在 Microsoft Sentinel 中使用用户和实体行为分析（UEBA）进行高级威胁检测

检测组织中的异常行为非常复杂且速度缓慢。 Microsoft Sentinel用户和实体行为分析（UEBA）通过使用机器学习模型为租户生成动态基线和对等比较来简化异常检测和调查。 UEBA 不仅仅是收集日志，还通过从数据中学习提取出可操作的智能，以帮助分析人员检测和调查异常。

本文介绍了 Microsoft Sentinel UEBA 的工作原理，以及如何使用 UEBA 来显示和调查异常情况，以及增强威胁检测功能。

什么是 UEBA？

当 Microsoft Sentinel 收集来自所有连接数据源的日志和警报时，UEBA 使用 AI 随时间推移并在同行组中建立组织实体（例如用户、主机、IP 地址和应用程序）的基线行为概况。 然后，UEBA 标识异常活动，并帮助确定资产是否遭到入侵。

UEBA 还确定特定资产的相对敏感度，标识资产的对等组，并评估任何给定受损资产的潜在影响-其“爆破半径”。此信息使你可以有效地确定调查、搜寻和事件处理的优先级。

UEBA 分析体系结构

安全驱动的分析

受 Gartner 的 UEBA 解决方案范例启发，Microsoft Sentinel基于三个参照系提供“由外向内”的方法。

• 用例： 根据与 MITRE ATT&CK 框架中策略、技术和子技术一致的安全研究，优先处理相关攻击途径和方案，将各种实体作为攻击链中的受害者、肇事者或枢纽点，Microsoft Sentinel 专注于每个数据源可以提供的最有价值的日志。

• 数据源： 虽然首先支持Azure数据源，Microsoft Sentinel深思熟虑地选择第三方数据源以提供与其威胁方案匹配的数据。

• Analytics： 通过使用各种机器学习（ML）算法，Microsoft Sentinel识别异常活动，并以上下文扩充的形式清晰简洁地显示证据，其中一些示例显示在下图中。

  

Microsoft Sentinel提供项目，可帮助安全分析师清楚地了解上下文中的异常活动，并与用户的基线配置文件进行比较。 用户（或主机、地址）执行的操作在上下文中进行评估，“true”结果则表示发现异常：

• 跨地理位置、设备和环境。
• 跨时间和频率范围（与用户自身历史记录相比）。
• 与对等方的行为进行比较。
• 与组织的行为进行比较。

用于构建 Microsoft Sentinel 用户档案的用户实体信息来自您的 Microsoft Entra ID（以及/或本地 Active Directory，目前处于预览状态）。 启用 UEBA 时，它会将Microsoft Entra ID与Microsoft Sentinel同步，并将信息存储在通过 IdentityInfo 表中可见的内部数据库中。

请参阅 在 Microsoft Sentinel 中启用用户和实体行为分析 (UEBA)，了解如何启用 UEBA 和同步用户身份。

计分

每个活动都使用“调查优先级分数”进行评分 - 根据用户及其对等行为学习来确定执行特定活动的特定用户的概率。 被识别为最不正常的活动会获得最高分（分数范围为 0-10 分）。

详细了解 Microsoft Sentinel 中的实体，并查看 支持的实体和标识符的完整列表。

实体页面

实体页面的信息现在可以在Microsoft Sentinel 中的实体页面中找到。

查询行为分析数据

使用 KQL，可以查询 BehaviorAnalytics 表。

例如，如果您想要查找登录 Azure 资源失败的所有用户案例，在这些案例中，用户是首次尝试从某个国家或地区进行连接，并且即便是用户的同事也很少从该地区连接，那么您可以使用以下查询：

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

用户对等元数据 - 表和笔记本

对等用户的元数据可为威胁检测、事件调查和寻找潜在威胁提供重要的上下文。 安全分析师可以观察用户对等的正常活动，以确定用户的活动是否与其对等者不同。

Microsoft Sentinel根据用户的Microsoft Entra安全组成员身份、邮件列表和其他因素计算和排名用户的对等。 它将排名为 1-20 的对等方存储在 UserPeerAnalytics 表中。 以下屏幕截图显示了表的 UserPeerAnalytics 架构，并显示用户 Kendall Collins 排名前八的对等方。 Microsoft Sentinel使用词频-逆文档频率（TF-IDF）算法对排名计算进行权重标准化：组越小，权重越高。

可以使用 Microsoft Sentinel GitHub 存储库中提供的 Jupyter notebook，可视化对等用户元数据。 有关如何使用笔记本的详细说明，请参阅引导分析 - 用户安全元数据笔记本文件。

狩猎查询和探索查询

Microsoft Sentinel 提供了一套开箱即用的狩猎查询、探索查询和基于 BehaviorAnalytics 表的 用户和实体行为分析 工作簿。 这些工具提供了针对特定用例的丰富数据，可指示异常行为。

有关详细信息，请参阅：

• 使用 Microsoft Sentinel
• 可视化和监视数据

随着旧防御工具的过时，组织可能拥有如此庞大且多孔的数字资产，因此无法全面了解其环境可能面临的风险和状况。 依靠大量反应性努力，如分析和规则，使威胁参与者能够了解如何逃避这些努力。 UEBA 可通过提供风险评分方法和算法来让你了解真实情况，这是 UEBA 的独特优势。

后续步骤

本文档介绍了Microsoft Sentinel的实体行为分析功能。 要获得关于实现的实用指南并有效利用您获得的见解，请参阅以下文章：

• 启用 Microsoft Sentinel 中的实体行为分析。
• 利用 UEBA 数据分析调查事件。
• 搜寻安全威胁。

有关详细信息，请参阅 Microsoft Sentinel UEBA 参考。