이 참조 문서에서는 Microsoft Sentinel의 사용자 및 엔터티 동작 분석 서비스에 대한 입력 데이터 원본을 나열합니다. 또한 UEBA에서는 엔터티에 추가되는 보강을 설명하여 경고 및 인시던트에 필요한 컨텍스트를 제공합니다.
Important
Microsoft Sentinel은 Microsoft Defender XDR 또는 E5 라이선스가 없는 고객을 포함하여 Microsoft Defender 포털에서 일반적으로 사용할 수 있습니다.
2026년 7월부터 Azure Portal에서 Microsoft Sentinel을 사용하는 모든 고객은 Defender 포털로 리디렉션되고 Defender 포털에서만 Microsoft Sentinel을 사용합니다. 2025년 7월부터 많은 신규 고객이 자동으로 온보딩되고 Defender 포털로 리디렉션됩니다.
Azure Portal에서 Microsoft Sentinel을 계속 사용하는 경우 원활한 전환을 보장하고 Microsoft Defender 에서 제공하는 통합 보안 작업 환경을 최대한 활용하기 위해 Defender 포털로의 전환 계획을 시작하는 것이 좋습니다. 자세한 내용은 보안을 강화하기 위해 It's Time to Move: Retiring Microsoft Sentinel's Azure Portal을 참조하세요.
UEBA 데이터 원본
UEBA 엔진은 데이터를 수집, 분석하여 ML 모델을 학습시키고 사용자, 디바이스 및 기타 엔터티에 대한 동작 기준을 설정하는 데이터 원본입니다. 그런 다음 UEBA는 이러한 원본에서 데이터를 확인하여 변칙을 찾고 인사이트를 수집합니다.
| 데이터 원본 | Connector | Log Analytics 테이블 | 분석된 이벤트 범주 |
|---|---|---|---|
| AAD 관리 ID 로그인 로그(미리 보기) | Microsoft Entra ID (마이크로소프트 엔트라 ID) | AADManagedIdentitySignInLogs | 모든 관리 ID 로그인 이벤트 |
| AAD 서비스 주체 로그인 로그(미리 보기) | Microsoft Entra ID (마이크로소프트 엔트라 ID) | AADServicePrincipalSignInLogs | 모든 서비스 주체 로그인 이벤트 |
| 감사 로그 | Microsoft Entra ID (마이크로소프트 엔트라 ID) | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail(미리 보기) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | 콘솔 로그인 이벤트입니다. 및 EventSource = "signin.amazonaws.com".로 식별됩니다EventName = "ConsoleLogin". 이벤트에는 유효한 UserIdentityPrincipalId. |
| Azure 활동 | Azure 활동 | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| 디바이스 로그온 이벤트(미리 보기) | Microsoft Defender XDR | DeviceLogonEvents | 모든 디바이스 로그온 이벤트 |
| GCP 감사 로그(미리 보기) | GCP Pub/Sub Audit Logs | GCPAuditLogs |
apigee.googleapis.com - API Management 플랫폼iam.googleapis.com - IAM(ID 및 액세스 관리) 서비스iamcredentials.googleapis.com - IAM 서비스 계정 자격 증명 APIcloudresourcemanager.googleapis.com - Cloud Resource Manager APIcompute.googleapis.com - 컴퓨팅 엔진 APIstorage.googleapis.com - Cloud Storage APIcontainer.googleapis.com - Kubernetes 엔진 APIk8s.io - Kubernetes APIcloudsql.googleapis.com - 클라우드 SQL APIbigquery.googleapis.com - BigQuery APIbigquerydatatransfer.googleapis.com - BigQuery 데이터 전송 서비스 APIcloudfunctions.googleapis.com - Cloud Functions APIappengine.googleapis.com - 앱 엔진 APIdns.googleapis.com - 클라우드 DNS APIbigquerydatapolicy.googleapis.com - BigQuery 데이터 정책 APIfirestore.googleapis.com - Firestore APIdataproc.googleapis.com - Dataproc APIosconfig.googleapis.com - OS 구성 APIcloudkms.googleapis.com - 클라우드 KMS APIsecretmanager.googleapis.com - Secret Manager API이벤트에는 유효한 다음이 있어야 합니다. - PrincipalEmail - API를 호출한 사용자 또는 서비스 계정- MethodName - 호출된 특정 Google API 메서드- 보안 주체 전자 메일 형식입니다 user@___domain.com . |
| Okta CL(미리 보기) | Okta 단일 Sign-On(Azure Functions 사용) | Okta_CL | 다음을 비롯한 인증, MFA(다단계 인증) 및 세션 이벤트app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.start이벤트에는 유효한 사용자 ID()가 actor_id_s 있어야 합니다. |
| 보안 이벤트 | AMA를 통한 Windows 보안 이벤트 Windows 전달 이벤트 |
WindowsEvent SecurityEvent |
4624: 계정에 로그온됨 4625: 계정에 로그온하지 못함 4648: 명시적 자격 증명을 사용해 로그온을 시도함 4672: 역할에 할당된 데이터베이스 개체 권한 4688: 새 프로세스가 만들어짐 |
| 로그인 로그 | Microsoft Entra ID (마이크로소프트 엔트라 ID) | SigninLogs | 모든 로그인 이벤트 |
UEBA 보강
이 섹션에서는 보안 인시던트 조사에 집중하고 선명하게 하는 데 사용할 수 있는 UEBA가 Microsoft Sentinel 엔터티에 추가하는 보강에 대해 설명합니다. 이러한 보강은 엔터티 페이지에 표시되며 아래 나열된 내용 및 스키마인 다음 Log Analytics 테이블에서 찾을 수 있습니다.
BehaviorAnalytics 테이블은 UEBA의 출력 정보가 저장되는 위치입니다.
BehaviorAnalytics 테이블의 다음 세 동적 필드는 아래 엔터티 보강 동적 필드 섹션에 설명되어 있습니다.
UsersInsights 및 DevicesInsights 필드에는 Active Directory/Microsoft Entra ID 및 Microsoft Threat Intelligence 원본의 엔터티 정보가 포함됩니다.
ActivityInsights 필드에는 Microsoft Sentinel의 엔터티 동작 분석에서 빌드한 동작 프로필을 기반으로 하는 엔터티 정보가 포함됩니다.
사용자 활동은 사용될 때마다 동적으로 컴파일되는 기준선에 대해 분석됩니다. 각 활동에는 동적 기준이 파생되는 고유한 정의된 조회 기간이 있습니다. 조회 기간은 이 테이블의 초기 계획 열에 지정됩니다.
IdentityInfo 테이블은 Microsoft Entra ID(및 Microsoft Defender for Identity를 통해 온-프레미스 Active Directory)에서 UEBA에 동기화된 ID 정보가 저장되는 위치입니다.
BehaviorAnalytics 테이블
다음 표에서는 Microsoft Sentinel의 각 엔터티 세부 정보 페이지에 표시되는 동작 분석 데이터를 설명합니다.
| Field | Type | Description |
|---|---|---|
| TenantId | string | 테넌트의 고유한 ID 번호입니다. |
| SourceRecordId | string | EBA 이벤트의 고유 ID 번호입니다. |
| TimeGenerated | datetime | 작업 발생의 타임스탬프입니다. |
| TimeProcessed | datetime | EBA 엔진에서 작업 처리의 타임스탬프입니다. |
| ActivityType | string | 활동의 상위 수준 범주입니다. |
| ActionType | string | 활동의 정규화된 이름입니다. |
| UserName | string | 활동을 시작한 사용자의 사용자 이름입니다. |
| UserPrincipalName | string | 활동을 시작한 사용자의 전체 사용자 이름입니다. |
| EventSource | string | 원래 이벤트를 제공한 데이터 원본입니다. |
| SourceIPAddress | string | 활동이 시작된 IP 주소입니다. |
| SourceIPLocation | string | 활동이 시작된 국가/지역이며 IP 주소에서 보강됩니다. |
| SourceDevice | string | 활동을 시작한 디바이스의 호스트 이름입니다. |
| DestinationIPAddress | string | 활동 대상의 IP 주소입니다. |
| DestinationIPLocation | string | IP 주소에서 보강된 활동 대상의 국가/지역입니다. |
| DestinationDevice | string | 대상 디바이스의 이름입니다. |
| UsersInsights | dynamic | 관련된 사용자의 컨텍스트 보강(아래 세부 정보). |
| DevicesInsights | dynamic | 관련된 디바이스의 컨텍스트 보강(아래 세부 정보). |
| ActivityInsights | dynamic | 프로파일링을 기반으로 하는 활동의 컨텍스트 분석(아래 세부 정보). |
| InvestigationPriority | int | 0-10 사이의 변칙 점수(0=무해, 10=매우 비정상)입니다. 이 점수는 예상 동작의 편차 정도를 정량화합니다. 점수가 높을수록 기준선에서 더 큰 편차를 나타내며 실제 변칙을 나타낼 가능성이 높습니다. 낮은 점수는 여전히 비정상일 수 있지만 중요하거나 실행 가능할 가능성이 적습니다. |
엔터티 보강 동적 필드
Note
이 섹션의 테이블에 있는 보강 이름 열에는 두 개의 정보 행이 표시됩니다.
- 첫 번째는 굵게 보강의 "친숙한 이름"입니다.
- 두 번째 (기울임꼴 및 괄호) 는 Behavior Analytics 테이블에 저장된 보강의 필드 이름입니다.
UsersInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 UsersInsights 동적 필드에 있는 보강에 대해 설명합니다.
| 보강 이름 | Description | 샘플 값 |
|---|---|---|
|
계정 표시 이름 (AccountDisplayName) |
사용자의 계정 표시 이름입니다. | 관리자, Hayden Cook |
|
계정 도메인 (AccountDomain) |
사용자의 계정 도메인 이름입니다. | |
|
계정 개체 ID (AccountObjectID) |
사용자의 계정 개체 ID입니다. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
폭발 반경 (BlastRadius) |
폭발 반경은 조직 트리에서 사용자의 위치 및 사용자의 Microsoft Entra 역할 및 권한과 같은 여러 요인에 따라 계산됩니다. 계산하려면 BlastRadius에 대한 Microsoft Entra ID로 관리자 속성이 채워져 있어야 합니다. | 낮음, 보통, 높음 |
|
휴면 계정인 경우 (IsDormantAccount) |
이 계정은 지난 180일 동안 사용되지 않았습니다. | 참, 거짓 |
|
로컬 관리자인가요? (IsLocalAdmin) |
계정에 로컬 관리자 권한이 있습니다. | 참, 거짓 |
|
새 계정인가요? (IsNewAccount) |
이 계정은 지난 30일 이내에 만들어졌습니다. | 참, 거짓 |
|
온-프레미스 SID (OnPremisesSID) |
작업과 관련된 사용자의 온-프레미스 SID입니다. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 DevicesInsights 동적 필드에 있는 보강에 대해 설명합니다.
| 보강 이름 | Description | 샘플 값 |
|---|---|---|
|
Browser (Browser) |
작업에 사용되는 브라우저입니다. | Microsoft Edge, Chrome |
|
디바이스 패밀리 (DeviceFamily) |
작업에 사용되는 디바이스 패밀리입니다. | Windows |
|
장치 유형 (DeviceType) |
작업에 사용되는 클라이언트 디바이스 유형입니다. | Desktop |
|
ISP (ISP) |
작업에 사용되는 인터넷 서비스 공급자입니다. | |
|
운영 체제 (OperatingSystem) |
작업에 사용되는 운영 체제입니다. | Windows 10 |
|
위협 인텔 표시기 설명 (ThreatIntelIndicatorDescription) |
작업에 사용된 IP 주소에서 확인된 관찰된 위협 지표에 대한 설명입니다. | 호스트는 봇네트의 멤버임: azorult |
|
위협 인텔 표시기 유형 (ThreatIntelIndicatorType) |
작업에 사용된 IP 주소에서 확인된 위협 표시기의 유형입니다. | 봇네트, C2, CryptoMining, 다크넷, Ddos, MaliciousUrl, 맬웨어, 피싱, 프록시, PUA, 관심 목록 |
|
사용자 에이전트 (UserAgent) |
작업에 사용되는 사용자 에이전트입니다. | Microsoft Azure Graph 클라이언트 라이브러리 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
사용자 에이전트 패밀리 (UserAgentFamily) |
작업에 사용되는 사용자 에이전트 패밀리입니다. | Chrome, Microsoft Edge, Firefox |
ActivityInsights 필드
다음 표에서는 BehaviorAnalytics 테이블의 ActivityInsights 동적 필드에 있는 보강에 대해 설명합니다.
수행된 작업
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
처음으로 사용자가 작업을 수행했습니다. (FirstTimeUserPerformedAction) |
180 | 사용자가 처음으로 작업을 수행했습니다. | 참, 거짓 |
|
사용자가 자주 수행하지 않은 작업 (ActionUncommonlyPerformedByUser) |
10 | 작업은 일반적으로 사용자가 수행하지 않습니다. | 참, 거짓 |
|
피어 간에 드물게 수행되는 작업 (ActionUncommonlyPerformedAmongPeers) |
180 | 작업은 일반적으로 사용자의 피어 간에 수행되지 않습니다. | 참, 거짓 |
|
테넌트에서 처음으로 수행된 작업 (FirstTimeActionPerformedInTenant) |
180 | 이 작업은 조직의 모든 사용자가 처음으로 수행했습니다. | 참, 거짓 |
|
테넌트에서 드물게 수행되는 작업 (ActionUncommonlyPerformedInTenant) |
180 | 작업은 조직에서 일반적으로 수행되지 않습니다. | 참, 거짓 |
사용된 앱
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
처음 사용자가 앱을 사용한 경우 (FirstTimeUserUsedApp) |
180 | 사용자가 앱을 처음으로 사용했습니다. | 참, 거짓 |
|
사용자가 자주 사용하지 않은 앱 (AppUncommonlyUsedByUser) |
10 | 앱은 일반적으로 사용자가 사용하지 않습니다. | 참, 거짓 |
|
피어 간에 자주 사용되지 않은 앱 (AppUncommonlyUsedAmongPeers) |
180 | 앱은 사용자의 피어 간에 일반적으로 사용되지 않습니다. | 참, 거짓 |
|
테넌트에서 처음으로 앱이 관찰됨 (FirstTimeAppObservedInTenant) |
180 | 조직에서 처음으로 앱이 관찰되었습니다. | 참, 거짓 |
|
테넌트에서 자주 사용되지 않은 앱 (AppUncommonlyUsedInTenant) |
180 | 앱은 조직에서 일반적으로 사용되지 않습니다. | 참, 거짓 |
사용된 브라우저
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
브라우저를 통해 처음 연결한 사용자 (FirstTimeUserConnectedViaBrowser) |
30 | 사용자가 브라우저를 처음으로 관찰했습니다. | 참, 거짓 |
|
사용자가 자주 사용하지 않은 브라우저 (BrowserUncommonlyUsedByUser) |
10 | 브라우저는 일반적으로 사용자가 사용하지 않습니다. | 참, 거짓 |
|
피어 간에 자주 사용되지 않은 브라우저 (BrowserUncommonlyUsedAmongPeers) |
30 | 브라우저는 사용자의 피어 간에 일반적으로 사용되지 않습니다. | 참, 거짓 |
|
테넌트에서 처음으로 브라우저가 관찰됨 (FirstTimeBrowserObservedInTenant) |
30 | 조직에서 브라우저가 처음으로 관찰되었습니다. | 참, 거짓 |
|
테넌트에서 자주 사용되지 않은 브라우저 (BrowserUncommonlyUsedInTenant) |
30 | 브라우저는 조직에서 일반적으로 사용되지 않습니다. | 참, 거짓 |
에서 연결된 국가/지역
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
처음 사용자가 국가에서 연결됨 (FirstTimeUserConnectedFromCountry) |
90 | 사용자가 IP 주소에서 확인된 지리적 위치에서 처음으로 연결했습니다. | 참, 거짓 |
|
사용자가 자주 연결하지 않은 국가 (CountryUncommonlyConnectedFromByUser) |
10 | IP 주소에서 확인된 지리적 위치는 사용자가 일반적으로 연결하지 않습니다. | 참, 거짓 |
|
동료 간에 드물게 연결된 국가 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP 주소에서 확인된 지리적 위치는 일반적으로 사용자의 피어 간에 연결되지 않습니다. | 참, 거짓 |
|
테넌트에서 관찰된 국가에서 처음 연결 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 국가/지역은 조직의 모든 사용자가 처음으로 연결했습니다. | 참, 거짓 |
|
테넌트에서 드물게 연결된 국가 (CountryUncommonlyConnectedFromInTenant) |
90 | IP 주소에서 확인된 지리적 위치는 조직에서 일반적으로 연결되지 않습니다. | 참, 거짓 |
연결하는 데 사용되는 디바이스
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
사용자가 디바이스에서 처음 연결됨 (FirstTimeUserConnectedFromDevice) |
30 | 사용자가 원본 디바이스를 처음으로 연결했습니다. | 참, 거짓 |
|
사용자가 자주 사용하지 않은 디바이스 (DeviceUncommonlyUsedByUser) |
10 | 디바이스는 사용자가 일반적으로 사용하지 않습니다. | 참, 거짓 |
|
피어 간에 자주 사용되지 않은 디바이스 (DeviceUncommonlyUsedAmongPeers) |
180 | 디바이스는 사용자의 피어 간에 일반적으로 사용되지 않습니다. | 참, 거짓 |
|
테넌트에서 처음으로 디바이스가 관찰됨 (FirstTimeDeviceObservedInTenant) |
30 | 디바이스가 조직에서 처음으로 관찰되었습니다. | 참, 거짓 |
|
테넌트에서 자주 사용되지 않은 디바이스 (DeviceUncommonlyUsedInTenant) |
180 | 디바이스는 조직에서 일반적으로 사용되지 않습니다. | 참, 거짓 |
기타 디바이스 관련
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
사용자가 디바이스에 처음 로그온한 경우 (FirstTimeUserLoggedOnToDevice) |
180 | 대상 디바이스가 사용자가 처음으로 연결했습니다. | 참, 거짓 |
|
테넌트에서 자주 사용되지 않은 디바이스 패밀리 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 디바이스 패밀리는 조직에서 일반적으로 사용되지 않습니다. | 참, 거짓 |
연결하는 데 사용되는 인터넷 서비스 공급자
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
ISP를 통해 처음 연결한 사용자 (FirstTimeUserConnectedViaISP) |
30 | ISP는 사용자가 처음으로 관찰했습니다. | 참, 거짓 |
|
사용자가 자주 사용하지 않은 ISP (ISPUncommonlyUsedByUser) |
10 | ISP는 사용자가 일반적으로 사용하지 않습니다. | 참, 거짓 |
|
피어 간에 자주 사용되지 않은 ISP (ISPUncommonlyUsedAmongPeers) |
30 | ISP는 사용자의 피어 간에 일반적으로 사용되지 않습니다. | 참, 거짓 |
|
테넌트에서 ISP를 통해 처음 연결 (FirstTimeConnectionViaISPInTenant) |
30 | ISP가 조직에서 처음으로 관찰되었습니다. | 참, 거짓 |
|
테넌트에서 자주 사용되지 않은 ISP (ISPUncommonlyUsedInTenant) |
30 | ISP는 조직에서 일반적으로 사용되지 않습니다. | 참, 거짓 |
액세스한 리소스
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
사용자가 리소스에 처음 액세스한 경우 (FirstTimeUserAccessedResource) |
180 | 사용자가 리소스에 처음으로 액세스했습니다. | 참, 거짓 |
|
사용자가 자주 액세스하지 않은 리소스 (ResourceUncommonlyAccessedByUser) |
10 | 리소스는 일반적으로 사용자가 액세스하지 않습니다. | 참, 거짓 |
|
피어 간에 자주 액세스되지 않은 리소스 (ResourceUncommonlyAccessedAmongPeers) |
180 | 리소스는 일반적으로 사용자의 피어 간에 액세스되지 않습니다. | 참, 거짓 |
|
테넌트에서 처음으로 리소스에 액세스 (FirstTimeResourceAccessedInTenant) |
180 | 조직의 모든 사용자가 처음으로 리소스에 액세스했습니다. | 참, 거짓 |
|
테넌트에서 자주 액세스하지 않은 리소스 (ResourceUncommonlyAccessedInTenant) |
180 | 리소스는 조직에서 일반적으로 액세스되지 않습니다. | 참, 거짓 |
Miscellaneous
| 보강 이름 | 초기 계획 (일) | Description | 샘플 값 |
|---|---|---|---|
|
사용자가 작업을 마지막으로 수행한 시간 (LastTimeUserPerformedAction) |
180 | 마지막으로 사용자가 동일한 작업을 수행했습니다. | <타임 스탬프> |
|
과거에도 비슷한 작업이 수행되지 않았습니다. (SimilarActionWasn'tPerformedInThePast) |
30 | 사용자가 동일한 리소스 공급자에서 아무 작업도 수행하지 않았습니다. | 참, 거짓 |
|
원본 IP 위치 (SourceIPLocation) |
N/A | 작업의 원본 IP에서 확인된 국가/지역입니다. | [써리, 잉글랜드] |
|
일반적이지 않은 대량 작업 (UncommonHighVolumeOfOperations) |
7 | 사용자가 동일한 공급자 내에서 유사한 작업의 버스트를 수행했습니다. | 참, 거짓 |
|
비정상적인 수의 Microsoft Entra 조건부 액세스 실패 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 조건부 액세스로 인해 비정상적인 수의 사용자가 인증하지 못했습니다. | 참, 거짓 |
|
비정상적인 수의 디바이스가 추가됨 (UnusualNumberOfDevicesAdded) |
5 | 사용자가 비정상적인 수의 디바이스를 추가했습니다. | 참, 거짓 |
|
비정상적인 수의 디바이스가 삭제됨 (UnusualNumberOfDevicesDeleted) |
5 | 사용자가 비정상적인 수의 디바이스를 삭제했습니다. | 참, 거짓 |
|
그룹에 추가된 비정상적인 사용자 수 (UnusualNumberOfUsersAddedToGroup) |
5 | 사용자가 그룹에 비정상적인 수의 사용자를 추가했습니다. | 참, 거짓 |
IdentityInfo 테이블
Microsoft Sentinel 작업 영역에 대해 UEBA를 사용하도록 설정하고 구성 하면 Microsoft ID 공급자의 사용자 데이터가 Microsoft Sentinel에서 사용하기 위해 Log Analytics의 IdentityInfo 테이블로 동기화됩니다.
이러한 ID 공급자는 UEBA를 구성할 때 선택한 항목에 따라 다음 중 하나 또는 둘 다입니다.
- Microsoft Entra ID(클라우드 기반)
- Microsoft Active Directory(온-프레미스, Microsoft Defender for Identity 필요)
분석 규칙, 헌팅 쿼리 및 통합 문서에서 IdentityInfo 테이블을 쿼리하여 사용 사례에 맞게 분석을 강화하고 가양성을 줄일 수 있습니다.
초기 동기화에는 며칠이 걸릴 수 있지만 데이터가 완전히 동기화되면 다음을 수행합니다.
Microsoft Sentinel은 14일마다 전체 Microsoft Entra ID(및 해당하는 경우 온-프레미스 Active Directory)로 다시 동기화하여 부실 레코드가 완전히 업데이트되도록 합니다.
이러한 정기적인 전체 동기화 외에도 Microsoft Entra ID에서 사용자 프로필, 그룹 및 기본 제공 역할이 변경될 때마다 영향을 받는 사용자 레코드가 15-30분 이내에 IdentityInfo 테이블에서 다시 수집되고 업데이트됩니다. 이 수집은 일반 요금으로 청구됩니다. 다음은 그 예입니다.
표시 이름, 작업 제목 또는 전자 메일 주소와 같은 사용자 특성이 변경되었습니다. 이 사용자에 대한 새 레코드가 IdentityInfo 테이블에 수집되고 관련 필드가 업데이트됩니다.
그룹 A에는 100명의 사용자가 있습니다. 5명의 사용자가 그룹에 추가되거나 그룹에서 제거됩니다. 이 경우 해당 5개의 사용자 레코드가 다시 수집되고 GroupMembership 필드가 업데이트됩니다.
그룹 A에는 100명의 사용자가 있습니다. 그룹 A에 10명의 사용자가 추가됩니다. 또한 각각 10명의 사용자가 있는 그룹 A1 및 A2가 그룹 A에 추가됩니다. 이 경우 30개의 사용자 레코드가 다시 수집되고 GroupMembership 필드가 업데이트됩니다. 그룹 멤버 자격은 전이적이므로 그룹의 변경 내용이 모든 하위 그룹에 영향을 미치기 때문에 발생합니다.
그룹 B(사용자 50명 포함)의 이름이 그룹 BeGood로 바뀝니다. 이 경우 50개의 사용자 레코드가 다시 수집되고 GroupMembership 필드가 업데이트됩니다. 해당 그룹에 하위 그룹이 있는 경우 모든 멤버의 레코드에 같게 발생합니다.
IdentityInfo 테이블의 기본 보존 시간은 30일입니다.
Limitations
AssignedRoles 필드는 기본 제공 역할만 지원합니다.
GroupMembership 필드는 하위 그룹을 포함하여 사용자당 최대 500개의 그룹을 나열하도록 지원합니다. 사용자가 500개 이상의 그룹의 구성원인 경우 처음 500개만 IdentityInfo 테이블과 동기화됩니다. 그러나 그룹은 특정 순서로 평가되지 않으므로 새 동기화마다(14일마다) 다른 그룹 집합이 사용자 레코드로 업데이트될 수 있습니다.
사용자가 삭제되면 해당 사용자의 레코드는 IdentityInfo 테이블에서 즉시 삭제되지 않습니다. 이 테이블의 목적 중 하나는 사용자 레코드에 대한 변경 내용을 감사하기 위한 것입니다. 따라서 실제 사용자(예: Entra ID)가 삭제되더라도 IdentityInfo 테이블의 사용자 레코드가 여전히 존재하는 경우에만 발생할 수 있는 삭제되는 사용자의 레코드를 이 테이블에 포함하려고 합니다.
삭제된 사용자는 필드에 값
deletedDateTime이 있으면 식별할 수 있습니다. 따라서 사용자 목록을 표시하는 쿼리가 필요한 경우 쿼리에 추가하여| where IsEmpty(deletedDateTime)삭제된 사용자를 필터링할 수 있습니다.사용자가 삭제된 후 특정 간격으로 사용자의 레코드는 결국 IdentityInfo 테이블에서도 제거됩니다.
그룹이 삭제되거나 구성원이 100명 이상인 그룹의 이름이 변경된 경우 해당 그룹의 멤버 사용자 레코드는 업데이트되지 않습니다. 다른 변경으로 인해 해당 사용자의 레코드 중 하나가 업데이트되는 경우 업데이트된 그룹 정보가 해당 시점에 포함됩니다.
IdentityInfo 테이블의 다른 버전
IdentityInfo 테이블의 여러 버전이 있습니다.
이 문서에서 설명하는 Log Analytics 스키마 버전은 Azure Portal에서 Microsoft Sentinel을 제공합니다. UEBA를 사용하도록 설정한 고객이 사용할 수 있습니다.
고급 헌팅 스키마 버전은 Microsoft Defender for Identity를 통해 Microsoft Defender 포털을 제공합니다. Microsoft Sentinel을 사용하거나 사용하지 않는 Microsoft Defender XDR의 고객 및 Defender 포털에서 자체 Microsoft Sentinel 고객에게 제공됩니다.
이 테이블에 액세스하기 위해 UEBA를 사용하도록 설정할 필요가 없습니다. 그러나 UEBA를 사용하지 않는 고객의 경우 UEBA 데이터로 채워진 필드가 표시되지 않거나 사용할 수 없습니다.
자세한 내용은 이 테이블의 고급 헌팅 버전 설명서를 참조하세요.
2025년 5월부터UEBA를 사용하도록 설정된Microsoft Defender 포털의 Microsoft Sentinel 고객은 고급 헌팅 버전의 새 릴리스를 사용하기 시작합니다. 이 새 릴리스에는 Log Analytics 버전의 모든 UEBA 필드와 일부 새 필드가 포함되어 있으며 통합 버전 또는 통합 IdentityInfo 테이블이라고 합니다.
UEBA를 사용하지 않거나 Microsoft Sentinel이 없는 Defender 포털 고객은 UEBA 생성 필드 없이 고급 헌팅 버전의 이전 릴리스를 계속 사용합니다.
통합 버전에 대한 자세한 내용은 고급 헌팅 설명서의 IdentityInfo를 참조하세요.
Schema
다음 "Log Analytics 스키마" 탭의 표에서는 Azure Portal의 Log Analytics에서 IdentityInfo 테이블에 포함된 사용자 ID 데이터를 설명합니다.
Microsoft Sentinel을 Defender 포털에 온보딩하는 경우 "통합 스키마와 비교" 탭을 선택하여 위협 탐지 규칙 및 헌팅의 쿼리에 영향을 줄 수 있는 변경 내용을 확인합니다.
| 필드 이름 | Type | Description |
|---|---|---|
| AccountCloudSID | string | 계정의 Microsoft Entra 보안 식별자입니다. |
| AccountCreationTime | datetime | 사용자 계정이 만들어진 날짜(UTC)입니다. |
| AccountDisplayName | string | 사용자 계정의 표시 이름입니다. |
| AccountDomain | string | 사용자 계정의 도메인 이름입니다. |
| AccountName | string | 사용자 계정의 사용자 이름입니다. |
| AccountObjectId | string | 사용자 계정에 대한 Microsoft Entra 개체 ID입니다. |
| AccountSID | string | 사용자 계정의 온-프레미스 보안 식별자입니다. |
| AccountTenantId | string | 사용자 계정의 Microsoft Entra 테넌트 ID입니다. |
| AccountUPN | string | 사용자 계정의 사용자 계정 이름입니다. |
| AdditionalMailAddresses | dynamic | 사용자의 추가 전자 메일 주소입니다. |
| AssignedRoles | dynamic | 사용자 계정이 할당된 Microsoft Entra 역할입니다. 기본 제공 역할만 지원됩니다. |
| BlastRadius | string | 조직 트리에서 사용자의 위치와 사용자의 Microsoft Entra 역할 및 사용 권한을 기반으로 하는 계산입니다. 가능한 값: 낮음, 보통, 높음 |
| ChangeSource | string | 엔터티에 대한 최신 변경의 원본입니다. 가능한 값: |
| City | string | 사용자 계정의 도시입니다. |
| CompanyName | string | 사용자가 속한 회사 이름입니다. |
| Country | string | 사용자 계정의 국가/지역입니다. |
| DeletedDateTime | datetime | 사용자가 삭제된 날짜 및 시간입니다. |
| Department | string | 사용자 계정의 부서입니다. |
| EmployeeId | string | 조직에서 사용자에게 할당한 직원 식별자입니다. |
| GivenName | string | 사용자 계정의 지정된 이름입니다. |
| GroupMembership | dynamic | 사용자 계정이 멤버인 Microsoft Entra ID 그룹입니다. |
| IsAccountEnabled | bool | Microsoft Entra ID에서 사용자 계정을 사용할 수 있는지 여부를 나타내는 표시입니다. |
| JobTitle | string | 사용자의 직위입니다. |
| MailAddress | string | 사용자 계정의 기본 메일 주소. |
| Manager | string | 사용자 계정의 관리자 별칭입니다. |
| OnPremisesDistinguishedName | string | Microsoft Entra ID DN(고유 이름)입니다. 고유 이름은 쉼표로 연결된 RDN(상대 고유 이름) 시퀀스입니다. |
| Phone | string | 사용자 계정의 전화 번호입니다. |
| RiskLevel | string | 사용자 계정의 Microsoft Entra ID 위험 수준입니다. 가능한 값: |
| RiskLevelDetails | string | Microsoft Entra ID 위험 수준에 대한 세부 정보입니다. |
| RiskState | string | 계정이 현재 위험에 처해 있는지 또는 위험이 수정되었는지 여부를 표시합니다. |
| SourceSystem | string | 사용자가 관리되는 시스템입니다. 가능한 값: |
| State | string | 사용자 계정의 지리적 상태입니다. |
| StreetAddress | string | 사용자 계정의 사무실 주소입니다. |
| Surname | string | 사용자의 성입니다. account. |
| TenantId | string | 사용자의 테넌트 ID입니다. |
| TimeGenerated | datetime | 이벤트가 생성된 시간(UTC)입니다. |
| Type | string | 테이블의 이름입니다. |
| UserAccountControl | dynamic | AD 도메인에 있는 사용자 계정의 보안 특성입니다. 가능한 값(둘 이상을 포함할 수 있음): |
| UserState | string | Microsoft Entra ID에 있는 사용자 계정의 현재 상태입니다. 가능한 값: |
| UserStateChangedOn | datetime | 계정 상태가 마지막으로 변경된 날짜(UTC)입니다. |
| UserType | string | 사용자 유형입니다. |
다음 필드는 Log Analytics 스키마에 있지만 Microsoft Sentinel에서 사용하거나 지원하지 않으므로 무시해야 합니다.
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
다음 단계
이 문서에서는 Microsoft Sentinel 엔터티 동작 분석 테이블 스키마에 대해 설명했습니다.
- 엔터티 동작 분석에 대해 자세히 알아봅니다.
- Microsoft Sentinel에서 UEBA를 사용하도록 설정합니다.
- 조사에 사용할 UEBA를 넣습니다.