Sdílet prostřednictvím


Referenční informace k jazyku UEBA pro Microsoft Sentinel

Tento referenční článek obsahuje seznam vstupních zdrojů dat pro službu Analýza chování uživatelů a entit v Microsoft Sentinelu. Popisuje také rozšiřování, které UEBA přidává k entitám, a poskytuje potřebný kontext pro výstrahy a incidenty.

Důležité

Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Zdroje dat UEBA

Jedná se o zdroje dat, ze kterých modul UEBA shromažďuje a analyzuje data za účelem trénování modelů ML a nastavení standardních hodnot chování pro uživatele, zařízení a další entity. UEBA pak prohlédne data z těchto zdrojů a vyhledá anomálie a gleanské přehledy.

Zdroj dat Události
Microsoft Entra ID
Protokoly přihlašování
Všechny
Microsoft Entra ID
Protokoly auditu
ApplicationManagement
DirectoryManagement
GroupManagement
Zařízení
RoleManagement
UserManagementCategory
Protokoly aktivit Azure Autorizace
AzureActiveDirectory
Fakturace
Compute
Využití
KeyVault
Zařízení
Síť
Zdroje informací
Intune
Logika
Sql
Úložiště
Zabezpečení Windows události
WindowsEvent nebo
SecurityEvent
4624: Účet byl úspěšně přihlášen
4625: Účet se nepodařilo přihlásit
4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů
4672: Zvláštní oprávnění přiřazená k novému přihlášení
4688: Byl vytvořen nový proces

Rozšiřování UEBA

Tato část popisuje rozšíření UEBA přidává do entit Microsoft Sentinelu spolu se všemi jejich podrobnostmi, které můžete použít k zaměření a zostření vyšetřování incidentů zabezpečení. Tyto rozšiřování se zobrazují na stránkách entit a najdete je v následujících tabulkách Log Analytics, jejich obsah a schéma jsou uvedené níže:

  • V tabulce BehaviorAnalytics se ukládají výstupní informace jazyka UEBA.

    Následující tři dynamická pole z tabulky BehaviorAnalytics jsou popsána v části o rozšiřování dynamických polí entity níže.

    • Pole UsersInsights a DevicesInsights obsahují informace o entitách ze služby Active Directory / Microsoft Entra ID a zdrojů Microsoft Threat Intelligence.

    • Pole ActivityInsights obsahuje informace o entitách na základě profilů chování vytvořených analýzou chování entit služby Microsoft Sentinel.

      Aktivity uživatelů se analyzují podle směrného plánu, který se dynamicky kompiluje při každém použití. Každá aktivita má definované období zpětného vyhledávání, ze kterého se odvozuje dynamický směrný plán. Období zpětného vyhledávání je zadané ve sloupci Směrný plán v této tabulce.

  • V tabulce IdentityInfo se ukládají informace o identitě synchronizované s UEBA z ID Microsoft Entra (a z místní Active Directory přes Microsoft Defender for Identity).

Tabulka BehaviorAnalytics

Následující tabulka popisuje data analýzy chování zobrazená na každé stránce podrobností entity v Microsoft Sentinelu.

Pole Typ Popis
Id tenanta string Jedinečný počet ID tenanta.
SourceRecordId string Jedinečné identifikační číslo události EBA.
TimeGenerated datetime Časové razítko výskytu aktivity.
TimeProcessed datetime Časové razítko zpracování činnosti modulem EBA.
ActivityType string Kategorie aktivity vysoké úrovně.
ActionType string Normalizovaný název aktivity.
UserName string Uživatelské jméno uživatele, který aktivitu inicioval.
UserPrincipalName string Úplné uživatelské jméno uživatele, který aktivitu zahájil.
EventSource string Zdroj dat, který poskytl původní událost.
SourceIPAddress string IP adresa, ze které byla aktivita zahájena.
SourceIPLocation string Země, ze které byla aktivita zahájena, rozšířená z IP adresy.
SourceDevice string Název hostitele zařízení, které aktivitu iniciovalo.
DestinationIPAddress string IP adresa cíle aktivity.
DestinationIPLocation string Země cíle aktivity rozšířená z IP adresy.
DestinationDevice string Název cílového zařízení.
UsersInsights dynamic Kontextové rozšiřování zahrnutých uživatelů (podrobnosti najdete níže).
DevicesInsights dynamic Kontextové rozšiřování zahrnutých zařízení (podrobnosti najdete níže).
ActivityInsights dynamic Kontextová analýza aktivity na základě naší profilace (podrobnosti níže).
InvestigationPriority int Skóre anomálií v rozmezí od 0 do 10 (0=neškodné, 10=velmi neobvyklé).

Rozšíření entit – dynamická pole

Poznámka:

Sloupec Název rozšiřování v tabulkách v této části zobrazuje dva řádky informací.

  • První, tučným písmem, je "popisný název" rozšiřování.
  • Druhá (kurzíva a závorky) je název pole rozšiřování, které je uložené v tabulce Behavior Analytics.

Pole UsersInsights

Následující tabulka popisuje rozšíření doporučená v dynamickém poli UsersInsights v tabulce BehaviorAnalytics:

Název rozšiřování Popis Ukázková hodnota
Zobrazovaný název účtu
(AccountDisplayName)
Zobrazovaný název účtu uživatele. Admin, Hayden Cook
Doména účtu
(AccountDomain)
Název domény účtu uživatele.
ID objektu účtu
(AccountObjectID)
ID objektu účtu uživatele. a58df659-5cab-446c-9dd0-5a3af20ce1c2
Poloměr výbuchu
(BlastRadius)
Poloměr výbuchu se počítá na základě několika faktorů: pozice uživatele ve stromu organizace a role a oprávnění uživatele Microsoft Entra. Aby se mohl vypočítat, musí mít uživatel vlastnost Manager vyplněnou v Microsoft Entra ID pro BlastRadius . Nízká, Střední, Vysoká
Je neaktivní účet
(IsDormantAccount)
Účet se během posledních 180 dnů nepoužil. True, False
Je místní správce
(IsLocalAdmin)
Účet má oprávnění místního správce. True, False
Je nový účet
(IsNewAccount)
Účet byl vytvořen během posledních 30 dnů. True, False
Místní identifikátor SID
(OnPremisesSID)
Místní identifikátor SID uživatele související s akcí. S-1-5-21-1112946627-1321165628-243734228-1103

Pole DevicesInsights

Následující tabulka popisuje rozšíření doporučená v dynamickém poli DevicesInsights v tabulce BehaviorAnalytics:

Název rozšiřování Popis Ukázková hodnota
Prohlížeč
(Prohlížeč)
Prohlížeč použitý v akci. Edge, Chrome
Řada zařízení
(DeviceFamily)
Řada zařízení použitá v akci. Windows
Typ zařízení
(DeviceType)
Typ klientského zařízení použitý v akci Desktop
ISP
(ISP)
Poskytovatel internetových služeb použitý v akci.
Operační systém
(OperatingSystem)
Operační systém použitý v akci. Windows 10
Popis indikátoru informací o hrozbě
(ThreatIntelIndicatorDescription)
Popis zjištěného indikátoru hrozby vyřešeného z IP adresy použité v akci. Hostitel je členem botnetu: azorult
Typ ukazatele intel hrozby
(ThreatIntelIndicatorType)
Typ indikátoru hrozby vyřešený z IP adresy použité v akci. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Uživatelský agent
(UserAgent)
Uživatelský agent použitý v akci. Klientská knihovna Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Řada uživatelských agentů
(UserAgentFamily)
Řada uživatelských agentů použitá v akci. Chrome, Edge, Firefox

Pole ActivityInsights

Následující tabulky popisují rozšíření doporučená v dynamickém poli ActivityInsights v tabulce BehaviorAnalytics:

Provedená akce
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Akce provedená uživatelem při prvním spuštění
(FirstTimeUserPerformedAction)
180 Akce byla provedena poprvé uživatelem. True, False
Méně časté akce prováděné uživatelem
(ActionUncommonlyPerformedByUser)
10 Uživatel tuto akci běžně neprovádí. True, False
Méně časté akce prováděné mezi partnerskými účastníky
(ActionUncommonlyPerformedAmongPeers)
180 Tato akce se běžně neprovádí mezi partnerskými vztahy uživatelů. True, False
První akce provedená v tenantovi
(FirstTimeActionPerformedInTenant)
180 Akce byla provedena poprvé kýmkoli v organizaci. True, False
Méně časté akce prováděné v tenantovi
(ActionUncommonlyPerformedInTenant)
180 Akce se v organizaci běžně neprovádí. True, False
Použitá aplikace
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
První použití aplikace uživatelem
(FirstTimeUserUsedApp)
180 Aplikace byla poprvé použita uživatelem. True, False
Méně časté používání aplikace uživatelem
(AppUncommonlyUsedByUser)
10 Uživatel aplikaci běžně nepoužívá. True, False
Aplikace se mezi partnerskými partnery běžně používá
(AppUncommonlyUsedAmongPeers)
180 Aplikace se běžně nepoužívá mezi partnerskými vztahy uživatelů. True, False
První zjištěná aplikace v tenantovi
(FirstTimeAppObservedInTenant)
180 Aplikace byla pozorována poprvé v organizaci. True, False
Aplikace se v tenantovi běžně používá
(AppUncommonlyUsedInTenant)
180 Aplikace se v organizaci běžně nepoužívá. True, False
Použitý prohlížeč
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním připojení uživatele přes prohlížeč
(FirstTimeUserConnectedViaBrowser)
30 Prohlížeč poprvé zaznamenal uživatel. True, False
Prohlížeč běžně používaný uživatelem
(BrowserUncommonlyUsedByUser)
10 Uživatel prohlížeč běžně nepoužívá. True, False
Prohlížeč se mezi partnerskými partnery běžně používá
(BrowserUncommonlyUsedAmongPeers)
30 Prohlížeč se běžně nepoužívá mezi partnerskými vztahy uživatelů. True, False
První zobrazení prohlížeče v tenantovi
(FirstTimeBrowserObservedInTenant)
30 Prohlížeč byl pozorován poprvé v organizaci. True, False
Prohlížeč se v tenantovi běžně používá
(BrowserUncommonlyUsedInTenant)
30 Prohlížeč se v organizaci běžně nepoužívá. True, False
Země připojená z
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním připojení uživatele ze země
(FirstTimeUserConnectedFromCountry)
90 Geografické umístění, jak je vyřešeno z IP adresy, bylo poprvé připojeno uživatelem. True, False
Země méně časté spojení od uživatele
(CountryUncommonlyConnectedFromByUser)
10 Geografické umístění, jak je vyřešeno z IP adresy, není běžně připojeno uživatelem. True, False
Země neobvykle propojená z partnerských vztahů
(CountryUncommonlyConnectedFromAmongPeers)
90 Geografické umístění, jak je vyřešeno z IP adresy, se běžně nepřipojí mezi partnerskými vztahy uživatelů. True, False
První připojení ze země zjištěné v tenantovi
(FirstTimeConnectionFromCountryObservedInTenant)
90 Země byla poprvé propojena kýmkoli v organizaci. True, False
Země méně často připojená z tenanta
(CountryUncommonlyConnectedFromInTenant)
90 Geografické umístění, jak je vyřešeno z IP adresy, se v organizaci běžně nepřipojí. True, False
Zařízení používané k připojení
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním připojení uživatele ze zařízení
(FirstTimeUserConnectedFromDevice)
30 Zdrojové zařízení bylo poprvé připojeno uživatelem. True, False
Zařízení, které uživatel používá méně často
(DeviceUncommonlyUsedByUser)
10 Zařízení běžně nepoužívá uživatel. True, False
Zařízení se běžně používá mezi partnerskými vztahy
(DeviceUncommonlyUsedAmongPeers)
180 Zařízení se běžně nepoužívá mezi partnerskými vztahy uživatelů. True, False
První pozorování zařízení v tenantovi
(FirstTimeDeviceObservedInTenant)
30 Zařízení bylo pozorováno poprvé v organizaci. True, False
Méně časté použití zařízení v tenantovi
(DeviceUncommonlyUsedInTenant)
180 Zařízení se v organizaci běžně nepoužívá. True, False
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním přihlášení uživatele k zařízení
(FirstTimeUserLoggedOnToDevice)
180 Cílové zařízení bylo poprvé připojeno uživatelem. True, False
Řada zařízení se v tenantovi běžně používá
(DeviceFamilyUncommonlyUsedInTenant)
30 Řada zařízení se v organizaci běžně nepoužívá. True, False
Poskytovatel internetových služeb používaný k připojení
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním připojení uživatele přes isP
(FirstTimeUserConnectedViaISP)
30 IsP byl poprvé zjištěn uživatelem. True, False
IsP uncommonly used by user
(ISPUncommonlyUsedByUser)
10 IsP není běžně používán uživatelem. True, False
IsP se mezi partnerskými partnery běžně používá
(ISPUncommonlyUsedAmongPeers)
30 IsP se mezi partnerskými vztahy uživatelů běžně nepoužívá. True, False
První připojení přes isP v tenantovi
(FirstTimeConnectionViaISPInTenant)
30 IsP byl poprvé pozorován v organizaci. True, False
IsP se v tenantovi běžně používá
(ISPUncommonlyUsedInTenant)
30 IsP se v organizaci běžně nepoužívá. True, False
Byl získán přístup k prostředku.
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Při prvním přístupu uživatele k prostředku
(FirstTimeUserAccessedResource)
180 K prostředku se uživatel poprvé dostal. True, False
Prostředek, ke který uživatel přistupuje méně často
(ResourceUncommonlyAccessedByUser)
10 K prostředku obvykle nemá uživatel přístup. True, False
Méně časté přístupy k prostředkům mezi partnerskými partnery
(ResourceUncommonlyAccessedAmongPeers)
180 K prostředku se běžně nepřistupuje mezi partnerskými vztahy uživatelů. True, False
Při prvním přístupu k prostředku v tenantovi
(FirstTimeResourceAccessedInTenant)
180 K prostředku se poprvé dostal někdo z organizace. True, False
Méně často přístupný prostředek v tenantovi
(ResourceUncommonlyAccessedInTenant)
180 Prostředek není v organizaci běžně přístupný. True, False
Různé
Název rozšiřování Směrný plán (dny) Popis Ukázková hodnota
Čas, kdy uživatel naposledy provedl akci
(LastTimeUserPerformedAction)
180 Čas, kdy uživatel naposledy provedl stejnou akci <Timestamp>
Podobná akce nebyla provedena v minulosti.
(SimilarActionWasn'tPerformedInThePast)
30 Uživatel neprováděl žádnou akci ve stejném poskytovateli prostředků. True, False
Umístění zdrojové IP adresy
(SourceIPLocation)
Země se přeložila ze zdrojové IP adresy akce. [Surrey, Anglie]
Méně časté velké objemy operací
(UncommonHighVolumeOfOperations)
7 Uživatel provedl nárůst podobných operací v rámci stejného poskytovatele. True, False
Neobvyklý počet selhání podmíněného přístupu Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 Neobvyklý počet uživatelů se nepodařilo ověřit kvůli podmíněnému přístupu. True, False
Neobvyklý počet přidaných zařízení
(UnusualNumberOfDevicesAdded)
5 Uživatel přidal neobvyklý počet zařízení. True, False
Neobvyklý počet odstraněných zařízení
(UnusualNumberOfDevicesDeleted)
5 Uživatel odstranil neobvyklý počet zařízení. True, False
Neobvyklý počet uživatelů přidaných do skupiny
(UnusualNumberOfUsersAddedToGroup)
5 Uživatel přidal do skupiny neobvyklý počet uživatelů. True, False

Tabulka IdentityInfo

Po povolení UEBA pro pracovní prostor Microsoft Sentinel se data z vašeho ID Microsoft Entra synchronizují do tabulky IdentityInfo v Log Analytics pro použití v Microsoft Sentinelu. Do analytických pravidel můžete vkládat uživatelská data synchronizovaná z VAŠEHO ID Microsoft Entra, abyste vylepšili analýzu tak, aby vyhovovala vašim případům použití a snížila falešně pozitivní výsledky.

I když počáteční synchronizace může trvat několik dní, po úplné synchronizaci dat:

  • Změny profilů uživatelů, skupin a rolí v ID Microsoft Entra se aktualizují v tabulce IdentityInfo během 15 až 30 minut.

  • Každých 14 dnů se Microsoft Sentinel znovu synchronizuje s celým ID Microsoft Entra, aby se zajistilo, že zastaralé záznamy budou plně aktualizovány.

  • Výchozí doba uchovávání v tabulce IdentityInfo je 30 dnů.

Omezení

  • V současné době se podporují jenom předdefinované role.

  • Data o odstraněných skupinách, ve kterých byl uživatel odebrán ze skupiny, se v současné době nepodporují.

Verze tabulky IdentityInfo

Ve skutečnosti existují dvě verze tabulky IdentityInfo :

  • Verze schématu Log Analytics obsluhuje Microsoft Sentinel na webu Azure Portal.
  • Verze rozšířeného schématu proaktivního vyhledávání slouží službě Microsoft Sentinel na portálu Microsoft Defenderu prostřednictvím programu Microsoft Defender for Identity.

Obě verze této tabulky se řídí ID Microsoft Entra, ale verze Log Analytics přidala několik polí.

Jednotná platforma operací zabezpečení, která je na portálu Defender, používá rozšířenou verzi této tabulky proaktivního vyhledávání . Aby se minimalizovaly rozdíly mezi dvěma verzemi tabulky, většina jedinečných polí ve verzi Log Analytics se postupně přidává také do verze rozšířeného vyhledávání . Bez ohledu na to, na kterém portálu používáte Microsoft Sentinel, budete mít přístup k téměř všem stejným informacím, i když mezi verzemi může docházet k malé prodlevě. Další informace najdete v dokumentaci k verzi rozšířeného proaktivního vyhledávání této tabulky.

Následující tabulka popisuje data identity uživatele zahrnutá v tabulce IdentityInfo v Log Analytics na webu Azure Portal. Čtvrtý sloupec zobrazuje odpovídající pole v rozšířené verzi tabulky proaktivního vyhledávání , která Microsoft Sentinel používá na portálu Defender. Názvy polí v tučném písmu se v rozšířeném schématu proaktivního vyhledávání označují odlišně než ve verzi Microsoft Sentinel Log Analytics.

Název pole v
Schéma Log Analytics
Typ Popis Název pole v
Pokročilé schéma proaktivního vyhledávání
AccountCloudSID string Identifikátor zabezpečení Microsoft Entra účtu. CloudSid
AccountCreationTime datetime Datum vytvoření uživatelského účtu (UTC). CreatedDateTime
AccountDisplayName string Zobrazované jméno uživatelského účtu. AccountDisplayName
AccountDomain string Název domény uživatelského účtu. AccountDomain
AccountName string Uživatelské jméno uživatelského účtu. AccountName
AccountObjectId string ID objektu Microsoft Entra pro uživatelský účet. AccountObjectId
AccountSID string Identifikátor místního zabezpečení uživatelského účtu. AccountSID
AccountTenantId string ID tenanta Microsoft Entra uživatelského účtu. --
AccountUPN string Hlavní název uživatele uživatelského účtu. AccountUPN
AdditionalMailAddresses dynamic Další e-mailové adresy uživatele --
Přiřazenérole dynamic Uživatelskému účtu se přiřadí role Microsoft Entra. Přiřazenérole
BlastRadius string Výpočet na základě pozice uživatele ve stromu organizace a rolí a oprávnění Microsoft Entra uživatele.
Možné hodnoty: Nízká, Střední, Vysoká
--
ChangeSource string Zdroj nejnovější změny entity.
Možné hodnoty:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Seznam ke zhlédnutí
  • FullSync
  • ChangeSource
    CompanyName Název společnosti, do které uživatel patří. --
    Město string Město uživatelského účtu. City
    Země/oblast string Země uživatelského účtu. Země
    DeletedDateTime datetime Datum a čas odstranění uživatele --
    Oddělení string Oddělení uživatelského účtu. Oddělení
    GivenName string Zadané jméno uživatelského účtu. GivenName
    GroupMembership dynamic Microsoft Entra groups where the user account is a member. --
    IsAccountEnabled bool Údaj o tom, jestli je uživatelský účet povolený v MICROSOFT Entra ID, nebo ne. IsAccountEnabled
    JobTitle string Pracovní pozice uživatelského účtu. Funkce
    MailAddress string Primární e-mailová adresa uživatelského účtu. EmailAddress
    Manažer string Alias správce uživatelského účtu. Manažer
    OnPremisesDistinguishedName string Rozlišující název ID Microsoft Entra (DN). Rozlišující název je posloupnost relativních rozlišujících názvů (RDN), která je propojená čárkou. DistinguishedName
    Telefon string Telefonní číslo uživatelského účtu. telefonní
    SourceSystem string Systém, ve kterém je uživatel spravován.
    Možné hodnoty:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybridní model
  • SourceProvider
    Kraj string Zeměpisný stav uživatelského účtu. State
    StreetAddress string Adresa poštovní ulice kanceláře uživatelského účtu. Adresa
    Příjmení string Přezdívka uživatele služby. Surname
    Id tenanta string ID tenanta uživatele. --
    TimeGenerated datetime Čas vygenerování události (UTC). Timestamp
    Typ string Název tabulky. --
    UserAccountControl dynamic Atributy zabezpečení uživatelského účtu v doméně AD.
    Možné hodnoty (mohou obsahovat více než jednu):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • Normální účet
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState string Aktuální stav uživatelského účtu v MICROSOFT Entra ID.
    Možné hodnoty:
  • Aktivní
  • Zakázáno
  • Nečinný
  • Výluka
  • --
    UserStateChangedOn datetime Datum poslední změny stavu účtu (UTC). --
    UserType string Typ uživatele. --

    Další kroky

    Tento dokument popisuje schéma tabulky analýzy chování entit služby Microsoft Sentinel.