このリファレンス記事では、Microsoft Sentinel の User and Entity Behavior Analytics サービスの入力データ ソースの一覧を示します。 また、UEBA がエンティティに追加するエンリッチメントについても説明し、アラートとインシデントに必要なコンテキストを提供します。
Important
Microsoft Sentinel は、Microsoft Defender XDR または E5 ライセンスを持たないお客様を含め、Microsoft Defender ポータルで一般提供されています。
Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.
Azure portal で Microsoft Sentinel を引き続き使用している場合は、スムーズな移行を確保し、Microsoft Defender によって提供される統合セキュリティ運用エクスペリエンスを最大限に活用するために、Defender ポータルへの移行の計画を開始することをお勧めします。 詳細については、「 移動する時間: セキュリティを強化するために Microsoft Sentinel の Azure portal を廃止する」を参照してください。
UEBA データ ソース
これらは、UEBA エンジンがデータを収集および分析して ML モデルをトレーニングし、ユーザー、デバイス、およびその他のエンティティの動作ベースラインを設定するデータ ソースです。 その後、UEBA はこれらのソースのデータを調べ、異常を見つけ、分析情報を収集します。
| Data source | Events |
|---|---|
|
Microsoft Entra ID Sign-in logs |
All |
|
Microsoft Entra ID Audit logs |
ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| Azure アクティビティ ログ | Authorization AzureActiveDirectory Billing Compute 従量課金 KeyVault Devices Network Resources Intune Logic Sql Storage |
|
Windows セキュリティ イベント WindowsEvent or SecurityEvent |
4624: アカウントが正常にログオンしました 4625: アカウントのログオンに失敗しました 4648: 明示的な資格情報を使用してログオンが試行されました 4672: 新しいログオンに特権が割り当てられました 4688: 新しいプロセスが作成されました |
UEBA enrichments
このセクションでは、UEBA が Microsoft Sentinel エンティティに追加するエンリッチメントと、そのすべての詳細について説明します。これらを使用して、セキュリティ インシデントの調査に集中して鋭くすることができます。 These enrichments are displayed on entity pages and can be found in the following Log Analytics tables, the contents and schema of which are listed below:
The BehaviorAnalytics table is where UEBA's output information is stored.
BehaviorAnalytics テーブルの次の 3 つの動的フィールドについては、以下の 「エンティティ エンリッチメントの動的フィールド」 セクションで説明します。
The UsersInsights and DevicesInsights fields contain entity information from Active Directory / Microsoft Entra ID and Microsoft Threat Intelligence sources.
The ActivityInsights field contains entity information based on the behavioral profiles built by Microsoft Sentinel's entity behavior analytics.
ユーザー アクティビティは、使用されるたびに動的にコンパイルされるベースラインに対して分析されます。 各アクティビティには、動的ベースラインの派生元となる独自に定義されたルックバック期間があります。 The lookback period is specified in the Baseline column in this table.
The IdentityInfo table is where identity information synchronized to UEBA from Microsoft Entra ID (and from on-premises Active Directory via Microsoft Defender for Identity) is stored.
BehaviorAnalytics table
次の表では、Microsoft Sentinel の各 エンティティの詳細ページ に表示される動作分析データについて説明します。
| Field | タイプ | Description |
|---|---|---|
| TenantId | 文字列 | テナントの一意の ID 番号。 |
| SourceRecordId | 文字列 | EBA イベントの一意の ID 番号。 |
| TimeGenerated | datetime | アクティビティの発生のタイムスタンプ。 |
| TimeProcessed | datetime | EBA エンジンによるアクティビティの処理のタイムスタンプ。 |
| ActivityType | 文字列 | アクティビティの高レベルのカテゴリ。 |
| ActionType | 文字列 | アクティビティの標準化名。 |
| UserName | 文字列 | アクティビティを開始したユーザーのユーザー名。 |
| UserPrincipalName | 文字列 | アクティビティを開始したユーザーの完全なユーザー名。 |
| EventSource | 文字列 | 元のイベントを提供したデータ ソース。 |
| SourceIPAddress | 文字列 | アクティビティが開始された元の IP アドレス。 |
| SourceIPLocation | 文字列 | アクティビティが開始された国/リージョン。IP アドレスからエンリッチメントされます。 |
| SourceDevice | 文字列 | アクティビティを開始したデバイスのホスト名。 |
| DestinationIPAddress | 文字列 | アクティビティのターゲットの IP アドレス。 |
| DestinationIPLocation | 文字列 | IP アドレスからエンリッチされたアクティビティのターゲットの国/地域。 |
| DestinationDevice | 文字列 | ターゲット デバイスの名前。 |
| UsersInsights | dynamic | The contextual enrichments of involved users (details below). |
| DevicesInsights | dynamic | The contextual enrichments of involved devices (details below). |
| ActivityInsights | dynamic | The contextual analysis of activity based on our profiling (details below). |
| InvestigationPriority | int | 0 から 10 の異常スコア (0 = 無害、10 = きわめて異常)。 |
エンティティ エンリッチメントの動的フィールド
Note
The Enrichment name column in the tables in this section displays two rows of information.
- The first, in bold, is the "friendly name" of the enrichment.
- 2 つ目 (斜体とかっこ) は、 Behavior Analytics テーブルに格納されているエンリッチメントのフィールド名です。
UsersInsights field
The following table describes the enrichments featured in the UsersInsights dynamic field in the BehaviorAnalytics table:
| Enrichment name | Description | Sample value |
|---|---|---|
|
アカウントの表示名 (AccountDisplayName) |
ユーザーのアカウント表示名。 | Admin、Hayden Cook |
|
Account ___domain (AccountDomain) |
ユーザーのアカウント ドメイン名。 | |
|
アカウント オブジェクト ID (AccountObjectID) |
ユーザーのアカウント オブジェクト ID。 | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Blast radius (BlastRadius) |
影響範囲は、組織ツリー内でのユーザーの位置や、ユーザーの Microsoft Entra のロールとアクセス許可など、いくつかの要因に基づいて計算されます。 User must have Manager property populated in Microsoft Entra ID for BlastRadius to be calculated. | 低、中、高 |
|
休止中のアカウント (IsDormantAccount) |
アカウントは過去 180 日間使用されていません。 | True, False |
|
ローカル管理者 (IsLocalAdmin) |
アカウントにはローカル管理者特権があります。 | True, False |
|
新しいアカウント (IsNewAccount) |
アカウントは過去 30 日以内に作成されました。 | True, False |
|
オンプレミス SID (OnPremisesSID) |
アクションに関連するユーザーのオンプレミスの SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights field
The following table describes the enrichments featured in the DevicesInsights dynamic field in the BehaviorAnalytics table:
| Enrichment name | Description | Sample value |
|---|---|---|
|
Browser (Browser) |
アクションで使用されたブラウザー。 | Edge, Chrome |
|
Device family (DeviceFamily) |
アクションで使用されたデバイス ファミリ。 | Windows |
|
Device type (DeviceType) |
アクションで使用されたクライアント デバイスの種類 | Desktop |
|
ISP (ISP) |
アクションで使用されたインターネット サービス プロバイダー。 | |
|
Operating system (OperatingSystem) |
アクションで使用されたオペレーティング システム。 | Windows 10 |
|
脅威 intel インジケーターの説明 (ThreatIntelIndicatorDescription) |
アクションで使用された IP アドレスから解決された監視対象の脅威インジケーターの説明。 | Host is member of botnet: azorult (ホストはボットネット azorult のメンバーである) |
|
脅威 intel インジケーターの種類 (ThreatIntelIndicatorType) |
アクションで使用された IP アドレスから解決された脅威インジケーターの種類。 | Botnet、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、Malware、Phishing、Proxy、PUA、Watchlist |
|
User agent (UserAgent) |
アクションで使用されたユーザー エージェント。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
ユーザー エージェント ファミリ (UserAgentFamily) |
アクションで使用されたユーザー エージェント ファミリ。 | Chrome、Microsoft Edge、Firefox |
ActivityInsights field
The following tables describe the enrichments featured in the ActivityInsights dynamic field in the BehaviorAnalytics table:
Action performed
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが初めてアクションを実行した場合 (FirstTimeUserPerformedAction) |
180 | そのユーザーはそのアクションを初めて実行しました。 | True, False |
|
ユーザーが一般的に実行するアクション (ActionUncommonlyPerformedByUser) |
10 | そのユーザーはそのアクションをあまり実行しません。 | True, False |
|
ピア間で一般的に実行されていないアクション (ActionUncommonlyPerformedAmongPeers) |
180 | ユーザーの同僚はそのアクションをあまり実行しません。 | True, False |
|
テナントで初めて実行されたアクション (FirstTimeActionPerformedInTenant) |
180 | 組織内の誰かが、そのアクションを初めて実行しました。 | True, False |
|
テナントで一般的に実行されていないアクション (ActionUncommonlyPerformedInTenant) |
180 | その組織ではそのアクションをあまり実行しません。 | True, False |
App used
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが初めてアプリを使用した場合 (FirstTimeUserUsedApp) |
180 | そのユーザーはそのアプリを初めて使用しました。 | True, False |
|
ユーザーが一般的に使用するアプリ (AppUncommonlyUsedByUser) |
10 | そのユーザーはそのアプリをあまり使用しません。 | True, False |
|
ピア間で一般的に使用されていないアプリ (AppUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのアプリをあまり使用しません。 | True, False |
|
テナントで初めてアプリが観察された (FirstTimeAppObservedInTenant) |
180 | そのアプリは、その組織で初めて観察されました。 | True, False |
|
テナントで一般的に使用されていないアプリ (AppUncommonlyUsedInTenant) |
180 | そのアプリはその組織ではあまり使用されません。 | True, False |
Browser used
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ブラウザー経由で初めてユーザーが接続された場合 (FirstTimeUserConnectedViaBrowser) |
30 | そのユーザーによるそのブラウザーの使用が初めて観察されました。 | True, False |
|
ユーザーが一般的に使用するブラウザー (BrowserUncommonlyUsedByUser) |
10 | そのユーザーはそのブラウザーをあまり使用しません。 | True, False |
|
ピア間で一般的に使用されていないブラウザー (BrowserUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はそのブラウザーをあまり使用しません。 | True, False |
|
テナントで初めてブラウザーが観察された (FirstTimeBrowserObservedInTenant) |
30 | そのブラウザーは、その組織で初めて観察されました。 | True, False |
|
テナントで一般的に使用されていないブラウザー (BrowserUncommonlyUsedInTenant) |
30 | そのブラウザーはその組織ではあまり使用されません。 | True, False |
接続先の国/地域
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
初めてユーザーが国から接続した場合 (FirstTimeUserConnectedFromCountry) |
90 | IP アドレスからの解決で、その地域のユーザーが初めて接続しました。 | True, False |
|
ユーザーが接続する国が一般的ではない (CountryUncommonlyConnectedFromByUser) |
10 | IP アドレスからの解決で、その地域のユーザーはあまり接続してきません。 | True, False |
|
ピア間で一般的に接続されていない国 (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP アドレスからの解決で、その地域のユーザーの同僚はあまり接続してきません。 | True, False |
|
テナントで観察された国からの初めての接続 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 国/地域は、組織内のすべてのユーザーによって初めて接続されました。 | True, False |
|
テナントで一般的に接続されていない国 (CountryUncommonlyConnectedFromInTenant) |
90 | IP アドレスからの解決で、テナントはその地域からあまり接続されません。 | True, False |
接続に使用されたデバイス
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
デバイスから初めてユーザーが接続された場合 (FirstTimeUserConnectedFromDevice) |
30 | そのユーザーはそのソース デバイスから初めて接続しました。 | True, False |
|
ユーザーによって一般的に使用されていないデバイス (DeviceUncommonlyUsedByUser) |
10 | そのユーザーはそのデバイスをあまり使用しません。 | True, False |
|
ピア間で一般的に使用されていないデバイス (DeviceUncommonlyUsedAmongPeers) |
180 | ユーザーの同僚はそのデバイスをあまり使用しません。 | True, False |
|
テナントで初めてデバイスが観察される (FirstTimeDeviceObservedInTenant) |
30 | そのデバイスは、その組織で初めて観察されました。 | True, False |
|
テナントで一般的に使用されていないデバイス (DeviceUncommonlyUsedInTenant) |
180 | そのデバイスはその組織ではあまり使用されません。 | True, False |
Other device-related
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが初めてデバイスにログオンした場合 (FirstTimeUserLoggedOnToDevice) |
180 | そのユーザーはそのターゲット デバイスに初めて接続しました。 | True, False |
|
テナントで一般的に使用されていないデバイス ファミリ (DeviceFamilyUncommonlyUsedInTenant) |
30 | そのデバイス ファミリはその組織ではあまり使用されません。 | True, False |
接続に使用されたインターネット サービス プロバイダー
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが ISP 経由で初めて接続した場合 (FirstTimeUserConnectedViaISP) |
30 | そのユーザーによるその ISP の使用が初めて観察されました。 | True, False |
|
ユーザーが一般的に使用する ISP (ISPUncommonlyUsedByUser) |
10 | そのユーザーはその ISP をあまり使用しません。 | True, False |
|
ISP がピア間で一般的に使用されていない (ISPUncommonlyUsedAmongPeers) |
30 | ユーザーの同僚はその ISP をあまり使用しません。 | True, False |
|
テナント内の ISP 経由の初めての接続 (FirstTimeConnectionViaISPInTenant) |
30 | その ISP は、その組織で初めて観察されました。 | True, False |
|
テナントで一般的に使用されていない ISP (ISPUncommonlyUsedInTenant) |
30 | その ISP はその組織ではあまり使用されません。 | True, False |
Resource accessed
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが初めてリソースにアクセスした場合 (FirstTimeUserAccessedResource) |
180 | そのリソースはそのユーザーによって初めてアクセスされました。 | True, False |
|
ユーザーが一般的でないリソースにアクセスする (ResourceUncommonlyAccessedByUser) |
10 | そのユーザーはそのリソースにあまりアクセスしません。 | True, False |
|
ピア間で一般的でないリソースへのアクセス (ResourceUncommonlyAccessedAmongPeers) |
180 | ユーザーの同僚はそのリソースにあまりアクセスしません。 | True, False |
|
テナントで初めてアクセスされたリソース (FirstTimeResourceAccessedInTenant) |
180 | 組織内の誰かが、そのリソースに初めてアクセスしました。 | True, False |
|
テナントで一般的でないリソースにアクセスする (ResourceUncommonlyAccessedInTenant) |
180 | その組織はそのリソースにあまりアクセスしません。 | True, False |
Miscellaneous
| Enrichment name | Baseline (days) | Description | Sample value |
|---|---|---|---|
|
ユーザーが最後にアクションを実行した時刻 (LastTimeUserPerformedAction) |
180 | ユーザーが同じアクションを最後に実行した日時。 | <タイムスタンプ> |
|
過去に同様のアクションが実行されませんでした (SimilarActionWasn'tPerformedInThePast) |
30 | 同じリソース プロバイダー内に、そのユーザーによって実行されたアクションはありません。 | True, False |
|
ソース IP の場所 (SourceIPLocation) |
N/A | アクションのソース IP から解決された国/地域。 | [Surrey, England] |
|
一般的でない大量の操作 (UncommonHighVolumeOfOperations) |
7 | ユーザーが同じプロバイダー内で類似の操作を大量に実行しました。 | True, False |
|
Microsoft Entra の条件付きアクセスエラーの異常な数 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 条件付きアクセスにより、異常な数のユーザーが認証に失敗しました | True, False |
|
異常な数のデバイスが追加されました (UnusualNumberOfDevicesAdded) |
5 | ユーザーが異常な数のデバイスを追加しました。 | True, False |
|
通常とは異なる数のデバイスが削除されました (UnusualNumberOfDevicesDeleted) |
5 | ユーザーが異常な数のデバイスを削除しました。 | True, False |
|
グループに追加されたユーザーの異常な数 (UnusualNumberOfUsersAddedToGroup) |
5 | ユーザーが異常な数のユーザーをグループに追加しました。 | True, False |
IdentityInfo table
Microsoft Sentinel ワークスペースの UEBA を有効にして構成 すると、Microsoft Sentinel で使用するために、Microsoft ID プロバイダーのユーザー データが Log Analytics の IdentityInfo テーブルに同期されます。
これらの ID プロバイダーは、UEBA の構成時に選択した ID プロバイダーに応じて、次のいずれかまたは両方になります。
- Microsoft Entra ID (クラウドベース)
- Microsoft Active Directory (オンプレミス、Microsoft Defender for Identity が必要)
You can query the IdentityInfo table in analytics rules, hunting queries, and workbooks, enhancing your analytics to fit your use cases and reducing false positives.
初期同期には数日かかる可能性がありますが、データは一度で完全に同期されます。
Microsoft Sentinel は、古いレコードが完全に更新されるように、14 日ごとに Microsoft Entra ID 全体 (および該当する場合はオンプレミスの Active Directory) と再同期します。
Besides these regular full synchronizations, whenever changes are made to your user profiles, groups, and built-in roles in Microsoft Entra ID, the affected user records are re-ingested and updated in the IdentityInfo table within 15-30 minutes. このインジェストは通常の料金で課金されます。 For example:
表示名、役職、メール アドレスなどのユーザー属性が変更されました。 A new record for this user is ingested into the IdentityInfo table, with the relevant fields updated.
グループ A には 100 人のユーザーが含まれます。5 人のユーザーがグループに追加されるか、グループから削除されます。 In this case, those 5 user records are re-ingested, and their GroupMembership fields updated.
グループ A には 100 人のユーザーが含まれます。 Ten users are added to Group A. Also, groups A1 and A2, each with 10 users, are added to Group A. In this case, 30 user records are re-ingested and their GroupMembership fields updated. これは、グループ メンバーシップが推移的であるため、グループに対する変更がすべてのサブグループに影響を与えるためです。
グループ B (50 ユーザー) の名前が Group BeGood に変更されました。 In this case, 50 user records are re-ingested and their GroupMembership fields updated. そのグループにサブグループがある場合、すべてのメンバーのレコードに対して同じことが発生します。
Default retention time in the IdentityInfo table is 30 days.
Limitations
The AssignedRoles field supports only built-in roles.
The GroupMembership field supports listing up to 500 groups per user, including subgroups. If a user is a member of more than 500 groups, only the first 500 are synchronized with the IdentityInfo table. ただし、グループは特定の順序で評価されないため、新しい同期 (14 日ごと) ごとに、別のグループ セットがユーザー レコードに更新される可能性があります。
When a user is deleted, that user's record is not immediately deleted from the IdentityInfo table. その理由は、このテーブルの目的の 1 つは、ユーザー レコードの変更を監査するためです。 Therefore, we want this table to have a record of a user being deleted, which can only happen if the user record in the IdentityInfo table still exists, even though the actual user (say, in Entra ID) is deleted.
削除されたユーザーは、
deletedDateTimeフィールドに値が存在することで識別できます。 そのため、ユーザーの一覧を表示するクエリが必要な場合は、クエリに| where IsEmpty(deletedDateTime)を追加して、削除されたユーザーを除外できます。At a certain interval of time after a user was deleted, the user's record is eventually removed from the IdentityInfo table as well.
グループが削除された場合、または 100 を超えるメンバーを持つグループの名前が変更された場合、そのグループのメンバー ユーザー レコードは更新されません。 別の変更によってユーザーのレコードのいずれかが更新された場合、その時点で更新されたグループ情報が含まれます。
IdentityInfo テーブルのその他のバージョン
There are actually multiple versions of the IdentityInfo table:
The Log Analytics schema version, discussed in this article, serves Microsoft Sentinel in the Azure portal. UEBA を有効にしたユーザーが利用できます。
The Advanced hunting schema version serves the Microsoft Defender portal via Microsoft Defender for Identity. Microsoft Sentinel の有無にかかわらず、Microsoft Defender XDR のお客様、および Microsoft Sentinel のお客様が Defender ポータルで単独で利用できます。
このテーブルにアクセスするために UEBA を有効にする必要はありません。 ただし、UEBA が有効になっていないお客様の場合、UEBA データによって設定されたフィールドは表示されず、使用できません。
詳細については、 この表の 高度なハンティング バージョンのドキュメントを参照してください。
2025 年 5 月の時点で、UEBA が有効になっているMicrosoft Defender ポータルの Microsoft Sentinel のお客様は、高度なハンティング バージョンの新しいリリースの使用を開始します。 This new release includes all the UEBA fields from the Log Analytics version as well as some new fields, and is referred to as the unified version or the unified IdentityInfo table.
UEBA が有効になっていない、または Microsoft Sentinel がまったくない Defender ポータルのお客様は、UEBA で生成されたフィールドを使用せずに、Advanced Hunting バージョンの以前のリリースを引き続き使用します。
統合バージョンの詳細については、高度なハンティングドキュメントの IdentityInfo を参照してください。
Schema
The table in the following "Log Analytics schema" tab describes the user identity data included in the IdentityInfo table in Log Analytics in the Azure portal.
Microsoft Sentinel を Defender ポータルにオンボードする場合は、[Compare to unified schema]\(統合スキーマと比較\) タブを選択して、脅威検出ルールと検出のクエリに影響する可能性のある変更を表示します。
| Field name | タイプ | Description |
|---|---|---|
| AccountCloudSID | 文字列 | アカウントの Microsoft Entra セキュリティ識別子。 |
| AccountCreationTime | datetime | ユーザー アカウントが作成された日付 (UTC)。 |
| AccountDisplayName | 文字列 | ユーザー アカウントの表示名。 |
| AccountDomain | 文字列 | ユーザー アカウントのドメイン名。 |
| AccountName | 文字列 | ユーザー アカウントのユーザー名。 |
| AccountObjectId | 文字列 | ユーザー アカウントの Microsoft Entra オブジェクト ID。 |
| AccountSID | 文字列 | ユーザー アカウントのオンプレミス セキュリティ識別子。 |
| AccountTenantId | 文字列 | ユーザー アカウントの Microsoft Entra テナント ID。 |
| AccountUPN | 文字列 | ユーザー アカウントのユーザー プリンシパル名。 |
| AdditionalMailAddresses | dynamic | ユーザーの追加のメール アドレス。 |
| AssignedRoles | dynamic | ユーザー アカウントが割り当てられている Microsoft Entra ロール。 組み込みロールのみがサポートされています。 |
| BlastRadius | 文字列 | 組織ツリー内でのユーザーの位置、ユーザーの Microsoft Entra のロールとアクセス許可に基づいて計算されます。 使用可能な値: "低、中、高" |
| ChangeSource | 文字列 | エンティティに対し、最新の変更があるソース。 Possible values: |
| City | 文字列 | ユーザー アカウントの市。 |
| CompanyName | 文字列 | ユーザーが属する会社名。 |
| Country | 文字列 | ユーザー アカウントの国/地域。 |
| DeletedDateTime | datetime | ユーザーが削除された日時。 |
| Department | 文字列 | ユーザー アカウントの部門。 |
| EmployeeId | 文字列 | 組織によりユーザーに割り当てられた従業員 ID。 |
| GivenName | 文字列 | ユーザー アカウントの名。 |
| GroupMembership | dynamic | ユーザー アカウントがメンバーである Microsoft Entra ID グループ。 |
| IsAccountEnabled | bool | ユーザー アカウントが Microsoft Entra ID で有効になっているかどうかの表示。 |
| JobTitle | 文字列 | ユーザー アカウントの役職。 |
| MailAddress | 文字列 | ユーザー アカウントのプライマリ メール アドレス。 |
| Manager | 文字列 | ユーザー アカウントのマネージャーの別名。 |
| OnPremisesDistinguishedName | 文字列 | Microsoft Entra ID 識別名 (DN)。 識別名は、コンマで接続された相対識別名 (RDN) のシーケンスです。 |
| Phone | 文字列 | ユーザー アカウントの電話番号。 |
| RiskLevel | 文字列 | ユーザー アカウントの Microsoft Entra ID リスク レベル。 Possible values: |
| RiskLevelDetails | 文字列 | Microsoft Entra ID リスク レベルに関する詳細。 |
| RiskState | 文字列 | アカウントが現在危険にさらされているか、リスクが修復されたかを示します。 |
| SourceSystem | 文字列 | ユーザーが管理されているシステム。 Possible values: |
| State | 文字列 | ユーザー アカウントの地理的な状態。 |
| StreetAddress | 文字列 | ユーザー アカウントのオフィスの番地。 |
| Surname | 文字列 | ユーザーの姓名の姓。 account. |
| TenantId | 文字列 | ユーザーのテナント ID。 |
| TimeGenerated | datetime | イベントが生成された時刻 (UTC)。 |
| Type | 文字列 | テーブルの名前。 |
| UserAccountControl | dynamic | AD ドメイン内のユーザー アカウントのセキュリティ属性。 指定できる値 (複数の値を含む場合があります): |
| UserState | 文字列 | Microsoft Entra ID におけるユーザー アカウントの現在の状態。 Possible values: |
| UserStateChangedOn | datetime | アカウントの状態が最後に変更された日付 (UTC)。 |
| UserType | 文字列 | ユーザーの種類。 |
次のフィールドは Log Analytics スキーマに存在しますが、Microsoft Sentinel では使用またはサポートされていないため、無視する必要があります。
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
Next steps
このドキュメントでは、Microsoft Sentinel のエンティティ行動分析テーブルのスキーマについて説明しました。
- エンティティの動作分析について詳しくは、こちらをご覧ください。
- Microsoft Sentinel で UEBA を有効にします。
- 調査に使用する UEBA を配置 します。