità basate sui profili comportamentali creati dall'analisi del comportamento delle entità di Microsoft Sentinel.
Le attività utente vengono analizzate in base a una baseline compilata dinamicamente ogni volta che viene usata. Ogni attività ha un proprio periodo di lookback definito da cui deriva la linea di base dinamica. Il periodo di ricerca viene specificato nella colonna Baseline di questa tabella.
La tabella IdentityInfo è la posizione in cui vengono archiviate le informazioni sull'identità sincronizzate con UEBA da Microsoft Entra ID (e da Active Directory locale tramite Microsoft Defender per identità).
Tabella BehaviorAnalytics
La tabella seguente descrive i dati di analisi del comportamento visualizzati in ogni pagina dei dettagli dell'entità in Microsoft Sentinel.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Numero ID univoco del tenant. |
| SourceRecordId | string | Numero ID univoco dell'evento EBA. |
| TimeGenerated | datetime | Timestamp dell'occorrenza dell'attività. |
| TimeProcessed | datetime | Timestamp dell'elaborazione dell'attività dal motore EBA. |
| ActivityType | string | Categoria generale dell'attività. |
| ActionType | string | Nome normalizzato dell'attività. |
| UserName | string | Nome utente dell'utente che ha avviato l'attività. |
| UserPrincipalName | string | Nome utente completo dell'utente che ha avviato l'attività. |
| EventSource | string | Origine dati che ha fornito l'evento originale. |
| SourceIPAddress | string | Indirizzo IP da cui è stata avviata l'attività. |
| SourceIPLocation | string | Paese/area geografica da cui è stata avviata l'attività, arricchita dall'indirizzo IP. |
| SourceDevice | string | Nome host del dispositivo che ha avviato l'attività. |
| DestinationIPAddress | string | Indirizzo IP della destinazione dell'attività. |
| DestinationIPLocation | string | Paese/area geografica della destinazione dell'attività, arricchito dall'indirizzo IP. |
| DestinationDevice | string | Nome del dispositivo di destinazione. |
| UsersInsights | dynamic | Gli arricchimenti contestuali degli utenti coinvolti (dettagli di seguito). |
| DevicesInsights | dynamic | Gli arricchimenti contestuali dei dispositivi coinvolti (dettagli di seguito). |
| ActivityInsights | dynamic | L'analisi contestuale dell'attività in base alla profilatura (dettagli di seguito). |
| InvestigationPriority | int | Punteggio anomalie, compreso tra 0 e 10 (0=benigno, 10=altamente anomalo). Questo punteggio quantifica il grado di deviazione dal comportamento previsto. I punteggi più alti indicano una deviazione maggiore dalla linea di base e indicano più probabili anomalie vere. I punteggi inferiori potrebbero essere ancora anomali, ma sono meno probabili essere significativi o interattivi. |
Campi dinamici di arricchimenti di entità
Note
Nella colonna Nome arricchimento nelle tabelle di questa sezione vengono visualizzate due righe di informazioni.
- Il primo, in grassetto, è il "nome descrittivo" dell'arricchimento.
- Il secondo (in corsivo e parentesi) è il nome del campo dell'arricchimento archiviato nella tabella di Analisi del comportamento.
Campo UsersInsights
La tabella seguente descrive gli arricchimenti inclusi nel campo dinamico UsersInsights nella tabella BehaviorAnalytics:
| Nome arricchimento | Description | Valore di esempio |
|---|---|---|
|
Nome visualizzato dell'account (AccountDisplayName) |
Nome visualizzato dell'account dell'utente. | Amministratore, Hayden Cook |
|
Dominio account (AccountDomain) |
Nome di dominio dell'account dell'utente. | |
|
ID oggetto account (AccountObjectID) |
ID oggetto account dell'utente. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Raggio di esplosione (BlastRadius) |
Il raggio dell'esplosione viene calcolato in base a diversi fattori: la posizione dell'utente nell'albero dell'organizzazione e i ruoli e le autorizzazioni di Microsoft Entra dell'utente. L'utente deve avere la proprietà Manager popolata in Microsoft Entra ID for BlastRadius da calcolare. | Basso, medio, elevato |
|
Account inattivo (IsDormantAccount) |
L'account non è stato usato negli ultimi 180 giorni. | Vero, falso |
|
Amministratore locale (IsLocalAdmin) |
L'account ha privilegi di amministratore locale. | Vero, falso |
|
Nuovo account (IsNewAccount) |
L'account è stato creato negli ultimi 30 giorni. | Vero, falso |
|
SID locale (OnPremisesSID) |
SID locale dell'utente correlato all'azione. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
La tabella seguente descrive gli arricchimenti presenti nel campo dinamico DevicesInsights nella tabella BehaviorAnalytics:
| Nome arricchimento | Description | Valore di esempio |
|---|---|---|
|
Browser (Browser) |
Browser utilizzato nell'azione. | Microsoft Edge, Chrome |
|
Famiglia di dispositivi (DeviceFamily) |
Famiglia di dispositivi usata nell'azione. | Windows |
|
Tipo di dispositivo (DeviceType) |
Tipo di dispositivo client usato nell'azione | Desktop |
|
ISP (ISP) |
Provider di servizi Internet utilizzato nell'azione. | |
|
Sistema operativo (OperatingSystem) |
Sistema operativo utilizzato nell'azione. | Windows 10 |
|
Descrizione dell'indicatore Intel per le minacce (ThreatIntelIndicatorDescription) |
Descrizione dell'indicatore di minaccia osservato risolto dall'indirizzo IP usato nell'azione. | L'host è membro di botnet: azorult |
|
Tipo di indicatore Intel per le minacce (ThreatIntelIndicatorType) |
Tipo dell'indicatore di minaccia risolto dall'indirizzo IP usato nell'azione. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Agente utente (UserAgent) |
Agente utente usato nell'azione. | Libreria client di Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Famiglia di agenti utente (UserAgentFamily) |
Famiglia di agenti utente usata nell'azione. | Chrome, Microsoft Edge, Firefox |
Campo ActivityInsights
Le tabelle seguenti descrivono gli arricchimenti contenuti nel campo dinamico ActivityInsights nella tabella BehaviorAnalytics:
Azione eseguita
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente ha eseguito un'azione (FirstTimeUserPerformedAction) |
180 | L'azione è stata eseguita per la prima volta dall'utente. | Vero, falso |
|
Azione eseguita raramente dall'utente (ActionUncommonlyPerformedByUser) |
10 | L'azione non viene in genere eseguita dall'utente. | Vero, falso |
|
Azione eseguita raramente tra i peer (ActionUncommonlyPerformedAmongPeers) |
180 | L'azione non viene in genere eseguita tra i peer dell'utente. | Vero, falso |
|
Prima azione eseguita nel tenant (FirstTimeActionPerformedInTenant) |
180 | L'azione è stata eseguita per la prima volta da chiunque nell'organizzazione. | Vero, falso |
|
Azione eseguita raramente nel tenant (ActionUncommonlyPerformedInTenant) |
180 | L'azione non viene in genere eseguita nell'organizzazione. | Vero, falso |
App usata
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente ha usato l'app (FirstTimeUserUsedApp) |
180 | L'app è stata usata per la prima volta dall'utente. | Vero, falso |
|
App usata raramente dall'utente (AppUncommonlyUsedByUser) |
10 | L'app non viene comunemente usata dall'utente. | Vero, falso |
|
App usata raramente tra i peer (AppUncommonlyUsedAmongPeers) |
180 | L'app non viene comunemente usata tra i peer dell'utente. | Vero, falso |
|
Prima volta che l'app è stata osservata nel tenant (FirstTimeAppObservedInTenant) |
180 | L'app è stata osservata per la prima volta nell'organizzazione. | Vero, falso |
|
App usata raramente nel tenant (AppUncommonlyUsedInTenant) |
180 | L'app non viene comunemente usata nell'organizzazione. | Vero, falso |
Browser usato
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente si è connesso tramite browser (FirstTimeUserConnectedViaBrowser) |
30 | Il browser è stato osservato per la prima volta dall'utente. | Vero, falso |
|
Browser usato raramente dall'utente (BrowserUncommonlyUsedByUser) |
10 | Il browser non viene comunemente usato dall'utente. | Vero, falso |
|
Browser usato raramente tra i peer (BrowserUncommonlyUsedAmongPeers) |
30 | Il browser non viene comunemente usato tra i peer dell'utente. | Vero, falso |
|
Prima volta che il browser è stato osservato nel tenant (FirstTimeBrowserObservedInTenant) |
30 | Il browser è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
|
Browser usato raramente nel tenant (BrowserUncommonlyUsedInTenant) |
30 | Il browser non viene comunemente usato nell'organizzazione. | Vero, falso |
Paese/area geografica connessa da
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente si è connesso dal paese (FirstTimeUserConnectedFromCountry) |
90 | La posizione geografica, risolta dall'indirizzo IP, è stata connessa per la prima volta dall'utente. | Vero, falso |
|
Paese non comunemente connesso dall'utente (CountryUncommonlyConnectedFromByUser) |
10 | La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa dall'utente. | Vero, falso |
|
Paese non comunemente collegato tra colleghi (CountryUncommonlyConnectedFromAmongPeers) |
90 | La posizione geografica, come risolta dall'indirizzo IP, non è in genere connessa tra i peer dell'utente. | Vero, falso |
|
Connessione per la prima volta dal paese osservato nel tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Il paese/area geografica è stato connesso per la prima volta da chiunque nell'organizzazione. | Vero, falso |
|
Paese non comunemente connesso da nel tenant (CountryUncommonlyConnectedFromInTenant) |
90 | La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa all'interno dell'organizzazione. | Vero, falso |
Dispositivo usato per connettersi
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente si è connesso dal dispositivo (FirstTimeUserConnectedFromDevice) |
30 | Il dispositivo di origine è stato connesso per la prima volta dall'utente. | Vero, falso |
|
Dispositivo usato raramente dall'utente (DeviceUncommonlyUsedByUser) |
10 | Il dispositivo non viene comunemente usato dall'utente. | Vero, falso |
|
Dispositivo usato raramente tra i peer (DeviceUncommonlyUsedAmongPeers) |
180 | Il dispositivo non viene comunemente usato tra i peer dell'utente. | Vero, falso |
|
Prima volta che il dispositivo è stato osservato nel tenant (FirstTimeDeviceObservedInTenant) |
30 | Il dispositivo è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
|
Dispositivo usato in modo non comune nel tenant (DeviceUncommonlyUsedInTenant) |
180 | Il dispositivo non viene comunemente usato nell'organizzazione. | Vero, falso |
Altro dispositivo correlato
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente ha eseguito l'accesso al dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | Il dispositivo di destinazione è stato connesso per la prima volta dall'utente. | Vero, falso |
|
Famiglia di dispositivi usata raramente nel tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | La famiglia di dispositivi non viene comunemente usata nell'organizzazione. | Vero, falso |
Provider di servizi Internet usato per connettersi
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente si è connesso tramite ISP (FirstTimeUserConnectedViaISP) |
30 | L'ISP è stato osservato per la prima volta dall'utente. | Vero, falso |
|
ISP usato raramente dall'utente (ISPUncommonlyUsedByUser) |
10 | L'ISP non viene comunemente usato dall'utente. | Vero, falso |
|
ISP usato raramente tra i peer (ISPUncommonlyUsedAmongPeers) |
30 | L'ISP non viene comunemente usato tra i peer dell'utente. | Vero, falso |
|
Prima connessione tramite ISP nel tenant (FirstTimeConnectionViaISPInTenant) |
30 | L'ISP è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
|
ISP usato raramente nel tenant (ISPUncommonlyUsedInTenant) |
30 | L'ISP non viene comunemente usato nell'organizzazione. | Vero, falso |
Accesso alle risorse
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Prima volta che l'utente ha eseguito l'accesso alla risorsa (FirstTimeUserAccessedResource) |
180 | La risorsa è stata accessibile per la prima volta dall'utente. | Vero, falso |
|
Risorsa a cui si accede raramente dall'utente (ResourceUncommonlyAccessedByUser) |
10 | La risorsa non è in genere accessibile dall'utente. | Vero, falso |
|
Risorsa a cui si accede raramente tra peer (ResourceUncommonlyAccessedAmongPeers) |
180 | La risorsa non è in genere accessibile tra i peer dell'utente. | Vero, falso |
|
Prima volta che si accede alle risorse nel tenant (FirstTimeResourceAccessedInTenant) |
180 | La risorsa è stata accessibile per la prima volta da chiunque nell'organizzazione. | Vero, falso |
|
Risorsa a cui si accede raramente nel tenant (ResourceUncommonlyAccessedInTenant) |
180 | La risorsa non è in genere accessibile all'interno dell'organizzazione. | Vero, falso |
Miscellaneous
| Nome arricchimento | Baseline (giorni) | Description | Valore di esempio |
|---|---|---|---|
|
Ultima azione eseguita dall'utente (LastTimeUserPerformedAction) |
180 | Ora dell'ultima esecuzione dell'azione da parte dell'utente. | <Timestamp:> |
|
Un'azione simile non è stata eseguita in passato (SimilarActionWasn'tPerformedInThePast) |
30 | Nessuna azione nello stesso provider di risorse è stata eseguita dall'utente. | Vero, falso |
|
Percorso IP di origine (SourceIPLocation) |
N/A | Paese/area geografica risolto dall'indirizzo IP di origine dell'azione. | [Surrey, Inghilterra] |
|
Volume elevato non comune di operazioni (UncommonHighVolumeOfOperations) |
7 | Un utente ha eseguito un burst di operazioni simili all'interno dello stesso provider | Vero, falso |
|
Numero insolito di errori di accesso condizionale di Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un numero insolito di utenti non è riuscito ad eseguire l'autenticazione a causa dell'accesso condizionale | Vero, falso |
|
Numero insolito di dispositivi aggiunti (UnusualNumberOfDevicesAdded) |
5 | Un utente ha aggiunto un numero insolito di dispositivi. | Vero, falso |
|
Numero insolito di dispositivi eliminati (UnusualNumberOfDevicesDeleted) |
5 | Un utente ha eliminato un numero insolito di dispositivi. | Vero, falso |
|
Numero insolito di utenti aggiunti al gruppo (UnusualNumberOfUsersAddedToGroup) |
5 | Un utente ha aggiunto un numero insolito di utenti a un gruppo. | Vero, falso |
Tabella IdentityInfo
Dopo aver abilitato e configurato UEBA per l'area di lavoro di Microsoft Sentinel, i dati utente dei provider di identità Microsoft vengono sincronizzati con la tabella IdentityInfo in Log Analytics per l'uso in Microsoft Sentinel.
Questi provider di identità sono o entrambi i seguenti, a seconda della selezione selezionata al momento della configurazione dell'UEBA:
- Microsoft Entra ID (basato sul cloud)
- Microsoft Active Directory (locale, richiede Microsoft Defender per identità))
È possibile eseguire query sulla tabella IdentityInfo nelle regole di analisi, nelle query di ricerca e nelle cartelle di lavoro, migliorando l'analisi in base ai casi d'uso e riducendo i falsi positivi.
Anche se la sincronizzazione iniziale può richiedere alcuni giorni, una volta che i dati sono completamente sincronizzati:
Ogni 14 giorni, Microsoft Sentinel esegue la risincronizzazione con l'intero ID di Microsoft Entra (e l'istanza locale di Active Directory, se applicabile) per garantire che i record non aggiornati vengano aggiornati completamente.
Oltre a queste normali sincronizzazioni complete, ogni volta che vengono apportate modifiche ai profili utente, ai gruppi e ai ruoli predefiniti in Microsoft Entra ID, i record utente interessati vengono reinseriti e aggiornati nella tabella IdentityInfo entro 15-30 minuti. Questo inserimento viene fatturato a tariffe regolari. Per esempio:
È stato modificato un attributo utente, ad esempio il nome visualizzato, il titolo del processo o l'indirizzo di posta elettronica. Un nuovo record per questo utente viene inserito nella tabella IdentityInfo , con i campi pertinenti aggiornati.
Il gruppo A include 100 utenti. 5 utenti vengono aggiunti al gruppo o rimossi dal gruppo. In questo caso, i cinque record utente vengono reinseriti e i relativi campi GroupMembership vengono aggiornati.
Il gruppo A include 100 utenti. Dieci utenti vengono aggiunti al gruppo A. Inoltre, i gruppi A1 e A2, ognuno con 10 utenti, viene aggiunto al gruppo A. In questo caso, vengono reingestiti 30 record utente e i relativi campi GroupMembership aggiornati. Ciò si verifica perché l'appartenenza ai gruppi è transitiva, quindi le modifiche ai gruppi influiscono su tutti i sottogruppi.
Il gruppo B (con 50 utenti) viene rinominato Group BeGood. In questo caso, vengono reingestiti 50 record utente e i relativi campi GroupMembership aggiornati. Se sono presenti sottogruppi in tale gruppo, lo stesso accade per tutti i record dei membri.
Il tempo di conservazione predefinito nella tabella IdentityInfo è di 30 giorni.
Limitations
Il campo AssignedRoles supporta solo i ruoli predefiniti.
Il campo GroupMembership supporta l'elenco di un massimo di 500 gruppi per utente, inclusi i sottogruppi. Se un utente è membro di più di 500 gruppi, solo i primi 500 vengono sincronizzati con la tabella IdentityInfo . I gruppi non vengono tuttavia valutati in un ordine particolare, quindi a ogni nuova sincronizzazione (ogni 14 giorni), è possibile che un set diverso di gruppi venga aggiornato al record utente.
Quando un utente viene eliminato, il record dell'utente non viene immediatamente eliminato dalla tabella IdentityInfo . Il motivo è che uno degli scopi di questa tabella è controllare le modifiche apportate ai record utente. Pertanto, si vuole che questa tabella contenga un record di un utente eliminato, che può verificarsi solo se il record utente nella tabella IdentityInfo esiste ancora, anche se l'utente effettivo (ad esempio, in Entra ID) viene eliminato.
Gli utenti eliminati possono essere identificati dalla presenza di un valore nel
deletedDateTimecampo . Pertanto, se è necessaria una query per visualizzare un elenco di utenti, è possibile escludere gli utenti eliminati aggiungendo| where IsEmpty(deletedDateTime)alla query.A un determinato intervallo di tempo dopo l'eliminazione di un utente, anche il record dell'utente viene rimosso dalla tabella IdentityInfo .
Quando un gruppo viene eliminato o se un gruppo con più di 100 membri è cambiato il nome, i record utente del gruppo non vengono aggiornati. Se una modifica diversa causa l'aggiornamento di uno dei record di tali utenti, le informazioni aggiornate sul gruppo verranno incluse a quel punto.
Altre versioni della tabella IdentityInfo
Esistono più versioni della tabella IdentityInfo :
La versione dello schema di Log Analytics , descritta in questo articolo, serve Microsoft Sentinel nel portale di Azure. È disponibile per i clienti che hanno abilitato UEBA.
La versione dello schema di ricerca avanzata serve il portale di Microsoft Defender tramite Microsoft Defender per identità. È disponibile per i clienti di Microsoft Defender XDR, con o senza Microsoft Sentinel e per i clienti di Microsoft Sentinel stesso nel portale di Defender.
UEBA non deve essere abilitato per poter accedere a questa tabella. Tuttavia, per i clienti senza UEBA abilitato, i campi popolati dai dati UEBA non sono visibili o disponibili.
Per altre informazioni, vedere la documentazione della versione di ricerca avanzata di questa tabella.
A partire da maggio 2025, i clienti di Microsoft Sentinel nel portale di Microsoft Defendercon UEBA abilitatoiniziano a usare una nuova versione della versione di ricerca avanzata . Questa nuova versione include tutti i campi UEBA della versione di Log Analytics e alcuni nuovi campi e viene definito versione unificata o tabella IdentityInfo unificata.
I clienti del portale di Defender senza ueba abilitato o senza Microsoft Sentinel continuano a usare la versione precedente della versione di ricerca avanzata, senza i campi generati da UEBA.
Per altre informazioni sulla versione unificata, vedere IdentityInfo nella documentazione sulla ricerca avanzata.
Schema
La tabella nella scheda "Schema di Log Analytics" seguente descrive i dati di identità utente inclusi nella tabella IdentityInfo in Log Analytics nel portale di Azure.
Se si esegue l'onboarding di Microsoft Sentinel nel portale di Defender, selezionare la scheda "Confronta con uno schema unificato" per visualizzare le modifiche che potrebbero influire potenzialmente sulle query nelle regole e nelle ricerche delle minacce.
| Nome del campo | Type | Description |
|---|---|---|
| AccountCloudSID | string | Identificatore di sicurezza di Microsoft Entra dell'account. |
| AccountCreationTime | datetime | Data di creazione dell'account utente (UTC). |
| AccountDisplayName | string | Nome visualizzato dell'account utente. |
| AccountDomain | string | Nome di dominio dell'account utente. |
| AccountName | string | Nome utente dell'account utente. |
| AccountObjectId | string | ID oggetto Microsoft Entra per l'account utente. |
| AccountSID | string | Identificatore di sicurezza locale dell'account utente. |
| AccountTenantId | string | ID tenant di Microsoft Entra dell'account utente. |
| AccountUPN | string | Nome dell'entità utente dell'account utente. |
| AdditionalMailAddresses | dynamic | Indirizzi di posta elettronica aggiuntivi dell'utente. |
| AssignedRoles | dynamic | I ruoli di Microsoft Entra a cui è assegnato l'account utente. Sono supportati solo i ruoli predefiniti. |
| BlastRadius | string | Calcolo basato sulla posizione dell'utente nell'albero dell'organizzazione e sui ruoli e sulle autorizzazioni di Microsoft Entra dell'utente. Valori possibili: Bassa, Media, Alta |
| ChangeSource | string | Origine della modifica più recente all'entità. Valori possibili: |
| City | string | Città dell'account utente. |
| CompanyName | string | Nome della società a cui appartiene l'utente. |
| Country | string | Paese/area geografica dell'account utente. |
| DeletedDateTime | datetime | Data e ora di eliminazione dell'utente. |
| Department | string | Reparto dell'account utente. |
| EmployeeId | string | Identificatore del dipendente assegnato all'utente dall'organizzazione. |
| GivenName | string | Nome specificato dell'account utente. |
| GroupMembership | dynamic | Gruppi di ID Microsoft Entra in cui l'account utente è membro. |
| IsAccountEnabled | bool | Indica se l'account utente è abilitato o meno in Microsoft Entra ID. |
| JobTitle | string | Titolo del processo dell'account utente. |
| MailAddress | string | Indirizzo di posta elettronica principale dell'account utente. |
| Manager | string | Alias di gestione dell'account utente. |
| OnPremisesDistinguishedName | string | Nome distinto (DN) dell'ID Microsoft Entra. Un nome distinto è una sequenza di nomi distinti relativi (RDN), connessi da virgole. |
| Phone | string | Numero di telefono dell'account utente. |
| RiskLevel | string | Livello di rischio di Microsoft Entra ID dell'account utente. Valori possibili: |
| RiskLevelDetails | string | Dettagli relativi al livello di rischio di Microsoft Entra ID. |
| RiskState | string | Indica se l'account è a rischio o se il rischio è stato risolto. |
| SourceSystem | string | Sistema in cui viene gestito l'utente. Valori possibili: |
| State | string | Stato geografico dell'account utente. |
| StreetAddress | string | Indirizzo dell'ufficio dell'account utente. |
| Surname | string | Cognome dell'utente. account. |
| TenantId | string | ID tenant dell'utente. |
| TimeGenerated | datetime | Ora in cui l'evento è stato generato (UTC). |
| Type | string | Nome della tabella. |
| UserAccountControl | dynamic | Attributi di sicurezza dell'account utente nel dominio di Active Directory. I valori possibili (possono contenere più di uno): |
| UserState | string | Stato corrente dell'account utente in Microsoft Entra ID. Valori possibili: |
| UserStateChangedOn | datetime | Data dell'ultima modifica dello stato dell'account (UTC). |
| UserType | string | Tipo di utente. |
I campi seguenti, mentre sono presenti nello schema di Log Analytics, devono essere ignorati, perché non vengono usati o supportati da Microsoft Sentinel:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Passaggi successivi
Questo documento descrive lo schema della tabella di analisi del comportamento delle entità di Microsoft Sentinel.
- Altre informazioni sull'analisi del comportamento delle entità.
- Abilitare UEBA in Microsoft Sentinel.
- Inserire UEBA da usare nelle indagini.