Microsoft Sentinel UEBA 参考
本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。
UEBA 数据源
这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。
数据源 | 事件 |
---|---|
Microsoft Entra ID 登录日志 |
全部 |
Microsoft Entra ID 审核日志 |
ApplicationManagement DirectoryManagement GroupManagement 设备 RoleManagement UserManagementCategory |
Azure 活动日志 | 授权 AzureActiveDirectory 计费 计算 消耗 KeyVault 设备 网络 资源 Intune 逻辑 Sql 存储 |
Windows 安全事件 WindowsEvent 或 SecurityEvent |
4624:已成功登录帐户 4625:无法登录帐户 4648:尝试使用显式凭据登录 4672:已向新的登录分配特殊权限 4688:已创建新进程 |
UEBA 扩充
本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充将显示在实体页上,可在以下 Log Analytics 表中找到,其中的内容和架构如下所示:
BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。
下面的实体扩充动态字段部分中介绍了 BehaviorAnalytics 表中的以下三个动态字段。
UsersInsights 和 DevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID 和 Microsoft 威胁情报源的实体信息。
ActivityInsights 字段包含的实体信息基于 Microsoft Sentinel 的实体行为分析生成的行为配置文件。
根据每次使用时都会动态编译的基线来分析用户活动。 每个活动都有其定义的回溯期,动态基线从该回溯期中派生。 此表的基线列中指定了该回溯期。
IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory)同步到 UEBA 的身份信息。
BehaviorAnalytics 表
下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。
字段 | 类型 | 说明 |
---|---|---|
TenantId | string | 租户的唯一 ID 编号。 |
SourceRecordId | 字符串 | EBA 事件的唯一 ID 编号。 |
TimeGenerated | datetime | 活动发生时的时间戳。 |
TimeProcessed | datetime | EBA 引擎处理活动时的时间戳。 |
ActivityType | 字符串 | 活动的高级类别。 |
ActionType | 字符串 | 活动的规范化名称。 |
UserName | 字符串 | 发起活动的用户的用户名。 |
UserPrincipalName | 字符串 | 发起活动的用户的完整用户名。 |
EventSource | 字符串 | 提供原始事件的数据源。 |
SourceIPAddress | 字符串 | 发起活动的 IP 地址。 |
SourceIPLocation | string | 发起活动的国家/地区,从 IP 地址进行扩充。 |
SourceDevice | 字符串 | 发起活动的设备的主机名。 |
DestinationIPAddress | 字符串 | 活动目标的 IP 地址。 |
DestinationIPLocation | string | 活动目标所在国家/地区,从 IP 地址进行扩充。 |
DestinationDevice | 字符串 | 目标设备的名称。 |
UsersInsights | 动态 | 相关用户的上下文扩充(详细信息如下)。 |
DevicesInsights | 动态 | 相关设备的上下文扩充(详细信息如下)。 |
ActivityInsights | 动态 | 基于我们的分析的活动的上下文分析(详细信息如下)。 |
InvestigationPriority | int | 异常分数,介于 0-10(0=良性,10=高度异常)。 |
实体扩充动态字段
UsersInsights 字段
下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:
扩充名称 | 说明 | 示例值 |
---|---|---|
帐户显示名称 (AccountDisplayName) |
用户的帐户显示名称。 | Admin、Hayden Cook |
帐户域 (AccountDomain) |
用户的帐户域名。 | |
帐户对象 ID (AccountObjectID) |
用户的帐户对象 ID。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
冲击半径 (BlastRadius) |
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius。 | 低、中、高 |
休眠帐户 (IsDormantAccount) |
此帐户在过去 180 天内未使用。 | True、False |
本地管理员 (IsLocalAdmin) |
此帐户具有本地管理员权限。 | True、False |
新帐户 (IsNewAccount) |
此帐户是在过去 30 天内创建的。 | True、False |
本地 SID (OnPremisesSID) |
与该操作相关的用户的本地 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 字段
下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:
扩充名称 | 说明 | 示例值 |
---|---|---|
浏览器 (Browser) |
操作中使用的浏览器。 | Edge、Chrome |
设备系列 (DeviceFamily) |
操作中使用的设备系列。 | Windows |
设备类型 (DeviceType) |
操作中使用的客户端设备类型 | 桌面 |
ISP (ISP) |
操作中使用的 Internet 服务提供商。 | |
操作系统 (OperatingSystem) |
操作中使用的操作系统。 | Windows 10 |
威胁 intel 指标说明 (ThreatIntelIndicatorDescription) |
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 | 主机是僵尸网络的成员:azorult |
威胁 intel 指标类型 (ThreatIntelIndicatorType) |
从操作中使用的 IP 地址解析的威胁指标的类型。 | 僵尸网络、C2、CryptoMining、Darknet、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表 |
用户代理 (UserAgent) |
操作中使用的用户代理。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
用户代理系列 (UserAgentFamily) |
操作中使用的用户代理系列。 | Chrome、Edge、Firefox |
ActivityInsights 字段
下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:
已执行的操作
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次执行的操作 (FirstTimeUserPerformedAction) |
180 | 用户首次执行此操作。 | True、False |
用户不常执行的操作 (ActionUncommonlyPerformedByUser) |
10 | 用户不常执行此操作。 | True、False |
对等机之间不常执行的操作 (ActionUncommonlyPerformedAmongPeers) |
180 | 用户的对等机之间不常执行此操作。 | True、False |
首次在租户中执行的操作 (FirstTimeActionPerformedInTenant) |
180 | 此操作由组织中的任何人首次执行。 | True、False |
租户中不常执行的操作 (ActionUncommonlyPerformedInTenant) |
180 | 组织中不常执行此操作。 | True、False |
使用的应用
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次使用的应用 (FirstTimeUserUsedApp) |
180 | 用户首次使用此应用。 | True、False |
用户不常使用的应用 (AppUncommonlyUsedByUser) |
10 | 用户不常使用此应用。 | True、False |
在对等机之间不常使用的应用 (AppUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此应用。 | True、False |
首次在租户中观察到的应用 (FirstTimeAppObservedInTenant) |
180 | 在组织中首次观察到此应用。 | True、False |
租户中不常使用的应用 (AppUncommonlyUsedInTenant) |
180 | 组织中不常使用此应用。 | True、False |
使用的浏览器
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次通过浏览器连接 (FirstTimeUserConnectedViaBrowser) |
30 | 用户首次观察到此浏览器。 | True、False |
用户不常使用的浏览器 (BrowserUncommonlyUsedByUser) |
10 | 用户不常使用此浏览器。 | True、False |
在对等机之间不常使用的浏览器 (BrowserUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此浏览器。 | True、False |
首次在租户中观察到的浏览器 (FirstTimeBrowserObservedInTenant) |
30 | 在组织中首次观察到此浏览器。 | True、False |
租户中不常使用的浏览器 (BrowserUncommonlyUsedInTenant) |
30 | 组织中不常使用此浏览器。 | True、False |
从其连接的国家/地区
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次从国家/地区连接 (FirstTimeUserConnectedFromCountry) |
90 | 用户首次从 IP 地址解析的这个地理位置连接。 | True、False |
用户不常从其连接的国家/地区 (CountryUncommonlyConnectedFromByUser) |
10 | 用户不常从 IP 地址解析的这个地理位置连接。 | True、False |
在对等机之间不常从其连接的国家/地区 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 | True、False |
首次从租户中观察到的国家/地区连接 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 组织中的任何人首次从该国家/地区连接。 | True、False |
租户中不常从其连接的国家/地区 (CountryUncommonlyConnectedFromInTenant) |
90 | 组织中不常从 IP 地址解析的这个地理位置连接。 | True、False |
用于连接的设备
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次从设备连接 (FirstTimeUserConnectedFromDevice) |
30 | 用户首次从该源设备连接。 | True、False |
用户不常使用的设备 (DeviceUncommonlyUsedByUser) |
10 | 用户不常使用此设备。 | True、False |
在对等机之间不常使用的设备 (DeviceUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此设备。 | True、False |
首次在租户中观察到的设备 (FirstTimeDeviceObservedInTenant) |
30 | 此设备首次在组织中观察到。 | True、False |
租户中不常使用的设备 (DeviceUncommonlyUsedInTenant) |
180 | 组织中不常使用此设备。 | True、False |
其他相关设备
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次登录到设备 (FirstTimeUserLoggedOnToDevice) |
180 | 用户首次连接到此目标设备。 | True、False |
租户中不常使用的设备系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 组织中不常使用此设备系列。 | True、False |
用于连接的 Internet 服务提供商
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次通过 ISP 连接 (FirstTimeUserConnectedViaISP) |
30 | 用户首次观察到此 ISP。 | True、False |
用户不常使用的 ISP (ISPUncommonlyUsedByUser) |
10 | 用户不常使用此 ISP。 | True、False |
在对等机之间不常使用的 ISP (ISPUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此 ISP。 | True、False |
首次在租户中通过 ISP 连接 (FirstTimeConnectionViaISPInTenant) |
30 | 在组织中首次观察到此 ISP。 | True、False |
租户中不常使用的 ISP (ISPUncommonlyUsedInTenant) |
30 | 组织中不常使用此 ISP。 | True、False |
访问的资源
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次访问的资源 (FirstTimeUserAccessedResource) |
180 | 此资源由用户首次访问。 | True、False |
用户不常访问的资源 (ResourceUncommonlyAccessedByUser) |
10 | 用户不常访问该资源。 | True、False |
在对等机之间不常访问的资源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 在用户的对等机之间不常访问该资源。 | True、False |
首次在租户中访问的资源 (FirstTimeResourceAccessedInTenant) |
180 | 此资源由组织中的任何人首次访问。 | True、False |
租户中不常访问的资源 (ResourceUncommonlyAccessedInTenant) |
180 | 组织中不常访问此资源。 | True、False |
杂项
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户上次执行的操作 (LastTimeUserPerformedAction) |
180 | 上次用户执行了相同的操作。 | <Timestamp> |
过去未执行类似操作 (SimilarActionWasn'tPerformedInThePast) |
30 | 用户未在相同的资源提供程序中执行任何操作。 | True、False |
源 IP 位置 (SourceIPLocation) |
空值 | 此国家/地区从操作的源 IP 解析。 | [英国萨里] |
不常见的大量操作 (UncommonHighVolumeOfOperations) |
7 | 用户在同一个提供程序中执行了一连串类似操作 | True、False |
Microsoft Entra 条件访问失败的异常数量 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由于条件访问导致无法进行身份验证的用户的异常数量 | True、False |
添加的异常数量的设备 (UnusualNumberOfDevicesAdded) |
5 | 用户添加了异常数量的设备。 | True、False |
删除的异常数量的设备 (UnusualNumberOfDevicesDeleted) |
5 | 用户删除了异常数量的设备。 | True、False |
添加到组中的异常数量的用户 (UnusualNumberOfUsersAddedToGroup) |
5 | 用户向组中添加了异常数量的用户。 | True、False |
IdentityInfo 表
为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Microsoft Entra ID 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Microsoft Entra ID 同步的用户数据,以增强分析来适应你的用例并减少误报。
虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:
对 Microsoft Entra ID 中的用户配置文件、组或角色所做的更改会在 15到30 分钟内更新到 IdentityInfo 表中。
每 14 天,Microsoft Sentinel 会与整个 Microsoft Entra ID 重新同步,以确保过时的记录将完全更新。
IdentityInfo 表中的默认保留时间为 30 天。
限制
目前,仅支持内置角色。
目前不支持有关已删除组(从组中删除了用户)的数据。
IdentityInfo 表的版本
下表描述了 Log Analytics 的 IdentityInfo 表中包含的用户身份数据。
在 Log Analytics 架构中的字段名称 |
类型 | 说明 |
---|---|---|
AccountCloudSID | string | 帐户的 Microsoft Entra 安全标识符。 |
AccountCreationTime | datetime | 创建用户帐户的日期 (UTC)。 |
AccountDisplayName | string | 用户帐户的显示名称。 |
AccountDomain | string | 用户帐户的域名。 |
AccountName | string | 用户帐户的用户名。 |
AccountObjectId | string | 用户帐户的 Microsoft Entra 对象 ID。 |
AccountSID | string | 用户帐户的本地安全标识符。 |
AccountTenantId | string | 用户帐户的 Microsoft Entra 租户 ID。 |
AccountUPN | string | 用户帐户的用户主体名称。 |
AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址。 |
AssignedRoles | 动态 | 用户帐户分配到的 Microsoft Entra 角色。 |
BlastRadius | string | 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。 可能的值:“Low”、“Medium”和“High”。 |
ChangeSource | 字符串 | 对实体的最新更改的源。 可能的值: |
CompanyName | 用户所属的公司名称。 | |
市/县 | string | 用户帐户的城市。 |
国家/地区 | string | 用户帐户的国家/地区。 |
DeletedDateTime | datetime | 删除用户的日期和时间。 |
部门 | string | 用户帐户的部门。 |
GivenName | string | 用户帐户的给定名称。 |
GroupMembership | 动态 | 用户帐户所归属的 Microsoft Entra 组。 |
IsAccountEnabled | bool | 指示是否在 Microsoft Entra ID 中启用了用户帐户。 |
JobTitle | string | 用户帐户的职务。 |
MailAddress | string | 用户帐户的主要电子邮件地址。 |
管理员 | string | 用户帐户的管理员别名。 |
OnPremisesDistinguishedName | string | Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。 |
电话 | string | 用户帐户的电话号码。 |
SourceSystem | string | 管理用户的系统。 可能的值: |
State | string | 用户帐户的地理状态。 |
StreetAddress | string | 用户帐户的办公街道地址。 |
Surname | string | 用户的姓氏。 帐户。 |
TenantId | string | 用户的租户 ID。 |
TimeGenerated | datetime | 生成事件的时间 (UTC)。 |
类型 | string | 表的名称。 |
UserAccountControl | 动态 | AD 域中用户帐户的安全属性。 可能的值(可能包含多个): |
UserState | string | Microsoft Entra ID 中用户帐户的当前状态。 可能的值: |
UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC)。 |
UserType | string | 用户类型。 |
后续步骤
本文档介绍了 Microsoft Sentinel 实体行为分析表架构。