Compartir a través de

Microsoft Sentinel UEBA 参考

本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。

UEBA 数据源

这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。

数据源 事件
Microsoft Entra ID
登录日志
全部
Microsoft Entra ID
审核日志
ApplicationManagement
DirectoryManagement
GroupManagement
设备
RoleManagement
UserManagementCategory
Azure 活动日志 授权
AzureActiveDirectory
计费
计算
消耗
KeyVault
设备
网络
资源
Intune
逻辑
Sql
存储
Windows 安全事件
WindowsEvent 或
SecurityEvent
4624:已成功登录帐户
4625:无法登录帐户
4648:尝试使用显式凭据登录
4672:已向新的登录分配特殊权限
4688:已创建新进程

UEBA 扩充

本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充将显示在实体页上,可在以下 Log Analytics 表中找到,其中的内容和架构如下所示:

  • BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。

    下面的实体扩充动态字段部分中介绍了 BehaviorAnalytics 表中的以下三个动态字段。

    • UsersInsightsDevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID 和 Microsoft 威胁情报源的实体信息。

    • ActivityInsights 字段包含的实体信息基于 Microsoft Sentinel 的实体行为分析生成的行为配置文件。

      根据每次使用时都会动态编译的基线来分析用户活动。 每个活动都有其定义的回溯期,动态基线从该回溯期中派生。 此表的基线列中指定了该回溯期。

  • IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory)同步到 UEBA 的身份信息

BehaviorAnalytics 表

下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。

字段 类型​​ 说明
TenantId string 租户的唯一 ID 编号。
SourceRecordId 字符串 EBA 事件的唯一 ID 编号。
TimeGenerated datetime 活动发生时的时间戳。
TimeProcessed datetime EBA 引擎处理活动时的时间戳。
ActivityType 字符串 活动的高级类别。
ActionType 字符串 活动的规范化名称。
UserName 字符串 发起活动的用户的用户名。
UserPrincipalName 字符串 发起活动的用户的完整用户名。
EventSource 字符串 提供原始事件的数据源。
SourceIPAddress 字符串 发起活动的 IP 地址。
SourceIPLocation 字符串 发起活动的国家/地区,从 IP 地址进行扩充。
SourceDevice 字符串 发起活动的设备的主机名。
DestinationIPAddress 字符串 活动目标的 IP 地址。
DestinationIPLocation 字符串 活动目标所在国家/地区,从 IP 地址进行扩充。
DestinationDevice 字符串 目标设备的名称。
UsersInsights 动态 相关用户的上下文扩充(详细信息如下)。
DevicesInsights 动态 相关设备的上下文扩充(详细信息如下)。
ActivityInsights 动态 基于我们的分析的活动的上下文分析(详细信息如下)。
InvestigationPriority int 异常分数,介于 0-10(0=良性,10=高度异常)。

实体扩充动态字段

注意

本部分表中的“扩充名称”列显示两行信息。

  • 第一行以“粗体”显示扩充的“易记名称”。
  • 第二行(斜体且加括号)是存储在行为分析表中的扩充的字段名称。

UsersInsights 字段

下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
帐户显示名称
(AccountDisplayName)
用户的帐户显示名称。 Admin、Hayden Cook
帐户域
(AccountDomain)
用户的帐户域名。
帐户对象 ID
(AccountObjectID)
用户的帐户对象 ID。 a58df659-5cab-446c-9dd0-5a3af20ce1c2
冲击半径
(BlastRadius)
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius 低、中、高
休眠帐户
(IsDormantAccount)
此帐户在过去 180 天内未使用。 True、False
本地管理员
(IsLocalAdmin)
此帐户具有本地管理员权限。 True、False
新帐户
(IsNewAccount)
此帐户是在过去 30 天内创建的。 True、False
本地 SID
(OnPremisesSID)
与该操作相关的用户的本地 SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights 字段

下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
浏览器
(Browser)
操作中使用的浏览器。 Edge、Chrome
设备系列
(DeviceFamily)
操作中使用的设备系列。 Windows
设备类型
(DeviceType)
操作中使用的客户端设备类型 桌面
ISP
(ISP)
操作中使用的 Internet 服务提供商。
操作系统
(OperatingSystem)
操作中使用的操作系统。 Windows 10
威胁 intel 指标说明
(ThreatIntelIndicatorDescription)
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 主机是僵尸网络的成员:azorult
威胁 intel 指标类型
(ThreatIntelIndicatorType)
从操作中使用的 IP 地址解析的威胁指标的类型。 僵尸网络、C2、CryptoMining、Darknet、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表
用户代理
(UserAgent)
操作中使用的用户代理。 Microsoft Azure Graph Client Library 1.0、
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
用户代理系列
(UserAgentFamily)
操作中使用的用户代理系列。 Chrome、Edge、Firefox

ActivityInsights 字段

下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:

已执行的操作
扩充名称 基线(天) 说明 示例值
用户首次执行的操作
(FirstTimeUserPerformedAction)
180 用户首次执行此操作。 True、False
用户不常执行的操作
(ActionUncommonlyPerformedByUser)
10 用户不常执行此操作。 True、False
对等机之间不常执行的操作
(ActionUncommonlyPerformedAmongPeers)
180 用户的对等机之间不常执行此操作。 True、False
首次在租户中执行的操作
(FirstTimeActionPerformedInTenant)
180 此操作由组织中的任何人首次执行。 True、False
租户中不常执行的操作
(ActionUncommonlyPerformedInTenant)
180 组织中不常执行此操作。 True、False
使用的应用
扩充名称 基线(天) 说明 示例值
用户首次使用的应用
(FirstTimeUserUsedApp)
180 用户首次使用此应用。 True、False
用户不常使用的应用
(AppUncommonlyUsedByUser)
10 用户不常使用此应用。 True、False
在对等机之间不常使用的应用
(AppUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此应用。 True、False
首次在租户中观察到的应用
(FirstTimeAppObservedInTenant)
180 在组织中首次观察到此应用。 True、False
租户中不常使用的应用
(AppUncommonlyUsedInTenant)
180 组织中不常使用此应用。 True、False
使用的浏览器
扩充名称 基线(天) 说明 示例值
用户首次通过浏览器连接
(FirstTimeUserConnectedViaBrowser)
30 用户首次观察到此浏览器。 True、False
用户不常使用的浏览器
(BrowserUncommonlyUsedByUser)
10 用户不常使用此浏览器。 True、False
在对等机之间不常使用的浏览器
(BrowserUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此浏览器。 True、False
首次在租户中观察到的浏览器
(FirstTimeBrowserObservedInTenant)
30 在组织中首次观察到此浏览器。 True、False
租户中不常使用的浏览器
(BrowserUncommonlyUsedInTenant)
30 组织中不常使用此浏览器。 True、False
从其连接的国家/地区
扩充名称 基线(天) 说明 示例值
用户首次从国家/地区连接
(FirstTimeUserConnectedFromCountry)
90 用户首次从 IP 地址解析的这个地理位置连接。 True、False
用户不常从其连接的国家/地区
(CountryUncommonlyConnectedFromByUser)
10 用户不常从 IP 地址解析的这个地理位置连接。 True、False
在对等机之间不常从其连接的国家/地区
(CountryUncommonlyConnectedFromAmongPeers)
90 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 True、False
首次从租户中观察到的国家/地区连接
(FirstTimeConnectionFromCountryObservedInTenant)
90 组织中的任何人首次从该国家/地区连接。 True、False
租户中不常从其连接的国家/地区
(CountryUncommonlyConnectedFromInTenant)
90 组织中不常从 IP 地址解析的这个地理位置连接。 True、False
用于连接的设备
扩充名称 基线(天) 说明 示例值
用户首次从设备连接
(FirstTimeUserConnectedFromDevice)
30 用户首次从该源设备连接。 True、False
用户不常使用的设备
(DeviceUncommonlyUsedByUser)
10 用户不常使用此设备。 True、False
在对等机之间不常使用的设备
(DeviceUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此设备。 True、False
首次在租户中观察到的设备
(FirstTimeDeviceObservedInTenant)
30 此设备首次在组织中观察到。 True、False
租户中不常使用的设备
(DeviceUncommonlyUsedInTenant)
180 组织中不常使用此设备。 True、False
扩充名称 基线(天) 说明 示例值
用户首次登录到设备
(FirstTimeUserLoggedOnToDevice)
180 用户首次连接到此目标设备。 True、False
租户中不常使用的设备系列
(DeviceFamilyUncommonlyUsedInTenant)
30 组织中不常使用此设备系列。 True、False
用于连接的 Internet 服务提供商
扩充名称 基线(天) 说明 示例值
用户首次通过 ISP 连接
(FirstTimeUserConnectedViaISP)
30 用户首次观察到此 ISP。 True、False
用户不常使用的 ISP
(ISPUncommonlyUsedByUser)
10 用户不常使用此 ISP。 True、False
在对等机之间不常使用的 ISP
(ISPUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此 ISP。 True、False
首次在租户中通过 ISP 连接
(FirstTimeConnectionViaISPInTenant)
30 在组织中首次观察到此 ISP。 True、False
租户中不常使用的 ISP
(ISPUncommonlyUsedInTenant)
30 组织中不常使用此 ISP。 True、False
访问的资源
扩充名称 基线(天) 说明 示例值
用户首次访问的资源
(FirstTimeUserAccessedResource)
180 此资源由用户首次访问。 True、False
用户不常访问的资源
(ResourceUncommonlyAccessedByUser)
10 用户不常访问该资源。 True、False
在对等机之间不常访问的资源
(ResourceUncommonlyAccessedAmongPeers)
180 在用户的对等机之间不常访问该资源。 True、False
首次在租户中访问的资源
(FirstTimeResourceAccessedInTenant)
180 此资源由组织中的任何人首次访问。 True、False
租户中不常访问的资源
(ResourceUncommonlyAccessedInTenant)
180 组织中不常访问此资源。 True、False
杂项
扩充名称 基线(天) 说明 示例值
用户上次执行的操作
(LastTimeUserPerformedAction)
180 上次用户执行了相同的操作。 <Timestamp>
过去未执行类似操作
(SimilarActionWasn'tPerformedInThePast)
30 用户未在相同的资源提供程序中执行任何操作。 True、False
源 IP 位置
(SourceIPLocation)
空值 此国家/地区从操作的源 IP 解析。 [英国萨里]
不常见的大量操作
(UncommonHighVolumeOfOperations)
7 用户在同一个提供程序中执行了一连串类似操作 True、False
Microsoft Entra 条件访问失败的异常数量
(UnusualNumberOfAADConditionalAccessFailures)
5 由于条件访问导致无法进行身份验证的用户的异常数量 True、False
添加的异常数量的设备
(UnusualNumberOfDevicesAdded)
5 用户添加了异常数量的设备。 True、False
删除的异常数量的设备
(UnusualNumberOfDevicesDeleted)
5 用户删除了异常数量的设备。 True、False
添加到组中的异常数量的用户
(UnusualNumberOfUsersAddedToGroup)
5 用户向组中添加了异常数量的用户。 True、False

IdentityInfo 表

为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Microsoft Entra ID 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Microsoft Entra ID 同步的用户数据,以增强分析来适应你的用例并减少误报。

虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:

  • 对 Microsoft Entra ID 中的用户配置文件所做的更改会在 15 分钟内更新到 IdentityInfo 表中。

  • 组和角色信息每天在 IdentityInfo 表和 Microsoft Entra ID 之间同步。

  • 每 14 天,Microsoft Sentinel 会与整个 Microsoft Entra ID 重新同步,以确保过时的记录将完全更新。

  • IdentityInfo 表中的默认保留时间为 30 天。

限制

  • 目前,仅支持内置角色。

  • 目前不支持有关已删除组(从组中删除了用户)的数据。

IdentityInfo 表的版本

下表描述了 Log Analytics 的 IdentityInfo 表中包含的用户身份数据。


Log Analytics 架构中的字段名称
类型 说明
AccountCloudSID string 帐户的 Microsoft Entra 安全标识符。
AccountCreationTime datetime 创建用户帐户的日期 (UTC)。
AccountDisplayName string 用户帐户的显示名称。
AccountDomain string 用户帐户的域名。
AccountName string 用户帐户的用户名。
AccountObjectId string 用户帐户的 Microsoft Entra 对象 ID。
AccountSID string 用户帐户的本地安全标识符。
AccountTenantId string 用户帐户的 Microsoft Entra 租户 ID。
AccountUPN string 用户帐户的用户主体名称。
AdditionalMailAddresses 动态 用户的其他电子邮件地址。
AssignedRoles 动态 用户帐户分配到的 Microsoft Entra 角色。
BlastRadius string 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。
可能的值:“Low”、“Medium”和“High”。
ChangeSource 字符串 对实体的最新更改的源。
可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
  • CompanyName 用户所属的公司名称。
    市/县 string 用户帐户的城市。
    国家/地区 string 用户帐户的国家/地区。
    DeletedDateTime datetime 删除用户的日期和时间。
    部门 string 用户帐户的部门。
    GivenName string 用户帐户的给定名称。
    GroupMembership 动态 用户帐户所归属的 Microsoft Entra 组。
    IsAccountEnabled bool 指示是否在 Microsoft Entra ID 中启用了用户帐户。
    JobTitle string 用户帐户的职务。
    MailAddress string 用户帐户的主要电子邮件地址。
    管理员 string 用户帐户的管理员别名。
    OnPremisesDistinguishedName string Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。
    电话 string 用户帐户的电话号码。
    SourceSystem string 管理用户的系统。
    可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
  • State string 用户帐户的地理状态。
    StreetAddress string 用户帐户的办公街道地址。
    Surname string 用户的姓氏。 帐户。
    TenantId string 用户的租户 ID。
    TimeGenerated datetime 生成事件的时间 (UTC)。
    类型 string 表的名称。
    UserAccountControl 动态 AD 域中用户帐户的安全属性。
    可能的值(可能包含多个):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState string Microsoft Entra ID 中用户帐户的当前状态。
    可能的值:
  • 活动
  • 已禁用
  • Dormant
  • Lockout
  • UserStateChangedOn datetime 上次更改帐户状态的日期 (UTC)。
    UserType string 用户类型。

    后续步骤

    本文档介绍了 Microsoft Sentinel 实体行为分析表架构。