2022年9月30日時点で、Azure Active Directory Identity Protection(AADIP)コネクタから Microsoft Sentinel へ送られるアラートに以下のフィールドが含まれなくなりました。
- CompromisedEntity
- ExtendedProperties["User Account"]
- ExtendedProperties["User Name”]
これらのフィールドを参照するカスタムクエリやルールのために、UEBAソリューションを有効化し Identityinfo テーブルを利用する手段として、上記情報にはサンプルのクエリが提示されています。
UEBA 機能を有効化した場合は、Log Analytics ワークスペースの新しいテーブルにデータが格納されるためデータストレージの追加料金が発生します。
エンティティ動作分析を利用し、高度な脅威を検出する | Microsoft Learn