tos-akibaのブログ

主に Microsoft 365 Security について

AADIP から Sentinel へのフィールド変更

2022年9月30日時点で、Azure Active Directory Identity Protection(AADIP)コネクタから Microsoft Sentinel へ送られるアラートに以下のフィールドが含まれなくなりました。

  • CompromisedEntity
  • ExtendedProperties["User Account"]
  • ExtendedProperties["User Name”]

Azure Active Directory Identity Protection user account enrichments removed: how to mitigate impact - Microsoft Community Hub

ドキュメントの同情報はこちら。
https://learn.microsoft.com/ja-jp/azure/sentinel/whats-new#account-enrichment-fields-removed-from-azure-ad-identity-protection-connector

 

これらのフィールドを参照するカスタムクエリやルールのために、UEBAソリューションを有効化し Identityinfo テーブルを利用する手段として、上記情報にはサンプルのクエリが提示されています。

UEBA 機能を有効化した場合は、Log Analytics ワークスペースの新しいテーブルにデータが格納されるためデータストレージの追加料金が発生します。
エンティティ動作分析を利用し、高度な脅威を検出する | Microsoft Learn