Informazioni di riferimento su UEBA di Microsoft Sentinel
Questo articolo di riferimento elenca le origini dati di input per il servizio Analisi comportamento utente ed entità in Microsoft Sentinel. Descrive anche gli arricchimenti aggiunti da UEBA alle entità, fornendo il contesto necessario per gli avvisi e gli eventi imprevisti.
Importante
Microsoft Sentinel è disponibile a livello generale all'interno della piattaforma unificata per le operazioni di sicurezza di Microsoft nel portale di Microsoft Defender. Per l'anteprima, Microsoft Sentinel è disponibile nel portale di Defender senza Microsoft Defender XDR o una licenza E5. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.
Origini dati UEBA
Queste sono le origini dati da cui il motore UEBA raccoglie e analizza i dati per eseguire il training dei modelli di Machine Learning e impostare linee di base comportamentali per utenti, dispositivi e altre entità. UEBA esamina quindi i dati di queste origini per trovare anomalie e informazioni dettagliate.
| Origine dati | Eventi |
|---|---|
| Microsoft Entra ID Log di accesso |
Tutte le date |
| Microsoft Entra ID Log di controllo |
ApplicationManagement DirectoryManagement GroupManagement Dispositivo RoleManagement UserManagementCategory |
| Log attività di Azure | Autorizzazione AzureActiveDirectory Fatturazione Calcolo Consumo Insieme di credenziali delle chiavi Dispositivi Rete Risorse Intune Logica Sql Storage |
| eventi Sicurezza di Windows WindowsEvent o SecurityEvent |
4624: Un account è stato connesso correttamente 4625: Un account non è riuscito ad accedere 4648: Tentativo di accesso con credenziali esplicite 4672: Privilegi speciali assegnati al nuovo accesso 4688: È stato creato un nuovo processo |
Arricchimenti tramite UEBA
Questa sezione descrive gli arricchimenti aggiunti da UEBA alle entità di Microsoft Sentinel, insieme a tutti i relativi dettagli, che è possibile usare per concentrarsi e affinare le indagini sugli incidenti di sicurezza. Questi arricchimenti vengono visualizzati nelle pagine delle entità e sono disponibili nelle tabelle di Log Analytics seguenti, il contenuto e lo schema dei quali sono elencati di seguito:
La tabella BehaviorAnalytics è la posizione in cui vengono archiviate le informazioni di output di UEBA.
I tre campi dinamici seguenti della tabella BehaviorAnalytics sono descritti nella sezione campi dinamici arricchimenti di entità di seguito.
I campi UsersInsights e DevicesInsights contengono informazioni sulle entità di Active Directory/Microsoft Entra ID e Microsoft Threat Intelligence origini.
Il campo ActivityInsights contiene informazioni sull'entità basate sui profili comportamentali creati dall'analisi del comportamento delle entità di Microsoft Sentinel.
Le attività utente vengono analizzate in base a una baseline compilata in modo dinamico ogni volta che viene usata. Ogni attività ha il periodo di lookback definito da cui deriva la baseline dinamica. Il periodo di ricerca viene specificato nella colonna Baseline di questa tabella.
La tabella IdentityInfo è la posizione in cui vengono archiviate le informazioni sull'identità sincronizzate con UEBA da Microsoft Entra ID (e da Active Directory locale tramite Microsoft Defender per identità).
Tabella BehaviorAnalytics
La tabella seguente descrive i dati di analisi del comportamento visualizzati in ogni pagina dei dettagli dell'entità in Microsoft Sentinel.
| Campo | Tipo | Descrizione |
|---|---|---|
| TenantId | string | Numero ID univoco del tenant. |
| SourceRecordId | string | Numero ID univoco dell'evento EBA. |
| TimeGenerated | datetime | Timestamp dell'occorrenza dell'attività. |
| TimeProcessed | datetime | Timestamp dell'elaborazione dell'attività dal motore EBA. |
| ActivityType | string | Categoria generale dell'attività. |
| ActionType | string | Nome normalizzato dell'attività. |
| UserName | string | Nome utente dell'utente che ha avviato l'attività. |
| UserPrincipalName | string | Nome utente completo dell'utente che ha avviato l'attività. |
| EventSource | string | Origine dati che ha fornito l'evento originale. |
| SourceIPAddress | string | Indirizzo IP da cui è stata avviata l'attività. |
| SourceIPLocation | string | Paese/area geografica da cui è stata avviata l'attività, arricchita dall'indirizzo IP. |
| SourceDevice | string | Nome host del dispositivo che ha avviato l'attività. |
| DestinationIPAddress | string | Indirizzo IP della destinazione dell'attività. |
| DestinationIPLocation | string | Paese/area geografica della destinazione dell'attività, arricchito dall'indirizzo IP. |
| DestinationDevice | string | Nome del dispositivo di destinazione. |
| UsersInsights | dynamic | Gli arricchimenti contestuali degli utenti coinvolti (dettagli di seguito). |
| DispositiviInsights | dynamic | Gli arricchimenti contestuali dei dispositivi coinvolti (dettagli di seguito). |
| ActivityInsights | dynamic | L'analisi contestuale dell'attività in base alla profilatura (dettagli di seguito). |
| InvestigationPriority | int | Punteggio anomalie, compreso tra 0 e 10 (0=benigno, 10=altamente anomalo). |
Campi dinamici di arricchimenti di entità
Nota
Nella colonna Nome arricchimento nelle tabelle di questa sezione vengono visualizzate due righe di informazioni.
- Il primo, in grassetto, è il "nome descrittivo" dell'arricchimento.
- Il secondo (in corsivo e parentesi) è il nome del campo dell'arricchimento archiviato nella tabella di Analisi del comportamento.
Campo UsersInsights
La tabella seguente descrive gli arricchimenti inclusi nel campo dinamico UsersInsights nella tabella BehaviorAnalytics:
| Nome arricchimento | Descrizione | Valore di esempio |
|---|---|---|
| Nome visualizzato dell'account (AccountDisplayName) |
Nome visualizzato dell'account dell'utente. | Amministratore, Hayden Cook |
| Dominio account (AccountDomain) |
Nome di dominio dell'account dell'utente. | |
| ID oggetto account (AccountObjectID) |
ID oggetto account dell'utente. | aaaaaa-0000-1111-2222-bbbbbbbbbbbb |
| Raggio di esplosione (BlastRadius) |
Il raggio dell'esplosione viene calcolato in base a diversi fattori: la posizione dell'utente nell'albero dell'organizzazione e i ruoli e le autorizzazioni di Microsoft Entra dell'utente. L'utente deve avere la proprietà Manager popolata in Microsoft Entra ID for BlastRadius da calcolare. | Basso, medio, elevato |
| Account inattivo (IsDormantAccount) |
L'account non è stato usato negli ultimi 180 giorni. | Vero, falso |
| Amministratore locale (IsLocalAdmin) |
L'account ha privilegi di amministratore locale. | Vero, falso |
| Nuovo account (IsNewAccount) |
L'account è stato creato negli ultimi 30 giorni. | Vero, falso |
| SID locale (OnPremisesSID) |
SID locale dell'utente correlato all'azione. | S-1-5-21-112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
La tabella seguente descrive gli arricchimenti presenti nel campo dinamico DevicesInsights nella tabella BehaviorAnalytics:
| Nome arricchimento | Descrizione | Valore di esempio |
|---|---|---|
| Browser (Browser) |
Browser utilizzato nell'azione. | Edge, Chrome |
| Famiglia di dispositivi (DeviceFamily) |
Famiglia di dispositivi usata nell'azione. | Finestre |
| Tipo di dispositivo (DeviceType) |
Tipo di dispositivo client usato nell'azione | Desktop |
| ISP (ISP) |
Provider di servizi Internet utilizzato nell'azione. | |
| Sistema operativo (OperatingSystem) |
Sistema operativo utilizzato nell'azione. | Windows 10 |
| Descrizione dell'indicatore Intel per le minacce (ThreatIntelIndicatorDescription) |
Descrizione dell'indicatore di minaccia osservato risolto dall'indirizzo IP usato nell'azione. | L'host è membro di botnet: azorult |
| Tipo di indicatore Intel per le minacce (ThreatIntelIndicatorType) |
Tipo dell'indicatore di minaccia risolto dall'indirizzo IP usato nell'azione. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Agente utente (UserAgent) |
Agente utente usato nell'azione. | Libreria client di Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Famiglia di agenti utente (UserAgentFamily) |
Famiglia di agenti utente usata nell'azione. | Chrome, Edge, Firefox |
Campo ActivityInsights
Le tabelle seguenti descrivono gli arricchimenti contenuti nel campo dinamico ActivityInsights nella tabella BehaviorAnalytics:
Azione eseguita
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente ha eseguito un'azione (FirstTimeUserPerformedAction) |
180 | L'azione è stata eseguita per la prima volta dall'utente. | Vero, falso |
| Azione eseguita raramente dall'utente (ActionUncommonlyPerformedByUser) |
10 | L'azione non viene in genere eseguita dall'utente. | Vero, falso |
| Azione eseguita raramente tra i peer (ActionUncommonlyPerformedAmongPeers) |
180 | L'azione non viene in genere eseguita tra i peer dell'utente. | Vero, falso |
| Prima azione eseguita nel tenant (FirstTimeActionPerformedInTenant) |
180 | L'azione è stata eseguita per la prima volta da chiunque nell'organizzazione. | Vero, falso |
| Azione eseguita raramente nel tenant (ActionUncommonlyPerformedInTenant) |
180 | L'azione non viene in genere eseguita nell'organizzazione. | Vero, falso |
App usata
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente ha usato l'app (FirstTimeUserUsedApp) |
180 | L'app è stata usata per la prima volta dall'utente. | Vero, falso |
| App usata raramente dall'utente (AppUncommonlyUsedByUser) |
10 | L'app non viene comunemente usata dall'utente. | Vero, falso |
| App usata raramente tra i peer (AppUncommonlyUsedAmongPeers) |
180 | L'app non viene comunemente usata tra i peer dell'utente. | Vero, falso |
| Prima volta che l'app è stata osservata nel tenant (FirstTimeAppObservedInTenant) |
180 | L'app è stata osservata per la prima volta nell'organizzazione. | Vero, falso |
| App usata raramente nel tenant (AppUncommonlyUsedInTenant) |
180 | L'app non viene comunemente usata nell'organizzazione. | Vero, falso |
Browser usato
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente si è connesso tramite browser (FirstTimeUserConnectedViaBrowser) |
30 | Il browser è stato osservato per la prima volta dall'utente. | Vero, falso |
| Browser usato raramente dall'utente (BrowserUncommonlyUsedByUser) |
10 | Il browser non viene comunemente usato dall'utente. | Vero, falso |
| Browser usato raramente tra i peer (BrowserUncommonlyUsedAmongPeers) |
30 | Il browser non viene comunemente usato tra i peer dell'utente. | Vero, falso |
| Prima volta che il browser è stato osservato nel tenant (FirstTimeBrowserObservedInTenant) |
30 | Il browser è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
| Browser usato raramente nel tenant (BrowserUncommonlyUsedInTenant) |
30 | Il browser non viene comunemente usato nell'organizzazione. | Vero, falso |
Paese/area geografica connessa da
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente si è connesso dal paese (FirstTimeUserConnectedFromCountry) |
90 | La posizione geografica, risolta dall'indirizzo IP, è stata connessa per la prima volta dall'utente. | Vero, falso |
| Paese non comunemente connesso dall'utente (CountryUncommonlyConnectedFromByUser) |
10 | La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa dall'utente. | Vero, falso |
| Paese non comunemente collegato tra colleghi (CountryUncommonlyConnectedFromAmongPeers) |
90 | La posizione geografica, risolta dall'indirizzo IP, non è in genere connessa tra i peer dell'utente. | Vero, falso |
| Connessione per la prima volta dal paese osservato nel tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Il paese/area geografica è stato connesso per la prima volta da chiunque nell'organizzazione. | Vero, falso |
| Paese non comunemente connesso da nel tenant (CountryUncommonlyConnectedFromInTenant) |
90 | La posizione geografica, come risolta dall'indirizzo IP, non è in genere connessa dall'organizzazione. | Vero, falso |
Dispositivo usato per connettersi
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente si è connesso dal dispositivo (FirstTimeUserConnectedFromDevice) |
30 | Il dispositivo di origine è stato connesso per la prima volta dall'utente. | Vero, falso |
| Dispositivo usato raramente dall'utente (DeviceUncommonlyUsedByUser) |
10 | Il dispositivo non viene comunemente usato dall'utente. | Vero, falso |
| Dispositivo usato raramente tra i peer (DeviceUncommonlyUsedAmongPeers) |
180 | Il dispositivo non viene comunemente usato tra i peer dell'utente. | Vero, falso |
| Prima volta che il dispositivo è stato osservato nel tenant (FirstTimeDeviceObservedInTenant) |
30 | Il dispositivo è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
| Dispositivo usato in modo non comune nel tenant (DeviceUncommonlyUsedInTenant) |
180 | Il dispositivo non viene comunemente usato nell'organizzazione. | Vero, falso |
Altro dispositivo correlato
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente ha eseguito l'accesso al dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | Il dispositivo di destinazione è stato connesso per la prima volta dall'utente. | Vero, falso |
| Famiglia di dispositivi usata raramente nel tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | La famiglia di dispositivi non viene comunemente usata nell'organizzazione. | Vero, falso |
Provider di servizi Internet usato per connettersi
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente si è connesso tramite ISP (FirstTimeUserConnectedViaISP) |
30 | L'ISP è stato osservato per la prima volta dall'utente. | Vero, falso |
| ISP usato raramente dall'utente (ISPUncommonlyUsedByUser) |
10 | L'ISP non viene comunemente usato dall'utente. | Vero, falso |
| ISP usato raramente tra i peer (ISPUncommonlyUsedAmongPeers) |
30 | L'ISP non viene comunemente usato tra i peer dell'utente. | Vero, falso |
| Prima connessione tramite ISP nel tenant (FirstTimeConnectionViaISPInTenant) |
30 | L'ISP è stato osservato per la prima volta nell'organizzazione. | Vero, falso |
| ISP usato raramente nel tenant (ISPUncommonlyUsedInTenant) |
30 | L'ISP non viene comunemente usato nell'organizzazione. | Vero, falso |
Risorsa a cui si effettua l'accesso
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Prima volta che l'utente ha eseguito l'accesso alla risorsa (FirstTimeUserAccessedResource) |
180 | La risorsa è stata accessibile per la prima volta dall'utente. | Vero, falso |
| Risorsa a cui si accede raramente dall'utente (ResourceUncommonlyAccessedByUser) |
10 | La risorsa non è in genere accessibile dall'utente. | Vero, falso |
| Risorsa a cui si accede raramente tra peer (ResourceUncommonlyAccessedAmongPeers) |
180 | La risorsa non è in genere accessibile tra i peer dell'utente. | Vero, falso |
| Prima volta che si accede alle risorse nel tenant (FirstTimeResourceAccessedInTenant) |
180 | La risorsa è stata accessibile per la prima volta da chiunque nell'organizzazione. | Vero, falso |
| Risorsa a cui si accede raramente nel tenant (ResourceUncommonlyAccessedInTenant) |
180 | La risorsa non è in genere accessibile all'interno dell'organizzazione. | Vero, falso |
Varie
| Nome arricchimento | Baseline (giorni) | Descrizione | Valore di esempio |
|---|---|---|---|
| Ultima azione eseguita dall'utente (LastTimeUserPerformedAction) |
180 | Ora dell'ultima esecuzione dell'azione da parte dell'utente. | <Timestamp:> |
| Un'azione simile non è stata eseguita in passato (SimilarActionWasn'tPerformedInThePast) |
30 | Nessuna azione nello stesso provider di risorse è stata eseguita dall'utente. | Vero, falso |
| Percorso IP di origine (SourceIPLocation) |
N/D | Paese/area geografica risolto dall'indirizzo IP di origine dell'azione. | [Surrey, Inghilterra] |
| Volume elevato non comune di operazioni (Non comuneHighVolumeOfOperations) |
7 | Un utente ha eseguito un burst di operazioni simili all'interno dello stesso provider | Vero, falso |
| Numero insolito di errori di accesso condizionale di Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Un numero insolito di utenti non è riuscito ad eseguire l'autenticazione a causa dell'accesso condizionale | Vero, falso |
| Numero insolito di dispositivi aggiunti (UnusualNumberOfDevicesAdded) |
5 | Un utente ha aggiunto un numero insolito di dispositivi. | Vero, falso |
| Numero insolito di dispositivi eliminati (UnusualNumberOfDevicesDeleted) |
5 | Un utente ha eliminato un numero insolito di dispositivi. | Vero, falso |
| Numero insolito di utenti aggiunti al gruppo (UnusualNumberOfUsersAddedToGroup) |
5 | Un utente ha aggiunto un numero insolito di utenti a un gruppo. | Vero, falso |
Tabella IdentityInfo
Dopo aver abilitato UEBA per l'area di lavoro di Microsoft Sentinel, i dati dell'ID Microsoft Entra vengono sincronizzati con la tabella IdentityInfo in Log Analytics per l'uso in Microsoft Sentinel. È possibile incorporare i dati utente sincronizzati dall'ID Di Microsoft Entra nelle regole di analisi per migliorare l'analisi in base ai casi d'uso e ridurre i falsi positivi.
Anche se la sincronizzazione iniziale può richiedere alcuni giorni, una volta che i dati sono completamente sincronizzati:
Le modifiche apportate ai profili utente, ai gruppi e ai ruoli in Microsoft Entra ID vengono aggiornate nella tabella IdentityInfo entro 15-30 minuti.
Ogni 14 giorni, Microsoft Sentinel esegue nuovamente la sincronizzazione con l'intero ID di Microsoft Entra per garantire che i record non aggiornati vengano aggiornati completamente.
Il tempo di conservazione predefinito nella tabella IdentityInfo è di 30 giorni.
Limiti
Attualmente sono supportati solo i ruoli predefiniti.
I dati relativi ai gruppi eliminati, in cui un utente è stato rimosso da un gruppo, non sono attualmente supportati.
Versioni della tabella IdentityInfo
Esistono effettivamente due versioni della tabella IdentityInfo :
- La versione dello schema di Log Analytics serve Microsoft Sentinel nel portale di Azure.
- La versione dello schema di ricerca avanzata serve Microsoft Sentinel nel portale di Microsoft Defender tramite Microsoft Defender per identità.
Entrambe le versioni di questa tabella vengono fornite da Microsoft Entra ID, ma la versione di Log Analytics ha aggiunto alcuni campi.
Microsoft Sentinel nel portale di Microsoft Defender usa la versione ricerca avanzata di questa tabella. Per ridurre al minimo le differenze tra le due versioni della tabella, la maggior parte dei campi univoci nella versione di Log Analytics viene gradualmente aggiunta anche alla versione ricerca avanzata . Indipendentemente dal portale in cui si usa Microsoft Sentinel, si avrà accesso a quasi tutte le stesse informazioni, anche se potrebbe esserci un piccolo ritardo di tempo nella sincronizzazione tra le versioni. Per altre informazioni, vedere la documentazione della versione di ricerca avanzata di questa tabella.
Nella tabella seguente vengono descritti i dati di identità utente inclusi nella tabella IdentityInfo in Log Analytics nel portale di Azure. La quarta colonna mostra i campi corrispondenti nella versione di ricerca avanzata della tabella, che Microsoft Sentinel usa nel portale di Defender. I nomi dei campi in grassetto sono denominati in modo diverso nello schema di ricerca avanzata rispetto alla versione di Microsoft Sentinel Log Analytics.
| Nome campo in Schema di Log Analytics |
Tipo | Descrizione | Nome campo in Schema di ricerca avanzata |
|---|---|---|---|
| AccountCloudSID | string | Identificatore di sicurezza di Microsoft Entra dell'account. | CloudSid |
| AccountCreationTime | datetime | Data di creazione dell'account utente (UTC). | CreatedDateTime |
| AccountDisplayName | string | Nome visualizzato dell'account utente. | AccountDisplayName |
| AccountDomain | string | Nome di dominio dell'account utente. | AccountDomain |
| AccountName | string | Nome utente dell'account utente. | AccountName |
| AccountObjectId | string | ID oggetto Microsoft Entra per l'account utente. | AccountObjectId |
| AccountSID | string | Identificatore di sicurezza locale dell'account utente. | AccountSID |
| AccountTenantId | string | ID tenant di Microsoft Entra dell'account utente. | -- |
| AccountUPN | string | Nome dell'entità utente dell'account utente. | AccountUPN |
| AdditionalMailAddresses | dynamic | Indirizzi di posta elettronica aggiuntivi dell'utente. | -- |
| AssignedRoles | dynamic | I ruoli di Microsoft Entra a cui è assegnato l'account utente. | AssignedRoles |
| BlastRadius | string | Calcolo basato sulla posizione dell'utente nell'albero dell'organizzazione e sui ruoli e sulle autorizzazioni di Microsoft Entra dell'utente. Valori possibili: Bassa, Media, Alta |
-- |
| Changesource | string | Origine della modifica più recente all'entità. Valori possibili: |
Changesource |
| CompanyName | Nome della società a cui appartiene l'utente. | -- | |
| Città | string | Città dell'account utente. | City |
| Paese/area geografica | string | Paese/area geografica dell'account utente. | Country |
| DeletedDateTime | datetime | Data e ora di eliminazione dell'utente. | -- |
| Reparto | string | Reparto dell'account utente. | Reparto |
| GivenName | string | Nome specificato dell'account utente. | GivenName |
| GroupMembership | dynamic | Gruppi di Microsoft Entra in cui l'account utente è membro. | -- |
| IsAccountEnabled | bool | Indica se l'account utente è abilitato o meno in Microsoft Entra ID. | IsAccountEnabled |
| JobTitle | string | Titolo del processo dell'account utente. | JobTitle |
| MailAddress | string | Indirizzo di posta elettronica principale dell'account utente. | EmailAddress |
| Responsabile | string | Alias di gestione dell'account utente. | Manager |
| OnPremisesDistinguishedName | string | Nome distinto (DN) dell'ID Microsoft Entra. Un nome distinto è una sequenza di nomi distinti relativi (RDN), connessi da virgole. | DistinguishedName |
| Telefono | string | Numero di telefono dell'account utente. | il numero |
| SourceSystem | string | Sistema in cui viene gestito l'utente. Valori possibili: |
SourceProvider |
| Stato | string | Stato geografico dell'account utente. | Provincia |
| StreetAddress | string | Indirizzo dell'ufficio dell'account utente. | Indirizzo |
| Cognome | string | Cognome dell'utente. del servizio. | Cognome |
| TenantId | string | ID tenant dell'utente. | -- |
| TimeGenerated | datetime | Ora in cui l'evento è stato generato (UTC). | Timestamp: |
| Type | string | Nome della tabella. | -- |
| UserAccountControl | dynamic | Attributi di sicurezza dell'account utente nel dominio di Active Directory. I valori possibili (possono contenere più di uno): |
-- |
| UserState | string | Stato corrente dell'account utente in Microsoft Entra ID. Valori possibili: |
-- |
| UserStateChangedOn | datetime | Data dell'ultima modifica dello stato dell'account (UTC). | -- |
| UserType | string | Tipo di utente. | -- |
Passaggi successivi
Questo documento descrive lo schema della tabella di analisi del comportamento delle entità di Microsoft Sentinel.
- Altre informazioni sull'analisi del comportamento delle entità.
- Abilitare UEBA in Microsoft Sentinel.
- Inserire UEBA da usare nelle indagini.