このリファレンス記事では、 Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
2026 年 7 月以降、Azure portal で Microsoft Sentinel を使用しているすべてのお客様は Defender ポータルにリダイレクトされ、Defender ポータルでのみ Microsoft Sentinel が使用されます。 2025 年 7 月以降、多くの新規ユーザーが自動的にオンボードされ、Defender ポータルにリダイレクトされます。
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
UEBA データ ソース
これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。
| データ ソース | Connector | Log Analytics テーブル | 分析されたイベント カテゴリ |
|---|---|---|---|
| AAD マネージド ID サインイン ログ (プレビュー) | Microsoft Entra ID | AADManagedIdentitySignInLogs | すべてのマネージド ID サインイン イベント |
| AAD サービス プリンシパルのサインイン ログ (プレビュー) | Microsoft Entra ID | AADServicePrincipalSignInLogs | すべてのサービス プリンシパルのサインイン イベント |
| 監査ログ | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (プレビュー) | アマゾン ウェブ サービス アマゾン ウェブ サービス S3 |
AWSCloudTrail | コンソールのサインイン イベント。EventName = "ConsoleLogin"およびEventSource = "signin.amazonaws.com"によって識別されます。 イベントには有効な UserIdentityPrincipalIdが必要です。 |
| Azure アクティビティ | Azure アクティビティ | AzureActivity | Authorization AzureActiveDirectory Billing Compute 従量課金 KeyVault Devices Network Resources Intune Logic Sql Storage |
| デバイス ログオン イベント (プレビュー) | Microsoft Defender XDR | DeviceLogonEvents | すべてのデバイス ログオン イベント |
| GCP 監査ログ (プレビュー) | GCP Pub/Sub 監査ログ | GCPAuditLogs |
apigee.googleapis.com - API Management プラットフォームiam.googleapis.com - ID およびアクセス管理 (IAM) サービスiamcredentials.googleapis.com - IAM サービス アカウント資格情報 APIcloudresourcemanager.googleapis.com - クラウドリソースマネージャーAPIcompute.googleapis.com - コンピューティング エンジン APIstorage.googleapis.com - クラウドストレージAPIcontainer.googleapis.com - Kubernetes Engine APIk8s.io - Kubernetes APIcloudsql.googleapis.com - クラウドSQL APIbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - BigQuery データ転送サービス APIcloudfunctions.googleapis.com - クラウド機能APIappengine.googleapis.com - アプリ エンジン APIdns.googleapis.com - クラウド DNS APIbigquerydatapolicy.googleapis.com - BigQuery データ ポリシー APIfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - Dataproc APIosconfig.googleapis.com - OS設定APIcloudkms.googleapis.com - クラウドKMS APIsecretmanager.googleapis.com - シークレットマネージャーAPIイベントには有効な値が必要です。 - PrincipalEmail - API を呼び出したユーザーまたはサービス アカウント- MethodName - 呼び出された特定の Google API メソッド- プリンシパル メール ( user@___domain.com 形式)。 |
| Okta CL (プレビュー) | Okta シングル Sign-On (Azure Functions を使用) | Okta_CL | 認証、多要素認証 (MFA)、セッション イベント(以下を含む):app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startイベントには有効なユーザー ID ( actor_id_s) が必要です。 |
| セキュリティ イベント | AMA 経由の Windows セキュリティ イベント Windows 転送イベント |
WindowsEvent SecurityEvent |
4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに特権が割り当てられました 4688: 新しいプロセスが作成されました |
| サインイン ログ | Microsoft Entra ID | SigninLogs | すべてのサインイン イベント |
UEBA エンリッチメント
このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントについて説明します。このエンリッチメントを使用して、セキュリティ インシデントの調査に集中し、研ぎ澄ますことができます。 これらのエンリッチメントは エンティティ ページ に表示され、次の Log Analytics テーブルの内容とスキーマを以下に示します。
BehaviorAnalytics テーブルは、UEBA の出力情報が格納される場所です。
BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。
UsersInsights フィールドと DevicesInsights フィールドには、Active Directory/Microsoft Entra ID および Microsoft Threat Intelligence ソースからのエンティティ情報が含まれています。
ActivityInsights フィールドには、Microsoft Sentinel のエンティティ動作分析によって構築された動作プロファイルに基づくエンティティ情報が含まれています。
ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自に定義されたルックバック期間があります。 ルックバック期間は、この表の [基準計画 ] 列で指定します。
IdentityInfo テーブルには、Microsoft Entra ID (および Microsoft Defender for Identity 経由でオンプレミスの Active Directory から) から UEBA に同期される ID 情報が格納されます。
BehaviorAnalytics テーブル
次の表では、Microsoft Sentinel の各 エンティティの詳細ページ に表示される動作分析データについて説明します。
| Field | タイプ | Description |
|---|---|---|
| TenantId | 文字列 | テナントの一意の ID 番号。 |
| SourceRecordId | 文字列 | EBA イベントの一意の ID 番号。 |
| TimeGenerated | datetime | アクティビティの発生のタイムスタンプ。 |
| TimeProcessed | datetime | EBA エンジンによるアクティビティの処理のタイムスタンプ。 |
| ActivityType | 文字列 | アクティビティの高レベルのカテゴリ。 |
| ActionType | 文字列 | アクティビティの標準化名。 |
| UserName | 文字列 | アクティビティを開始したユーザーのユーザー名。 |
| UserPrincipalName | 文字列 | アクティビティを開始したユーザーの完全なユーザー名。 |
| EventSource | 文字列 | 元のイベントを提供したデータ ソース。 |
| SourceIPAddress | 文字列 | アクティビティが開始された元の IP アドレス。 |
| SourceIPLocation | 文字列 | アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。 |
| SourceDevice | 文字列 | アクティビティを開始したデバイスのホスト名。 |
| DestinationIPAddress | 文字列 | アクティビティのターゲットの IP アドレス。 |
| DestinationIPLocation | 文字列 | IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。 |
| DestinationDevice | 文字列 | ターゲット デバイスの名前。 |
| UsersInsights | dynamic | 関連するユーザーのコンテキスト エンリッチメント (詳細については以下を参照)。 |
| DevicesInsights | dynamic | 関連するデバイスのコンテキスト エンリッチメント (以下の詳細)。 |
| ActivityInsights | dynamic | プロファイリングに基づくアクティビティのコンテキスト分析 (以下の詳細)。 |
| InvestigationPriority | int | 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。 このスコアは、予想される動作からの偏差の程度を定量化します。 スコアが高いほどベースラインからの偏差が大きいことを示し、真の異常を示す可能性が高くなります。 スコアが低いほど異常な場合もありますが、有意または実用的である可能性は低くなります。 |
エンティティ エンリッチメントの動的フィールド
Note
このセクションの表の エンリッチメント名 列には、2 行の情報が表示されます。
- 最初の 太字は、エンリッチメントの "フレンドリ名" です。
- 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。
UsersInsights フィールド
次の表では、BehaviorAnalytics テーブルの UsersInsights 動的フィールドに含まれるエンリッチメントについて説明します。
| エンリッチメント名 | Description | サンプル値 |
|---|---|---|
|
アカウントの表示名 (AccountDisplayName) |
ユーザーのアカウント表示名。 | Admin、Hayden Cook |
|
アカウント ドメイン (AccountDomain) |
ユーザーのアカウント ドメイン名。 | |
|
アカウント オブジェクト ID (AccountObjectID) |
ユーザーのアカウント オブジェクト ID。 | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
ブラスト半径 (BlastRadius) |
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 計算するには、BlastRadius の Microsoft Entra ID に Manager プロパティが設定されている必要があります。 | 低、中、高 |
|
休止中のアカウント (IsDormantAccount) |
アカウントは過去 180 日間使用されていません。 | 真、偽 |
|
ローカル管理者 (IsLocalAdmin) |
アカウントにはローカル管理者特権があります。 | 真、偽 |
|
新しいアカウント (IsNewAccount) |
アカウントは過去 30 日以内に作成されました。 | 真、偽 |
|
オンプレミス SID (OnPremisesSID) |
アクションに関連するユーザーのオンプレミスの SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights フィールド
次の表では、BehaviorAnalytics テーブルの DevicesInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
| エンリッチメント名 | Description | サンプル値 |
|---|---|---|
|
Browser (Browser) |
アクションで使用されたブラウザー。 | Microsoft Edge、Chrome |
|
デバイス ファミリ (DeviceFamily) |
アクションで使用されたデバイス ファミリ。 | Windows |
|
デバイスのタイプ (DeviceType) |
アクションで使用されたクライアント デバイスの種類 | Desktop |
|
ISP (ISP) |
アクションで使用されたインターネット サービス プロバイダー。 | |
|
オペレーティング システム (OperatingSystem) |
アクションで使用されたオペレーティング システム。 | ウィンドウズ10 |
|
脅威 intel インジケーターの説明 (ThreatIntelIndicatorDescription) |
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 | Host is member of botnet: azorult (ホストはボットネット azorult のメンバーである) |
|
脅威 intel インジケーターの種類 (ThreatIntelIndicatorType) |
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 | Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist |
|
ユーザー エージェント (UserAgent) |
アクションで使用されたユーザー エージェント。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
ユーザー エージェント ファミリ (UserAgentFamily) |
アクションで使用されたユーザー エージェント ファミリ。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights フィールド
次の表では、BehaviorAnalytics テーブルの ActivityInsights 動的フィールドで紹介されているエンリッチメントについて説明します。
実行されたアクション
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてアクションを実行した場合 (FirstTimeUserPerformedAction) |
180 | そのユーザーはそのアクションを初めて実行しました。 | 真、偽 |
|
ユーザーが一般的に実行するアクション (ActionUncommonlyPerformedByUser) |
10 | このアクションは、通常、ユーザーによって実行されません。 | 真、偽 |
|
ピア間で一般的に実行されていないアクション (ActionUncommonlyPerformedAmongPeers) |
180 | このアクションは、ユーザーのピア間では一般的に実行されません。 | 真、偽 |
|
テナントで初めて実行されたアクション (FirstTimeActionPerformedInTenant) |
180 | 組織内の誰かが、そのアクションを初めて実行しました。 | 真、偽 |
|
テナントで一般的に実行されていないアクション (ActionUncommonlyPerformedInTenant) |
180 | このアクションは、組織内では一般的に実行されません。 | 真、偽 |
使用されているアプリ
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてアプリを使用した場合 (FirstTimeUserUsedApp) |
180 | そのユーザーはそのアプリを初めて使用しました。 | 真、偽 |
|
ユーザーが一般的に使用するアプリ (AppUncommonlyUsedByUser) |
10 | アプリは、ユーザーによって一般的に使用されません。 | 真、偽 |
|
ピア間で一般的に使用されていないアプリ (AppUncommonlyUsedAmongPeers) |
180 | アプリは、ユーザーのピア間で一般的に使用されません。 | 真、偽 |
|
テナントで初めてアプリが観察された (FirstTimeAppObservedInTenant) |
180 | そのアプリは、その組織で初めて観察されました。 | 真、偽 |
|
テナントで一般的に使用されていないアプリ (AppUncommonlyUsedInTenant) |
180 | アプリは、組織内では一般的に使用されません。 | 真、偽 |
使用されているブラウザー
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ブラウザー経由で初めてユーザーが接続された場合 (FirstTimeUserConnectedViaBrowser) |
30 | そのユーザーによるそのブラウザーの使用が初めて観察されました。 | 真、偽 |
|
ユーザーが一般的に使用するブラウザー (BrowserUncommonlyUsedByUser) |
10 | ブラウザーは、ユーザーによって一般的に使用されません。 | 真、偽 |
|
ピア間で一般的に使用されていないブラウザー (BrowserUncommonlyUsedAmongPeers) |
30 | ブラウザーは、ユーザーのピア間で一般的に使用されません。 | 真、偽 |
|
テナントで初めてブラウザーが観察された (FirstTimeBrowserObservedInTenant) |
30 | そのブラウザーは、その組織で初めて観察されました。 | 真、偽 |
|
テナントで一般的に使用されていないブラウザー (BrowserUncommonlyUsedInTenant) |
30 | ブラウザーは、組織内では一般的に使用されません。 | 真、偽 |
接続先の国/地域
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
初めてユーザーが国から接続した場合 (FirstTimeUserConnectedFromCountry) |
90 | IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 | 真、偽 |
|
ユーザーが接続する国が一般的ではない (CountryUncommonlyConnectedFromByUser) |
10 | IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 | 真、偽 |
|
ピア間で一般的に接続されていない国 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP アドレスから解決された地理的な場所は、一般的にユーザーのピア間から接続されていません。 | 真、偽 |
|
テナントで観察された国からの初めての接続 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 国/地域は、組織内のすべてのユーザーによって初めて接続されました。 | 真、偽 |
|
テナントで一般的に接続されていない国 (CountryUncommonlyConnectedFromInTenant) |
90 | IP アドレスから解決された geo の場所は、組織内から接続されるのが一般的ではありません。 | 真、偽 |
接続に使用されたデバイス
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
デバイスから初めてユーザーが接続された場合 (FirstTimeUserConnectedFromDevice) |
30 | そのユーザーはそのソース デバイスから初めて接続しました。 | 真、偽 |
|
ユーザーによって一般的に使用されていないデバイス (DeviceUncommonlyUsedByUser) |
10 | デバイスは、ユーザーによって一般的に使用されません。 | 真、偽 |
|
ピア間で一般的に使用されていないデバイス (DeviceUncommonlyUsedAmongPeers) |
180 | デバイスは、ユーザーのピア間で一般的に使用されません。 | 真、偽 |
|
テナントで初めてデバイスが観察される (FirstTimeDeviceObservedInTenant) |
30 | そのデバイスは、その組織で初めて観察されました。 | 真、偽 |
|
テナントで一般的に使用されていないデバイス (DeviceUncommonlyUsedInTenant) |
180 | デバイスは、組織内では一般的に使用されません。 | 真、偽 |
その他のデバイス関連
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてデバイスにログオンした場合 (FirstTimeUserLoggedOnToDevice) |
180 | そのユーザーはそのターゲット デバイスに初めて接続しました。 | 真、偽 |
|
テナントで一般的に使用されていないデバイス ファミリ (DeviceFamilyUncommonlyUsedInTenant) |
30 | デバイス ファミリは、組織内では一般的に使用されません。 | 真、偽 |
接続に使用されたインターネット サービス プロバイダー
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが ISP 経由で初めて接続した場合 (FirstTimeUserConnectedViaISP) |
30 | そのユーザーによるその ISP の使用が初めて観察されました。 | 真、偽 |
|
ユーザーが一般的に使用する ISP (ISPUncommonlyUsedByUser) |
10 | ISP は、ユーザーによって一般的に使用されません。 | 真、偽 |
|
ISP がピア間で一般的に使用されていない (ISPUncommonlyUsedAmongPeers) |
30 | ISP は、ユーザーのピア間で一般的に使用されません。 | 真、偽 |
|
テナント内の ISP 経由の初めての接続 (FirstTimeConnectionViaISPInTenant) |
30 | その ISP は、その組織で初めて観察されました。 | 真、偽 |
|
テナントで一般的に使用されていない ISP (ISPUncommonlyUsedInTenant) |
30 | ISP は組織内で一般的に使用されません。 | 真、偽 |
アクセスされたリソース
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが初めてリソースにアクセスした場合 (FirstTimeUserAccessedResource) |
180 | そのリソースはそのユーザーによって初めてアクセスされました。 | 真、偽 |
|
ユーザーが一般的でないリソースにアクセスする (ResourceUncommonlyAccessedByUser) |
10 | ユーザーがリソースにアクセスすることは一般的ではありません。 | 真、偽 |
|
ピア間で一般的でないリソースへのアクセス (ResourceUncommonlyAccessedAmongPeers) |
180 | ユーザーの同僚はそのリソースにあまりアクセスしません。 | 真、偽 |
|
テナントで初めてアクセスされたリソース (FirstTimeResourceAccessedInTenant) |
180 | 組織内の誰かが、そのリソースに初めてアクセスしました。 | 真、偽 |
|
テナントで一般的でないリソースにアクセスする (ResourceUncommonlyAccessedInTenant) |
180 | リソースは、組織内で一般的にアクセスされません。 | 真、偽 |
Miscellaneous
| エンリッチメント名 | 基準計画 (日) | Description | サンプル値 |
|---|---|---|---|
|
ユーザーが最後にアクションを実行した時刻 (LastTimeUserPerformedAction) |
180 | ユーザーが同じアクションを最後に実行した日時。 | <タイムスタンプ> |
|
過去に同様のアクションが実行されませんでした (SimilarActionWasn'tPerformedInThePast) |
30 | 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 | 真、偽 |
|
ソース IP の場所 (SourceIPLocation) |
N/A | アクションのソース IP から解決された国/地域。 | [イングランド、サリー] |
|
一般的でない大量の操作 (UncommonHighVolumeOfOperations) |
7 | ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 | 真、偽 |
|
Microsoft Entra の条件付きアクセスエラーの異常な数 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました | 真、偽 |
|
異常な数のデバイスが追加されました (UnusualNumberOfDevicesAdded) |
5 | ユーザーが異常な数のデバイスを追加しました。 | 真、偽 |
|
通常とは異なる数のデバイスが削除されました (UnusualNumberOfDevicesDeleted) |
5 | ユーザーが異常な数のデバイスを削除しました。 | 真、偽 |
|
グループに追加されたユーザーの異常な数 (UnusualNumberOfUsersAddedToGroup) |
5 | ユーザーが異常な数のユーザーをグループに追加しました。 | 真、偽 |
IdentityInfo テーブル
Microsoft Sentinel ワークスペースの UEBA を有効にして構成 すると、Microsoft Sentinel で使用するために、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期されます。
これらの ID プロバイダーは、UEBA の構成時に選択した ID プロバイダーに応じて、次のいずれかまたは両方になります。
- Microsoft Entra ID (クラウドベース)
- Microsoft Active Directory (オンプレミス、Microsoft Defender for Identity が必要)
分析ルール、ハンティング クエリ、ブックで IdentityInfo テーブルに対してクエリを実行し、ユース ケースに合わせて分析を強化し、誤検知を減らすことができます。
初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。
14 日ごとに、Microsoft Sentinel は Microsoft Entra ID 全体 (および該当する場合はオンプレミスの Active Directory) と再同期して、古いレコードが完全に更新されるようにします。
これらの通常の完全同期に加えて、Microsoft Entra ID でユーザー プロファイル、グループ、組み込みロールに変更が加えられた場合、影響を受けるユーザー レコードは 15 ~ 30 分以内に IdentityInfo テーブルで再割り当てされ、更新されます。 このインジェストは通常の料金で課金されます。 例えば次が挙げられます。
表示名、役職、メール アドレスなどのユーザー属性が変更されました。 このユーザーの新しいレコードが IdentityInfo テーブルに取り込まれます。関連するフィールドは更新されます。
グループ A には 100 人のユーザーが含まれます。5 人のユーザーがグループに追加されるか、グループから削除されます。 この場合、これらの 5 つのユーザー レコードが再検索され、 GroupMembership フィールドが更新されます。
グループ A には 100 人のユーザーが含まれます。 グループ A に 10 人のユーザーが追加されます。また、グループ A1 と A2 は、それぞれ 10 人のユーザーを持つグループ A に追加されます。この場合、30 個のユーザー レコードが再割り当てされ、 GroupMembership フィールドが更新されます。 これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響を与えるためです。
グループ B (50 ユーザー) の名前が Group BeGood に変更されました。 この場合、50 個のユーザー レコードが再割り当てされ、 その GroupMembership フィールドが更新されます。 そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。
IdentityInfo テーブルの既定の保持時間は 30 日です。
Limitations
[AssignedRoles] フィールドでは、組み込みのロールのみがサポートされます。
GroupMembership フィールドでは、サブグループを含め、ユーザーごとに最大 500 個のグループを一覧表示できます。 ユーザーが 500 を超えるグループのメンバーである場合、最初の 500 だけが IdentityInfo テーブルと同期されます。 ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。
ユーザーが削除されると、そのユーザーのレコードは IdentityInfo テーブルからすぐには削除されません。 その理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 そのため、このテーブルにはユーザーのレコードが削除されるようにします。これは、実際のユーザー (Entra ID など) が削除された場合でも、 IdentityInfo テーブル内のユーザー レコードがまだ存在する場合にのみ発生します。
削除されたユーザーは、
deletedDateTimeフィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに| where IsEmpty(deletedDateTime)を追加して、削除されたユーザーを除外できます。ユーザーが削除されてから一定の間隔で、ユーザーのレコードは最終的に IdentityInfo テーブルからも削除されます。
グループが削除されたとき、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってユーザーのレコードのいずれかが更新された場合、その時点で更新されたグループ情報が含まれます。
IdentityInfo テーブルのその他のバージョン
IdentityInfo テーブルには複数のバージョンがあります。
この記事で説明する Log Analytics スキーマ バージョンは、Azure portal で Microsoft Sentinel に対応しています。 UEBA を有効にしたユーザーが利用できます。
高度なハンティング スキーマ バージョンは、Microsoft Defender for Identity を介して Microsoft Defender ポータルにサービスを提供します。 Microsoft Sentinel の有無にかかわらず、Microsoft Defender XDR のお客様、および Microsoft Sentinel のお客様が Defender ポータルで単独で利用できます。
このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示されず、使用できません。
詳細については、 この表の 高度なハンティング バージョンのドキュメントを参照してください。
2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルの Microsoft Sentinel のお客様は、高度なハンティング バージョンの新しいリリースの使用を開始します。 この新しいリリースには、Log Analytics バージョンのすべての UEBA フィールドといくつかの新しいフィールドが含まれており、 統合バージョン または 統合 IdentityInfo テーブルと呼ばれます。
UEBA が有効になっていない、または Microsoft Sentinel がまったくない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced Hunting バージョンの以前のリリースを引き続き使用します。
統合バージョンの詳細については、高度なハンティングドキュメントの IdentityInfo を参照してください。
Schema
次の [Log Analytics スキーマ] タブの表では、Azure portal の Log Analytics の IdentityInfo テーブルに含まれるユーザー ID データについて説明します。
Microsoft Sentinel を Defender ポータルにオンボードする場合は、[Compare to unified schema]\(統合スキーマと比較\) タブを選択して、脅威検出ルールと検出のクエリに影響する可能性のある変更を表示します。
| フィールド名 | タイプ | Description |
|---|---|---|
| AccountCloudSID | 文字列 | アカウントの Microsoft Entra セキュリティ識別子。 |
| AccountCreationTime | datetime | ユーザー アカウントが作成された日付 (UTC)。 |
| AccountDisplayName | 文字列 | ユーザー アカウントの表示名。 |
| AccountDomain | 文字列 | ユーザー アカウントのドメイン名。 |
| AccountName | 文字列 | ユーザー アカウントのユーザー名。 |
| AccountObjectId | 文字列 | ユーザー アカウントの Microsoft Entra オブジェクト ID。 |
| AccountSID | 文字列 | ユーザー アカウントのオンプレミス セキュリティ識別子。 |
| AccountTenantId | 文字列 | ユーザー アカウントの Microsoft Entra テナント ID。 |
| AccountUPN | 文字列 | ユーザー アカウントのユーザー プリンシパル名。 |
| AdditionalMailAddresses | dynamic | ユーザーの追加のメール アドレス。 |
| AssignedRoles | dynamic | ユーザー アカウントが割り当てられている Microsoft Entra ロール。 組み込みロールのみがサポートされています。 |
| BlastRadius | 文字列 | 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。 使用可能な値: "低、中、高" |
| ChangeSource | 文字列 | エンティティに対し、最新の変更があるソース。 可能な値: |
| City | 文字列 | ユーザー アカウントの市。 |
| CompanyName | 文字列 | ユーザーが属する会社名。 |
| Country | 文字列 | ユーザー アカウントの国/地域。 |
| DeletedDateTime | datetime | ユーザーが削除された日時。 |
| Department | 文字列 | ユーザー アカウントの部門。 |
| EmployeeId | 文字列 | 組織によりユーザーに割り当てられた従業員 ID。 |
| GivenName | 文字列 | ユーザー アカウントの名。 |
| GroupMembership | dynamic | ユーザー アカウントがメンバーである Microsoft Entra ID グループ。 |
| IsAccountEnabled | bool | ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。 |
| JobTitle | 文字列 | ユーザー アカウントの役職。 |
| MailAddress | 文字列 | ユーザー アカウントのプライマリ メール アドレス。 |
| Manager | 文字列 | ユーザー アカウントのマネージャーの別名。 |
| OnPremisesDistinguishedName | 文字列 | Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
| Phone | 文字列 | ユーザー アカウントの電話番号。 |
| RiskLevel | 文字列 | ユーザー アカウントの Microsoft Entra ID リスク レベル。 可能な値: |
| RiskLevelDetails | 文字列 | Microsoft Entra ID リスク レベルに関する詳細。 |
| RiskState | 文字列 | アカウントが現在危険にさらされているか、リスクが修復されたかを示します。 |
| SourceSystem | 文字列 | ユーザーが管理されているシステム。 可能な値: |
| State | 文字列 | ユーザー アカウントの地理的な状態。 |
| StreetAddress | 文字列 | ユーザー アカウントのオフィスの番地。 |
| Surname | 文字列 | ユーザーの姓名の姓。 account. |
| TenantId | 文字列 | ユーザーのテナント ID。 |
| TimeGenerated | datetime | イベントが生成された時刻 (UTC)。 |
| Type | 文字列 | テーブルの名前。 |
| UserAccountControl | dynamic | AD ドメイン内のユーザー アカウントのセキュリティ属性。 指定できる値 (複数の値を含む場合があります): |
| UserState | 文字列 | Microsoft Entra ID におけるユーザー アカウントの現在の状態。 使用可能な値: |
| UserStateChangedOn | datetime | アカウントの状態が最後に変更された日付 (UTC)。 |
| UserType | 文字列 | ユーザーの種類。 |
次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Microsoft SentinelワークフローとのUEBA統合
UEBAのインサイトはMicrosoft Sentinel全体に統合され、セキュリティ運用のワークフローを強化しています:
エンティティページとユーザー調査
- ユーザーパネルの異常:過去30日間の上位3つのユーザー異常をユーザー側パネルとユーザーページの概要タブで直接確認できます。 これにより、さまざまなポータル拠点のユーザーを調査する際に即座にUEBAの文脈が得られます。 詳細については、「 エンティティに関する調査」ページをご覧ください。
狩猟と探知の強化
- Go Hunt異常クエリ:ユーザーエンティティを調査する際にインシデントグラフから直接組み込みの異常検索にアクセスでき、UEBAの結果に基づく即時のコンテキスト検索を可能にします。
- 異常表の推奨:対象データソースをクエリする際にUEBA異常テーブルを追加することで、検索クエリを強化するためのインテリジェントな提案を受け取りましょう。
これらのハンティング機能の詳細は、 Microsoft SentinelのThreat Huntingをご覧ください。
調査ワークフロー
- 強化された調査グラフ:ユーザーエンティティとのインシデントを調査する際は、調査グラフから直接UEBA異常クエリにアクセスし、即時の行動文脈を得られます。
調査の強化についての詳細は 、「Microsoft Sentinelインシデントの詳細な調査」をご覧ください。
UEBA統合強化の前提条件
これらの強化されたUEBA機能にアクセスするには:
- UEBAはMicrosoft Sentinelワークスペースで有効にする必要があります
- ワークスペースはMicrosoft Defenderポータルにオンボーディングされている必要があります(一部の機能の場合)
- UEBAデータの閲覧およびハンティングクエリを実行するための適切な権限
次のステップ
このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。
- エンティティの動作分析について詳しくは、こちらをご覧ください。
- Microsoft Sentinel で UEBA を有効にします。
- 調査に使用する UEBA を配置 します。