Compartilhar via

Referência da UEBA do Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Este artigo de referência lista as fontes de dados de entrada para o serviço de Análise de Comportamento de Usuário e Entidade no Microsoft Sentinel. Ele também descreve os enriquecimentos que a UEBA adiciona às entidades, fornecendo o contexto necessário para alertas e incidentes.

Important

O Microsoft Sentinel geralmente está disponível no portal do Microsoft Defender, inclusive para clientes sem o Microsoft Defender XDR ou uma licença E5.

Starting in July 2026, all customers using Microsoft Sentinel in the Azure portal will be redirected to the Defender portal and will use Microsoft Sentinel in the Defender portal only. Starting in July 2025, many new customers are automatically onboarded and redirected to the Defender portal.

Se você ainda estiver usando o Microsoft Sentinel no portal do Azure, recomendamos que você comece a planejar sua transição para o portal do Defender para garantir uma transição tranquila e aproveitar ao máximo a experiência de operações de segurança unificada oferecida pelo Microsoft Defender. Para obter mais informações, consulte It's Time to Move: Retiring Microsoft Sentinel's Azure portal for more security.

Fontes de dados da UEBA

Essas são as fontes de dados das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA examina os dados dessas fontes para encontrar anomalias e obter insights glean.

Data source Events
Microsoft Entra ID
Sign-in logs		 All
Microsoft Entra ID
Audit logs		 ApplicationManagement
DirectoryManagement
GroupManagement
Device
RoleManagement
UserManagementCategory
Logs de atividades do Azure Authorization
AzureActiveDirectory
Billing
Computação
Consumo
KeyVault
Devices
Network
Resources
Intune
Logic
Sql
Armazenamento
Eventos de segurança do Windows
WindowsEvent or
SecurityEvent		 4624: logon de uma conta feito com êxito
4625: falha no logon de uma conta
4648: houve uma tentativa de logon usando credenciais explícitas
4672: privilégios especiais atribuídos a um novo logon
4688: foi criado um novo processo

UEBA enrichments

Esta seção descreve os enriquecimentos que a UEBA adiciona às entidades do Microsoft Sentinel, juntamente com todos os seus detalhes, que você pode usar para concentrar e aprimorar suas investigações de incidentes de segurança. These enrichments are displayed on entity pages and can be found in the following Log Analytics tables, the contents and schema of which are listed below:

  • The BehaviorAnalytics table is where UEBA's output information is stored.

    Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção campos dinâmicos de enriquecimentos de entidade abaixo.

    • The UsersInsights and DevicesInsights fields contain entity information from Active Directory / Microsoft Entra ID and Microsoft Threat Intelligence sources.

    • The ActivityInsights field contains entity information based on the behavioral profiles built by Microsoft Sentinel's entity behavior analytics.

      As atividades do usuário são analisadas em relação a uma linha de base que é compilada dinamicamente cada vez que é usada. Cada atividade tem seu próprio período de pesquisa definido do qual a linha de base dinâmica é derivada. The lookback period is specified in the Baseline column in this table.

  • The IdentityInfo table is where identity information synchronized to UEBA from Microsoft Entra ID (and from on-premises Active Directory via Microsoft Defender for Identity) is stored.

BehaviorAnalytics table

A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Sentinel.

Field Tipo Description
TenantId cadeia O número de ID exclusivo do locatário.
SourceRecordId cadeia O número de ID exclusivo do evento do EBA.
TimeGenerated datetime O carimbo de data/hora da ocorrência da atividade.
TimeProcessed datetime O carimbo de data/hora do processamento da atividade pelo mecanismo do EBA.
ActivityType cadeia A categoria de alto nível da atividade.
ActionType cadeia O nome normalizado da atividade.
UserName cadeia O nome de usuário de quem iniciou a atividade.
UserPrincipalName cadeia O nome de usuário completo de quem iniciou a atividade.
EventSource cadeia A fonte de dados que forneceu o evento original.
SourceIPAddress cadeia O endereço IP em que a atividade foi iniciada.
SourceIPLocation cadeia O país/região a partir do qual a atividade foi iniciada, enriquecida a partir do endereço IP.
SourceDevice cadeia O nome de host do dispositivo que iniciou a atividade.
DestinationIPAddress cadeia O endereço IP do destino da atividade.
DestinationIPLocation cadeia O país/região do destino da atividade, enriquecido a partir do endereço IP.
DestinationDevice cadeia O nome do dispositivo de destino.
UsersInsights dynamic The contextual enrichments of involved users (details below).
DevicesInsights dynamic The contextual enrichments of involved devices (details below).
ActivityInsights dynamic The contextual analysis of activity based on our profiling (details below).
InvestigationPriority int A pontuação de anomalias, entre 0 e 10 (0 = benigno, 10 = altamente anormal).

Campos dinâmicos de enriquecimentos de entidade

Note

The Enrichment name column in the tables in this section displays two rows of information.

  • The first, in bold, is the "friendly name" of the enrichment.
  • O segundo (em itálico e parênteses) é o nome do campo do enriquecimento, conforme armazenado na tabela Análise de Comportamento.

UsersInsights field

The following table describes the enrichments featured in the UsersInsights dynamic field in the BehaviorAnalytics table:

Enrichment name Description Sample value
Nome de exibição da conta
(AccountDisplayName)		 O nome para exibição da conta do usuário. Administrador, Hayden Cook
Account ___domain
(AccountDomain)		 O nome de domínio da conta do usuário.
ID do objeto account
(AccountObjectID)		 A ID de objeto da conta do usuário. aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb
Blast radius
(BlastRadius)		 O raio da explosão é calculado com base em vários fatores: a posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário. User must have Manager property populated in Microsoft Entra ID for BlastRadius to be calculated. Baixo, Médio, Alto
Conta inativa
(IsDormantAccount)		 A conta não foi usada nos últimos 180 dias. True, False
É administrador local
(IsLocalAdmin)		 A conta tem privilégios de administrador local. True, False
É uma nova conta
(IsNewAccount)		 A conta foi criada nos últimos 30 dias. True, False
SID local
(OnPremisesSID)		 O SID local do usuário relacionado à ação. S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights field

The following table describes the enrichments featured in the DevicesInsights dynamic field in the BehaviorAnalytics table:

Enrichment name Description Sample value
Browser
(Browser)		 O navegador usado na ação. Edge, Chrome
Device family
(DeviceFamily)		 A família de dispositivos usada na ação. Windows
Device type
(DeviceType)		 O tipo de dispositivo do cliente usado na ação Desktop
ISP
(ISP)		 O provedor de serviços de Internet usado na ação.
Operating system
(OperatingSystem)		 O sistema operacional usado na ação. Windows 10
Descrição do indicador de inteligência contra ameaças
(ThreatIntelIndicatorDescription)		 Descrição do indicador de ameaça observado resolvido do endereço IP usado na ação. O host é membro de botnet: azorult
Tipo de indicador intel de ameaça
(ThreatIntelIndicatorType)		 O tipo do indicador de ameaça resolvido do endereço IP usado na ação. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
User agent
(UserAgent)		 O agente do usuário usado na ação. Biblioteca de clientes do Microsoft Azure Graph 1.0,
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Família de agente de usuário
(UserAgentFamily)		 A família do agente do usuário usada na ação. Chrome, Edge, Firefox

ActivityInsights field

The following tables describe the enrichments featured in the ActivityInsights dynamic field in the BehaviorAnalytics table:

Action performed
Enrichment name Baseline (days) Description Sample value
Ação executada pelo usuário pela primeira vez
(FirstTimeUserPerformedAction)		 180 A ação foi realizada pela primeira vez pelo usuário. True, False
Ação executada de forma incomum pelo usuário
(ActionUncommonlyPerformedByUser)		 10 A ação normalmente não é executada pelo usuário. True, False
Ação realizada de forma incomum entre pares
(ActionUncommonlyPerformedAmongPeers)		 180 A ação não é normalmente executada entre os colegas do usuário. True, False
Ação pela primeira vez executada no locatário
(FirstTimeActionPerformedInTenant)		 180 A ação foi realizada pela primeira vez por qualquer pessoa na organização. True, False
Ação executada de forma incomum no locatário
(ActionUncommonlyPerformedInTenant)		 180 A ação não é executada normalmente na organização. True, False
App used
Enrichment name Baseline (days) Description Sample value
Aplicativo usado pelo usuário pela primeira vez
(FirstTimeUserUsedApp)		 180 O aplicativo foi usado pela primeira vez pelo usuário. True, False
Aplicativo usado de forma incomum pelo usuário
(AppUncommonlyUsedByUser)		 10 O aplicativo não é comumente usado pelo usuário. True, False
Aplicativo usado de forma incomum entre pares
(AppUncommonlyUsedAmongPeers)		 180 O aplicativo não é comumente usado entre os colegas do usuário. True, False
Aplicativo pela primeira vez observado no locatário
(FirstTimeAppObservedInTenant)		 180 O aplicativo foi observado pela primeira vez na organização. True, False
Aplicativo usado de forma incomum no locatário
(AppUncommonlyUsedInTenant)		 180 O aplicativo não é normalmente usado na organização. True, False
Browser used
Enrichment name Baseline (days) Description Sample value
Usuário conectado pela primeira vez por meio do navegador
(FirstTimeUserConnectedViaBrowser)		 30 O navegador foi observado pela primeira vez pelo usuário. True, False
Navegador usado de forma incomum pelo usuário
(BrowserUncommonlyUsedByUser)		 10 O navegador não é comumente usado pelo usuário. True, False
Navegador usado de forma incomum entre pares
(BrowserUncommonlyUsedAmongPeers)		 30 O navegador não é comumente usado entre os colegas do usuário. True, False
Navegador pela primeira vez observado no locatário
(FirstTimeBrowserObservedInTenant)		 30 O navegador foi observado pela primeira vez na organização. True, False
Navegador usado de forma incomum no locatário
(BrowserUncommonlyUsedInTenant)		 30 O navegador não é normalmente usado na organização. True, False
País/região conectado a partir de
Enrichment name Baseline (days) Description Sample value
Primeira vez que o usuário se conectou do país
(FirstTimeUserConnectedFromCountry)		 90 A localização geográfica, como resolvida do endereço IP, foi conectada pela primeira vez pelo usuário. True, False
País conectado de maneira incomum por usuário
(CountryUncommonlyConnectedFromByUser)		 10 A localização geográfica, como resolvida do endereço IP, não é normalmente conectada pelo usuário. True, False
País extraordinariamente conectado entre pares
(CountryUncommonlyConnectedFromAmongPeers)		 90 A localização geográfica, como resolvida do endereço IP, não é normalmente conectada entre colegas do usuário. True, False
Conexão pela primeira vez do país observada no locatário
(FirstTimeConnectionFromCountryObservedInTenant)		 90 O país/região foi conectado pela primeira vez por qualquer pessoa na organização. True, False
País conectado de maneira incomum no locatário
(CountryUncommonlyConnectedFromInTenant)		 90 A localização geográfica, como resolvida do endereço IP, não é normalmente conectada pela organização. True, False
Dispositivo usado para se conectar
Enrichment name Baseline (days) Description Sample value
Usuário conectado pela primeira vez do dispositivo
(FirstTimeUserConnectedFromDevice)		 30 O dispositivo de origem foi conectado pela primeira vez pelo usuário. True, False
Dispositivo usado de forma incomum pelo usuário
(DeviceUncommonlyUsedByUser)		 10 O dispositivo não é comumente usado pelo usuário. True, False
Dispositivo usado de forma incomum entre pares
(DeviceUncommonlyUsedAmongPeers)		 180 O dispositivo não é comumente usado entre os colegas do usuário. True, False
Dispositivo pela primeira vez observado no locatário
(FirstTimeDeviceObservedInTenant)		 30 O dispositivo foi observado pela primeira vez na organização. True, False
Dispositivo usado de forma incomum no locatário
(DeviceUncommonlyUsedInTenant)		 180 O dispositivo não é normalmente usado na organização. True, False
Enrichment name Baseline (days) Description Sample value
Primeira vez que o usuário fez logon no dispositivo
(FirstTimeUserLoggedOnToDevice)		 180 O dispositivo de destino foi conectado pela primeira vez pelo usuário. True, False
Família de dispositivos usada de forma incomum no locatário
(DeviceFamilyUncommonlyUsedInTenant)		 30 A família de dispositivos não é normalmente usada na organização. True, False
Provedor de serviços de Internet usado para se conectar
Enrichment name Baseline (days) Description Sample value
Usuário conectado pela primeira vez via ISP
(FirstTimeUserConnectedViaISP)		 30 O ISP foi observado pela primeira vez pelo usuário. True, False
ISP usado de forma incomum pelo usuário
(ISPUncommonlyUsedByUser)		 10 O ISP não é comumente usado pelo usuário. True, False
ISP usado de forma incomum entre pares
(ISPUncommonlyUsedAmongPeers)		 30 O ISP não é comumente usado entre os colegas do usuário. True, False
Conexão pela primeira vez via ISP no locatário
(FirstTimeConnectionViaISPInTenant)		 30 O ISP foi observado pela primeira vez na organização. True, False
ISP usado de forma incomum no locatário
(ISPUncommonlyUsedInTenant)		 30 O ISP não é normalmente usado na organização. True, False
Resource accessed
Enrichment name Baseline (days) Description Sample value
Recurso acessado pelo usuário pela primeira vez
(FirstTimeUserAccessedResource)		 180 O recurso foi acessado pela primeira vez pelo usuário. True, False
Recurso acessado de forma incomum pelo usuário
(ResourceUncommonlyAccessedByUser)		 10 O recurso não é normalmente acessado pelo usuário. True, False
Recurso acessado de forma incomum entre pares
(ResourceUncommonlyAccessedAmongPeers)		 180 O recurso não é normalmente acessado entre os colegas do usuário. True, False
Recurso da primeira vez acessado no locatário
(FirstTimeResourceAccessedInTenant)		 180 O recurso foi acessado pela primeira vez por qualquer pessoa na organização. True, False
Recurso acessado de forma incomum no locatário
(ResourceUncommonlyAccessedInTenant)		 180 O recurso não é normalmente acessado na organização. True, False
Miscellaneous
Enrichment name Baseline (days) Description Sample value
Última vez que o usuário executou a ação
(LastTimeUserPerformedAction)		 180 Última vez que o usuário realizou a mesma ação. <Timestamp>
Ação semelhante não foi executada no passado
(SimilarActionWasn'tPerformedInThePast)		 30 Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. True, False
Local de IP de origem
(SourceIPLocation)		 N/A O país/região resolvido a partir do IP de origem da ação. [Surrey, England]
Volume alto incomum de operações
(UncommonHighVolumeOfOperations)		 7 Um usuário realizou uma intermitência de operações semelhantes dentro do mesmo provedor True, False
Número incomum de falhas de acesso condicional do Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)		 5 Um número incomum de usuários não pôde se autenticar devido ao acesso condicional True, False
Número incomum de dispositivos adicionados
(UnusualNumberOfDevicesAdded)		 5 Um usuário adicionou um número incomum de dispositivos. True, False
Número incomum de dispositivos excluídos
(UnusualNumberOfDevicesDeleted)		 5 Um usuário excluiu um número incomum de dispositivos. True, False
Número incomum de usuários adicionados ao grupo
(UnusualNumberOfUsersAddedToGroup)		 5 Um usuário adicionou um número incomum de usuários a um grupo. True, False

IdentityInfo table

Depois de habilitar e configurar o UEBA para seu workspace do Microsoft Sentinel, os dados do usuário de seus provedores de identidade da Microsoft serão sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel.

Esses provedores de identidade são ou ambos os seguintes, dependendo do que você selecionou quando configurou o UEBA:

  • ID do Microsoft Entra (baseada em nuvem)
  • O Microsoft Active Directory (local, requer o Microsoft Defender para Identidade))

You can query the IdentityInfo table in analytics rules, hunting queries, and workbooks, enhancing your analytics to fit your use cases and reducing false positives.

Embora a sincronização inicial possa levar alguns dias, depois que os dados estiverem totalmente sincronizados:

  • A cada 14 dias, o Microsoft Sentinel sincroniza novamente com toda a ID do Microsoft Entra (e seu Active Directory local, se aplicável) para garantir que os registros obsoletos sejam totalmente atualizados.

  • Besides these regular full synchronizations, whenever changes are made to your user profiles, groups, and built-in roles in Microsoft Entra ID, the affected user records are re-ingested and updated in the IdentityInfo table within 15-30 minutes. Essa ingestão é cobrada a taxas regulares. For example:

    • Um atributo de usuário, como nome de exibição, cargo ou endereço de email, foi alterado. A new record for this user is ingested into the IdentityInfo table, with the relevant fields updated.

    • O grupo A tem 100 usuários. Cinco usuários são adicionados ao grupo ou removidos do grupo. In this case, those 5 user records are re-ingested, and their GroupMembership fields updated.

    • O grupo A tem 100 usuários. Ten users are added to Group A. Also, groups A1 and A2, each with 10 users, are added to Group A. In this case, 30 user records are re-ingested and their GroupMembership fields updated. Isso acontece porque a associação ao grupo é transitiva, portanto, as alterações nos grupos afetam todos os seus subgrupos.

    • O grupo B (com 50 usuários) é renomeado para Grupo BeGood. In this case, 50 user records are re-ingested and their GroupMembership fields updated. Se houver subgrupos nesse grupo, o mesmo acontecerá para todos os registros de seus membros.

  • Default retention time in the IdentityInfo table is 30 days.

Limitations

  • The AssignedRoles field supports only built-in roles.

  • The GroupMembership field supports listing up to 500 groups per user, including subgroups. If a user is a member of more than 500 groups, only the first 500 are synchronized with the IdentityInfo table. No entanto, os grupos não são avaliados em nenhuma ordem específica, portanto, a cada nova sincronização (a cada 14 dias), é possível que um conjunto diferente de grupos seja atualizado para o registro do usuário.

  • When a user is deleted, that user's record is not immediately deleted from the IdentityInfo table. O motivo disso é que uma das finalidades desta tabela é auditar as alterações nos registros de usuário. Therefore, we want this table to have a record of a user being deleted, which can only happen if the user record in the IdentityInfo table still exists, even though the actual user (say, in Entra ID) is deleted.

    Os usuários excluídos podem ser identificados pela presença de um valor no deletedDateTime campo. Portanto, se você precisar de uma consulta para mostrar uma lista de usuários, poderá filtrar usuários excluídos adicionando | where IsEmpty(deletedDateTime) à consulta.

    At a certain interval of time after a user was deleted, the user's record is eventually removed from the IdentityInfo table as well.

  • Quando um grupo é excluído ou se um grupo com mais de 100 membros tiver seu nome alterado, os registros de usuário membro desse grupo não serão atualizados. Se uma alteração diferente fizer com que um dos registros desses usuários seja atualizado, as informações de grupo atualizadas serão incluídas nesse ponto.

Outras versões da tabela IdentityInfo

There are actually multiple versions of the IdentityInfo table:

  • The Log Analytics schema version, discussed in this article, serves Microsoft Sentinel in the Azure portal. Ele está disponível para os clientes que habilitaram o UEBA.

  • The Advanced hunting schema version serves the Microsoft Defender portal via Microsoft Defender for Identity. Ele está disponível para clientes do Microsoft Defender XDR, com ou sem o Microsoft Sentinel, e para clientes do Microsoft Sentinel sozinhos no portal do Defender.

    A UEBA não precisa ser habilitada para ter acesso a esta tabela. No entanto, para clientes sem UEBA habilitado, os campos preenchidos por dados UEBA não estão visíveis ou disponíveis.

    Para obter mais informações, consulte a documentação da versão de busca avançada desta tabela.

  • A partir de maio de 2025, os clientes do Microsoft Sentinel no portal do Microsoft Defendercom UEBA habilitadocomeçam a usar uma nova versão de busca avançada . This new release includes all the UEBA fields from the Log Analytics version as well as some new fields, and is referred to as the unified version or the unified IdentityInfo table.

    Os clientes do portal do Defender sem UEBA habilitado ou sem o Microsoft Sentinel continuam a usar a versão anterior da versão de busca avançada, sem os campos gerados pela UEBA.

    Para obter mais informações sobre a versão unificada, consulte IdentityInfo na documentação de busca avançada.

Schema

The table in the following "Log Analytics schema" tab describes the user identity data included in the IdentityInfo table in Log Analytics in the Azure portal.

Se você estiver integrando o Microsoft Sentinel ao portal do Defender, selecione a guia "Comparar com o esquema unificado" para exibir as alterações que podem afetar potencialmente as consultas em suas regras e buscas de detecção de ameaças.

Field name Tipo Description
AccountCloudSID cadeia O identificador de segurança do Microsoft Entra da conta.
AccountCreationTime datetime A data em que a conta de usuário foi criada (UTC).
AccountDisplayName cadeia O nome para exibição da conta de usuário.
AccountDomain cadeia O nome de domínio da conta de usuário.
AccountName cadeia O nome de usuário da conta de usuário.
AccountObjectId cadeia A ID de objeto do Microsoft Entra para a conta de usuário.
AccountSID cadeia O identificador de segurança local da conta de usuário.
AccountTenantId cadeia A ID do locatário do Microsoft Entra da conta de usuário.
AccountUPN cadeia O nome UPN da conta de usuário.
AdditionalMailAddresses dynamic Os endereços de e-mail adicionais do usuário.
AssignedRoles dynamic As funções do Microsoft Entra às quais a conta de usuário está atribuída. Há suporte apenas para funções internas.
BlastRadius cadeia Um cálculo baseado na posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário.
Valores possíveis: Baixo, Médio, Alto
ChangeSource cadeia A origem da última alteração na entidade.
Possible values:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
    		•
    City cadeia A cidade da conta de usuário.
    CompanyName cadeia O nome da empresa à qual o usuário pertence.
    Country cadeia O país/região da conta de usuário.
    DeletedDateTime datetime A data e a hora em que o usuário foi excluído.
    Department cadeia O departamento da conta de usuário.
    EmployeeId cadeia O identificador de funcionário atribuído ao usuário pela organização.
    GivenName cadeia O nome da conta de usuário.
    GroupMembership dynamic Grupos de ID do Microsoft Entra em que a conta de usuário é membro.
    IsAccountEnabled bool Uma indicação da conta de usuário estar ou não habilitada no Microsoft Entra ID.
    JobTitle cadeia O cargo da conta de usuário.
    MailAddress cadeia Endereço de email principal da conta de usuário.
    Manager cadeia O alias do gerente da conta de usuário.
    OnPremisesDistinguishedName cadeia O DN (nome diferenciado) do Microsoft Entra ID. Um nome diferenciado é uma sequência de RDN (nomes diferenciados relativos), conectados por vírgulas.
    Phone cadeia O número de telefone da conta de usuário.
    RiskLevel cadeia O nível de risco da ID do Microsoft Entra da conta de usuário.
    Possible values:
  • Low
  • Medium
  • High
    		•
    RiskLevelDetails cadeia Detalhes sobre o nível de risco da ID do Microsoft Entra.
    RiskState cadeia Indicação se a conta está em risco agora ou se o risco foi corrigido.
    SourceSystem cadeia O sistema em que o usuário é gerenciado.
    Possible values:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
    		•
    State cadeia O estado geográfico da conta de usuário.
    StreetAddress cadeia O endereço comercial da conta de usuário.
    Surname cadeia O sobrenome do usuário. account.
    TenantId cadeia A ID do locatário do usuário.
    TimeGenerated datetime A hora em que o evento foi gerado (UTC).
    Type cadeia O nome da tabela.
    UserAccountControl dynamic Atributos de segurança da conta de usuário no domínio do AD.
    Valores possíveis (podem conter mais de um):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
    		•
    UserState cadeia O estado atual da conta de usuário no Microsoft Entra ID.
    Possible values:
  • Active
  • Disabled
  • Dormant
  • Lockout
    		•
    UserStateChangedOn datetime A data da última vez em que o estado da conta foi alterado (UTC).
    UserType cadeia O tipo de usuário.

    Os campos a seguir, embora existam no esquema do Log Analytics, devem ser desconsiderados, pois não são usados ou suportados pelo Microsoft Sentinel:

    • Applications
    • EntityRiskScore
    • ExtensionProperty
    • InvestigationPriority
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • LastSeenDate
    • OnPremisesExtensionAttributes
    • RelatedAccounts
    • ServicePrincipals
    • Tags
    • UACFlags

    Next steps

    Este documento descreveu o esquema da tabela da análise de comportamento de entidade do Microsoft Azure Sentinel.