Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Dit naslagartikel bevat de invoergegevensbronnen voor de service User and Entity Behavior Analytics in Microsoft Sentinel. Ook worden de verrijkingen beschreven die UEBA toevoegt aan entiteiten, wat de benodigde context biedt voor waarschuwingen en incidenten.
Important
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
UEBA-gegevensbronnen
Dit zijn de gegevensbronnen waaruit de UEBA-engine gegevens verzamelt en analyseert om de ML-modellen te trainen en gedragsbasislijnen in te stellen voor gebruikers, apparaten en andere entiteiten. UEBA kijkt vervolgens naar gegevens uit deze bronnen om afwijkingen en inzichten te vinden.
| Gegevensbron | Connector | Log Analytics-tabel | Geanalyseerde gebeurteniscategorieën |
|---|---|---|---|
| Aanmeldingslogboeken voor door AAD beheerde identiteit (preview) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alle aanmeldingsgebeurtenissen voor beheerde identiteiten |
| Aanmeldingslogboeken van AAD-service-principal (preview) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alle aanmeldingsgebeurtenissen van de service-principal |
| Controlelogboeken | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (preview) | Amazon-webdiensten Amazon Web Services S3 |
AWSCloudTrail | Aanmeldingsgebeurtenissen van de console. Geïdentificeerd door EventName = "ConsoleLogin" en EventSource = "signin.amazonaws.com". Gebeurtenissen moeten een geldige UserIdentityPrincipalIdwaarde hebben. |
| Azure-activiteit | Azure-activiteit | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| Apparaataanmeldingsevenementen (preview) | Microsoft Defender XDR | DeviceLogonEvents | Alle aanmeldingsevenementen voor apparaten |
| GCP-auditlogboeken (preview) | GCP Pub/Sub AuditLogboeken | GCPAuditLogs |
apigee.googleapis.com - API Management Platformiam.googleapis.com - IAM-service (Identity and Access Management)iamcredentials.googleapis.com - API voor IAM-serviceaccountreferentiescloudresourcemanager.googleapis.com - Cloud Resource Manager-APIcompute.googleapis.com - Compute Engine-APIstorage.googleapis.com - Cloud Storage-APIcontainer.googleapis.com - Kubernetes Engine-APIk8s.io - Kubernetes-APIcloudsql.googleapis.com - Cloud SQL APIbigquery.googleapis.com - BigQuery-APIbigquerydatatransfer.googleapis.com - BigQuery Data Transfer Service-APIcloudfunctions.googleapis.com - Cloud Functions-APIappengine.googleapis.com - App Engine-APIdns.googleapis.com - Cloud DNS-APIbigquerydatapolicy.googleapis.com - Api voor BigQuery-gegevensbeleidfirestore.googleapis.com - Firestore-APIdataproc.googleapis.com - Dataproc-APIosconfig.googleapis.com - Config-API van het besturingssysteemcloudkms.googleapis.com - CLOUD KMS-APIsecretmanager.googleapis.com - Secret Manager-APIGebeurtenissen moeten een geldige status hebben: - PrincipalEmail - Het gebruikers- of serviceaccount dat de API aangeroepen heeft- MethodName - De specifieke Google API-methode die wordt aangeroepen- Principal-e-mail, in user@domain.com indeling. |
| Okta CL (preview) | Okta Single Sign-On (met behulp van Azure Functions) | Okta_CL | Verificatie, meervoudige verificatie (MFA) en sessie-gebeurtenissen, waaronder:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startGebeurtenissen moeten een geldige gebruikers-id ( actor_id_s) hebben. |
| Beveiligingsevenementen | Windows-beveiligingsevenementen via AMA Door Windows doorgestuurde gebeurtenissen |
WindowsEvent SecurityEvent |
4624: Er is een account aangemeld 4625: Aanmelden bij een account is mislukt 4648: Er is een aanmelding geprobeerd met behulp van expliciete referenties 4672: Speciale bevoegdheden toegewezen aan nieuwe aanmelding 4688: Er is een nieuw proces gemaakt |
| Aanmeldingslogboeken | Microsoft Entra ID | SigninLogs | Alle aanmeldingsgebeurtenissen |
UEBA-verrijkingen
In deze sectie worden de verrijkingen beschreven die UEBA toevoegt aan Microsoft Sentinel-entiteiten, die u kunt gebruiken om uw onderzoek naar beveiligingsincidenten te richten en te verscherpen. Deze verrijkingen worden weergegeven op entiteitspagina's en vindt u in de volgende Log Analytics-tabellen, waarvan de inhoud en het schema hieronder worden vermeld:
In de tabel BehaviorAnalytics worden de uitvoergegevens van UEBA opgeslagen.
De volgende drie dynamische velden uit de tabel BehaviorAnalytics worden beschreven in de sectie dynamische velden voor entiteitsverrijkingen hieronder.
De velden UsersInsights en DevicesInsights bevatten entiteitsgegevens uit Active Directory/Microsoft Entra ID en Microsoft Threat Intelligence-bronnen.
Het veld ActivityInsights bevat entiteitsgegevens op basis van de gedragsprofielen van Microsoft Sentinel.
Gebruikersactiviteiten worden geanalyseerd op basis van een basislijn die dynamisch wordt gecompileerd telkens wanneer deze wordt gebruikt. Elke activiteit heeft een eigen gedefinieerde lookbackperiode waaruit de dynamische basislijn wordt afgeleid. De lookbackperiode wordt opgegeven in de kolom Basislijn in deze tabel.
In de tabel IdentityInfo worden identiteitsgegevens die zijn gesynchroniseerd met UEBA vanuit Microsoft Entra-id (en vanuit on-premises Active Directory via Microsoft Defender for Identity) opgeslagen.
Tabel BehaviorAnalytics
In de volgende tabel worden de analysegegevens voor gedrag beschreven die worden weergegeven op elke pagina met entiteitsgegevens in Microsoft Sentinel.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Het unieke id-nummer van de tenant. |
| SourceRecordId | string | Het unieke id-nummer van de EBA-gebeurtenis. |
| TimeGenerated | datetime | De tijdstempel van het exemplaar van de activiteit. |
| TimeProcessed | datetime | De tijdstempel van de verwerking van de activiteit door de EBA-engine. |
| ActivityType | string | De categorie op hoog niveau van de activiteit. |
| ActionType | string | De genormaliseerde naam van de activiteit. |
| UserName | string | De gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| UserPrincipalName | string | De volledige gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| EventSource | string | De gegevensbron die de oorspronkelijke gebeurtenis heeft opgegeven. |
| SourceIPAddress | string | Het IP-adres van waaruit de activiteit is gestart. |
| SourceIPLocation | string | Het land/de regio van waaruit de activiteit is geïnitieerd, verrijkt met IP-adres. |
| SourceDevice | string | De hostnaam van het apparaat dat de activiteit heeft gestart. |
| DestinationIPAddress | string | Het IP-adres van het doel van de activiteit. |
| DestinationIPLocation | string | Het land/de regio van het doel van de activiteit, verrijkt met IP-adres. |
| DestinationDevice | string | De naam van het doelapparaat. |
| UsersInsights | dynamic | De contextuele verrijkingen van betrokken gebruikers (details hieronder). |
| DevicesInsights | dynamic | De contextuele verrijkingen van betrokken apparaten (hieronder details). |
| ActivityInsights | dynamic | De contextuele analyse van activiteiten op basis van onze profilering (hieronder details). |
| InvestigationPriority | int | De anomaliescore, tussen 0-10 (0=goedaardig, 10=zeer afwijkend). Deze score kwantificeert de mate van afwijking van het verwachte gedrag. Hogere scores geven een grotere afwijking van de basislijn aan en duiden meer op werkelijke afwijkingen. Lagere scores zijn mogelijk nog steeds afwijkend, maar zijn minder waarschijnlijk significant of uitvoerbaar. |
Dynamische velden voor entiteitsverrijkingen
Note
In de kolom Verrijkingsnaam in de tabellen in deze sectie worden twee rijen met informatie weergegeven.
- De eerste, vetgedrukt, is de 'beschrijvende naam' van de verrijking.
- De tweede (cursief en haakjes) is de veldnaam van de verrijking zoals opgeslagen in de tabel Behavior Analytics.
Veld UsersInsights
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld UsersInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Description | Voorbeeldwaarde |
|---|---|---|
|
Weergavenaam van account (AccountDisplayName) |
De weergavenaam van het account van de gebruiker. | Beheerder, Hayden Cook |
|
Accountdomein (AccountDomain) |
De accountdomeinnaam van de gebruiker. | |
|
Accountobject-id (AccountObjectID) |
De accountobject-id van de gebruiker. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Straalstraal (BlastRadius) |
De straalstraal wordt berekend op basis van verschillende factoren: de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra-rollen en -machtigingen van de gebruiker. Gebruiker moet de eigenschap Manager hebben ingevuld in Microsoft Entra-id om BlastRadius te kunnen berekenen. | Laag, Gemiddeld, Hoog |
|
Is inactief account (IsDormantAccount) |
Het account is de afgelopen 180 dagen niet gebruikt. | Waar, onwaar |
|
Is lokale beheerder (IsLocalAdmin) |
Het account heeft lokale beheerdersbevoegdheden. | Waar, onwaar |
|
Is een nieuw account (IsNewAccount) |
Het account is gemaakt binnen de afgelopen 30 dagen. | Waar, onwaar |
|
On-premises SID (OnPremisesSID) |
De on-premises SID van de gebruiker die is gerelateerd aan de actie. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Veld DevicesInsights
In de volgende tabel worden de verrijkingen beschreven die worden weergegeven in het dynamische veld DevicesInsights in de tabel BehaviorAnalytics:
| Naam van verrijking | Description | Voorbeeldwaarde |
|---|---|---|
|
Browser (Browser) |
De browser die in de actie wordt gebruikt. | Microsoft Edge, Chrome |
|
Apparaatfamilie (DeviceFamily) |
De apparaatfamilie die in de actie wordt gebruikt. | Windows |
|
Type apparaat (DeviceType) |
Het clientapparaattype dat in de actie wordt gebruikt | Desktop |
|
ISP (ISP) |
De internetprovider die in de actie wordt gebruikt. | |
|
Besturingssysteem (OperatingSystem) |
Het besturingssysteem dat in de actie wordt gebruikt. | Windows 10 |
|
Beschrijving van bedreigingsinformatie (ThreatIntelIndicatorDescription) |
Beschrijving van de waargenomen bedreigingsindicator die is opgelost vanuit het IP-adres dat in de actie wordt gebruikt. | Host is lid van botnet: azorult |
|
Type bedreigingsinformatieindicator (ThreatIntelIndicatorType) |
Het type bedreigingsindicator dat is opgelost vanuit het IP-adres dat in de actie wordt gebruikt. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Gebruikersagent (UserAgent) |
De gebruikersagent die in de actie wordt gebruikt. | Microsoft Azure Graph-clientbibliotheek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Familie van gebruikersagent (UserAgentFamily) |
De familie van de gebruikersagent die in de actie wordt gebruikt. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-veld
In de volgende tabellen worden de verrijkingen beschreven die worden weergegeven in het dynamische veld ActivityInsights in de tabel BehaviorAnalytics:
Uitgevoerde actie
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker actie heeft uitgevoerd (FirstTimeUserPerformedAction) |
180 | De actie is voor het eerst uitgevoerd door de gebruiker. | Waar, onwaar |
|
Actie die ongebruikelijk wordt uitgevoerd door de gebruiker (ActionUncommonlyPerformedByUser) |
10 | De actie wordt niet vaak uitgevoerd door de gebruiker. | Waar, onwaar |
|
Actie die ongebruikelijk wordt uitgevoerd tussen peers (ActionUncommonlyPerformedAmongPeers) |
180 | De actie wordt niet vaak uitgevoerd tussen de peers van gebruikers. | Waar, onwaar |
|
Eerste keer uitgevoerde actie in tenant (FirstTimeActionPerformedInTenant) |
180 | De actie is voor het eerst uitgevoerd door iedereen in de organisatie. | Waar, onwaar |
|
Actie die ongebruikelijk wordt uitgevoerd in de tenant (ActionUncommonlyPerformedInTenant) |
180 | De actie wordt meestal niet uitgevoerd in de organisatie. | Waar, onwaar |
App gebruikt
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker de app heeft gebruikt (FirstTimeUserUsedApp) |
180 | De app is voor het eerst gebruikt door de gebruiker. | Waar, onwaar |
|
App wordt soms gebruikt door de gebruiker (AppUncommonlyUsedByUser) |
10 | De app wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
App wordt ongebruikelijk gebruikt tussen peers (AppUncommonlyUsedAmongPeers) |
180 | De app wordt niet vaak gebruikt voor peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat de app in de tenant is waargenomen (FirstTimeAppObservedInTenant) |
180 | De app is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
App wordt ongebruikelijk gebruikt in de tenant (AppUncommonlyUsedInTenant) |
180 | De app wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Gebruikte browser
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker is verbonden via de browser (FirstTimeUserConnectedViaBrowser) |
30 | De browser is voor het eerst waargenomen door de gebruiker. | Waar, onwaar |
|
Browser die ongebruikelijk wordt gebruikt door de gebruiker (BrowserUncommonlyUsedByUser) |
10 | De browser wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
Browser die ongebruikelijk wordt gebruikt tussen peers (BrowserUncommonlyUsedAmongPeers) |
30 | De browser wordt niet vaak gebruikt voor peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat de browser in de tenant is waargenomen (FirstTimeBrowserObservedInTenant) |
30 | De browser is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
Browser die ongebruikelijk wordt gebruikt in de tenant (BrowserUncommonlyUsedInTenant) |
30 | De browser wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Land/regio verbonden vanuit
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker is verbonden vanuit het land (FirstTimeUserConnectedFromCountry) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is voor het eerst verbonden door de gebruiker. | Waar, onwaar |
|
Land dat ongebruikelijk is verbonden door de gebruiker (CountryUncommonlyConnectedFromByUser) |
10 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden door de gebruiker. | Waar, onwaar |
|
Land is ongebruikelijk verbonden tussen collega's (CountryUncommonlyConnectedFromAmongPeers) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is niet vaak verbonden tussen de peers van de gebruiker. | Waar, onwaar |
|
Eerste keer verbinding vanuit land waargenomen in tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Het land/de regio is voor het eerst verbonden door iedereen in de organisatie. | Waar, onwaar |
|
Land dat ongebruikelijk is verbonden vanuit een tenant (CountryUncommonlyConnectedFromInTenant) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is meestal niet verbonden vanuit de organisatie. | Waar, onwaar |
Apparaat dat wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker verbinding heeft gemaakt vanaf het apparaat (FirstTimeUserConnectedFromDevice) |
30 | Het bronapparaat is voor het eerst verbonden door de gebruiker. | Waar, onwaar |
|
Apparaat dat ongebruikelijk wordt gebruikt door de gebruiker (DeviceUncommonlyUsedByUser) |
10 | Het apparaat wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
Apparaat wordt ongebruikelijk gebruikt tussen peers (DeviceUncommonlyUsedAmongPeers) |
180 | Het apparaat wordt niet vaak gebruikt voor peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat het apparaat in de tenant is waargenomen (FirstTimeDeviceObservedInTenant) |
30 | Het apparaat is voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
Apparaat dat ongebruikelijk wordt gebruikt in de tenant (DeviceUncommonlyUsedInTenant) |
180 | Het apparaat wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Andere apparaatgerelateerde
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
De eerste keer dat de gebruiker zich heeft aangemeld bij het apparaat (FirstTimeUserLoggedOnToDevice) |
180 | Het doelapparaat is voor het eerst verbonden door de gebruiker. | Waar, onwaar |
|
Apparaatfamilie wordt ongebruikelijk gebruikt in de tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | De apparaatfamilie wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Internetprovider die wordt gebruikt om verbinding te maken
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker is verbonden via ISP (FirstTimeUserConnectedViaISP) |
30 | De internetprovider is voor het eerst waargenomen door de gebruiker. | Waar, onwaar |
|
ISP wordt ongebruikelijk gebruikt door de gebruiker (ISPUncommonlyUsedByUser) |
10 | De internetprovider wordt niet vaak gebruikt door de gebruiker. | Waar, onwaar |
|
ISP wordt ongebruikelijk gebruikt tussen peers (ISPUncommonlyUsedAmongPeers) |
30 | De internetprovider wordt niet vaak gebruikt voor de peers van gebruikers. | Waar, onwaar |
|
Eerste keer verbinding via internetprovider in tenant (FirstTimeConnectionViaISPInTenant) |
30 | De internetprovider werd voor het eerst in de organisatie waargenomen. | Waar, onwaar |
|
ISP wordt ongebruikelijk gebruikt in tenant (ISPUncommonlyUsedInTenant) |
30 | De internetprovider wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Resource geopend
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Eerste keer dat de gebruiker toegang heeft tot de resource (FirstTimeUserAccessedResource) |
180 | De resource is voor het eerst geopend door de gebruiker. | Waar, onwaar |
|
Resource die ongebruikelijk wordt geopend door de gebruiker (ResourceUncommonlyAccessedByUser) |
10 | De resource wordt vaak niet door de gebruiker geopend. | Waar, onwaar |
|
Resource die ongebruikelijk wordt geopend tussen peers (ResourceUncommonlyAccessedAmongPeers) |
180 | De resource wordt niet vaak gebruikt voor peers van gebruikers. | Waar, onwaar |
|
Eerste keer dat resource wordt geopend in de tenant (FirstTimeResourceAccessedInTenant) |
180 | De resource is voor het eerst geopend door iedereen in de organisatie. | Waar, onwaar |
|
Resource die ongebruikelijk wordt geopend in de tenant (ResourceUncommonlyAccessedInTenant) |
180 | De resource wordt niet vaak gebruikt in de organisatie. | Waar, onwaar |
Miscellaneous
| Naam van verrijking | Basislijn (dagen) | Description | Voorbeeldwaarde |
|---|---|---|---|
|
Laatste keer dat de gebruiker actie heeft uitgevoerd (LastTimeUserPerformedAction) |
180 | De laatste keer dat de gebruiker dezelfde actie heeft uitgevoerd. | <Tijdstempel> |
|
Er is in het verleden geen vergelijkbare actie uitgevoerd (SimilarActionWasn'tPerformedInThePast) |
30 | Er is geen actie in dezelfde resourceprovider uitgevoerd door de gebruiker. | Waar, onwaar |
|
Bron-IP-locatie (SourceIPLocation) |
N/A | Het land/de regio die is omgezet vanuit het bron-IP-adres van de actie. | [Surrey, Engeland] |
|
Ongebruikelijk groot aantal bewerkingen (UncommonHighVolumeOfOperations) |
7 | Een gebruiker heeft een burst van vergelijkbare bewerkingen uitgevoerd binnen dezelfde provider | Waar, onwaar |
|
Ongebruikelijk aantal voorwaardelijke toegangsfouten van Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Een ongebruikelijk aantal gebruikers kan niet worden geverifieerd vanwege voorwaardelijke toegang | Waar, onwaar |
|
Ongebruikelijk aantal toegevoegde apparaten (UnusualNumberOfDevicesAdded) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten toegevoegd. | Waar, onwaar |
|
Ongebruikelijk aantal apparaten verwijderd (UnusualNumberOfDevicesDeleted) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten verwijderd. | Waar, onwaar |
|
Ongebruikelijk aantal gebruikers toegevoegd aan groep (UnusualNumberOfUsersAddedToGroup) |
5 | Een gebruiker heeft een ongebruikelijk aantal gebruikers toegevoegd aan een groep. | Waar, onwaar |
IdentityInfo-tabel
Nadat u UEBA hebt ingeschakeld en geconfigureerd voor uw Microsoft Sentinel-werkruimte, worden gebruikersgegevens van uw Microsoft-id-providers gesynchroniseerd met de tabel IdentityInfo in Log Analytics voor gebruik in Microsoft Sentinel.
Deze id-providers zijn of beide van de volgende, afhankelijk van welke u hebt geselecteerd bij het configureren van UEBA:
- Microsoft Entra-id (in de cloud)
- Microsoft Active Directory (on-premises, vereist Microsoft Defender for Identity))
U kunt een query uitvoeren op de tabel IdentityInfo in analyseregels, opsporingsquery's en werkmappen, waardoor uw analyses beter passen bij uw gebruiksscenario's en fout-positieven worden verminderd.
Hoewel de initiële synchronisatie enkele dagen kan duren, kan het zodra de gegevens volledig zijn gesynchroniseerd:
Elke 14 dagen wordt microsoft Sentinel opnieuw gesynchroniseerd met uw volledige Microsoft Entra-id (en uw on-premises Active Directory, indien van toepassing) om ervoor te zorgen dat verouderde records volledig worden bijgewerkt.
Naast deze reguliere volledige synchronisaties worden de betrokken gebruikersrecords binnen 15-30 minuten opnieuw opgenomen en bijgewerkt in de tabel IdentityInfo , wanneer er wijzigingen worden aangebracht in uw gebruikersprofielen, groepen en ingebouwde rollen in Microsoft Entra-id. Deze opname wordt gefactureerd tegen normale tarieven. Voorbeeld:
Een gebruikerskenmerk, zoals weergavenaam, functie of e-mailadres, is gewijzigd. Er wordt een nieuwe record voor deze gebruiker opgenomen in de tabel IdentityInfo , waarbij de relevante velden zijn bijgewerkt.
Groep A heeft er 100 gebruikers in. 5 gebruikers worden toegevoegd aan de groep of verwijderd uit de groep. In dit geval worden deze vijf gebruikersrecords opnieuw opgenomen en zijn de velden GroupMembership bijgewerkt.
Groep A heeft er 100 gebruikers in. Er worden tien gebruikers toegevoegd aan Groep A. Bovendien worden groepen A1 en A2, elk met 10 gebruikers, toegevoegd aan Groep A. In dit geval worden 30 gebruikersrecords opnieuw opgenomen en zijn de velden GroupMembership bijgewerkt. Dit gebeurt omdat groepslidmaatschap transitief is, zodat wijzigingen in groepen van invloed zijn op al hun subgroepen.
Groep B (met 50 gebruikers) wordt gewijzigd in Group BeGood. In dit geval worden 50 gebruikersrecords opnieuw opgenomen en zijn de velden GroupMembership bijgewerkt. Als er subgroepen in die groep zijn, gebeurt hetzelfde voor alle records van hun leden.
De standaardretentietijd in de tabel IdentityInfo is 30 dagen.
Limitations
Het veld AssignedRoles ondersteunt alleen ingebouwde rollen.
Het veld GroupMembership ondersteunt het weergeven van maximaal 500 groepen per gebruiker, inclusief subgroepen. Als een gebruiker lid is van meer dan 500 groepen, worden alleen de eerste 500 gesynchroniseerd met de tabel IdentityInfo . De groepen worden echter niet in een bepaalde volgorde geëvalueerd, dus bij elke nieuwe synchronisatie (elke 14 dagen) is het mogelijk dat een andere set groepen wordt bijgewerkt naar de gebruikersrecord.
Wanneer een gebruiker wordt verwijderd, wordt de record van die gebruiker niet onmiddellijk verwijderd uit de tabel IdentityInfo . De reden hiervoor is dat een van de doeleinden van deze tabel is het controleren van wijzigingen in gebruikersrecords. Daarom willen we dat deze tabel een record bevat van een gebruiker die wordt verwijderd, wat alleen kan gebeuren als de gebruikersrecord in de tabel IdentityInfo nog bestaat, zelfs als de werkelijke gebruiker (bijvoorbeeld in Entra-id) wordt verwijderd.
Verwijderde gebruikers kunnen worden geïdentificeerd door de aanwezigheid van een waarde in het
deletedDateTimeveld. Dus als u een query nodig hebt om een lijst met gebruikers weer te geven, kunt u verwijderde gebruikers filteren door deze toe te voegen| where IsEmpty(deletedDateTime)aan de query.Op een bepaald tijdstip nadat een gebruiker is verwijderd, wordt de record van de gebruiker uiteindelijk ook verwijderd uit de tabel IdentityInfo .
Wanneer een groep wordt verwijderd of als een groep met meer dan 100 leden de naam heeft gewijzigd, worden de gebruikersrecords van die groep niet bijgewerkt. Als een andere wijziging ervoor zorgt dat een van de records van die gebruikers wordt bijgewerkt, worden de bijgewerkte groepsinformatie op dat moment opgenomen.
Andere versies van de tabel IdentityInfo
Er zijn meerdere versies van de tabel IdentityInfo :
De Log Analytics-schemaversie , die in dit artikel wordt besproken, dient Microsoft Sentinel in Azure Portal. Het is beschikbaar voor klanten die UEBA hebben ingeschakeld.
De geavanceerde opsporingsschemaversie dient de Microsoft Defender-portal via Microsoft Defender for Identity. Het is beschikbaar voor klanten van Microsoft Defender XDR, met of zonder Microsoft Sentinel en voor klanten van Microsoft Sentinel zelf in de Defender-portal.
UEBA hoeft niet te worden ingeschakeld om toegang te krijgen tot deze tabel. Voor klanten waarvoor UEBA is ingeschakeld, zijn de velden die zijn ingevuld door UEBA-gegevens echter niet zichtbaar of beschikbaar.
Zie de documentatie van de geavanceerde opsporingsversie van deze tabel voor meer informatie.
Vanaf mei 2025 gaan klanten van Microsoft Sentinel in de Microsoft Defender-portalmet UEBA ingeschakeldeen nieuwe versie van de geavanceerde opsporingsversie gebruiken. Deze nieuwe release bevat alle UEBA-velden uit de Log Analytics-versie en enkele nieuwe velden, en wordt aangeduid als de uniforme versie of de tabel unified IdentityInfo.
Defender-portalklanten zonder UEBA ingeschakeld of zonder Microsoft Sentinel blijven de vorige release van de geavanceerde opsporingsversie gebruiken, zonder de door UEBA gegenereerde velden.
Zie IdentityInfo in de documentatie voor geavanceerde opsporing voor meer informatie over de geïntegreerde versie.
Schema
In de tabel op het volgende tabblad Log Analytics-schema worden de gebruikersidentiteitsgegevens beschreven die zijn opgenomen in de tabel IdentityInfo in Log Analytics in Azure Portal.
Als u Microsoft Sentinel onboardt naar de Defender-portal, selecteert u het tabblad 'Vergelijken met geïntegreerd schema' om de wijzigingen weer te geven die mogelijk van invloed kunnen zijn op de query's in uw regels voor bedreigingsdetectie en opsporingen.
| Veldnaam | Type | Description |
|---|---|---|
| AccountCloudSID | string | De Beveiligings-id van Microsoft Entra van het account. |
| AccountCreationTime | datetime | De datum waarop het gebruikersaccount is gemaakt (UTC). |
| AccountDisplayName | string | De weergavenaam van het gebruikersaccount. |
| AccountDomain | string | De domeinnaam van het gebruikersaccount. |
| AccountName | string | De gebruikersnaam van het gebruikersaccount. |
| AccountObjectId | string | De Object-id van Microsoft Entra voor het gebruikersaccount. |
| AccountSID | string | De on-premises beveiligings-id van het gebruikersaccount. |
| AccountTenantId | string | De Tenant-id van Microsoft Entra van het gebruikersaccount. |
| AccountUPN | string | De principal-naam van de gebruiker van het gebruikersaccount. |
| AdditionalMailAddresses | dynamic | De extra e-mailadressen van de gebruiker. |
| AssignedRoles | dynamic | De Microsoft Entra-rollen waaraan het gebruikersaccount is toegewezen. Alleen ingebouwde rollen worden ondersteund. |
| BlastRadius | string | Een berekening op basis van de positie van de gebruiker in de organisatiestructuur en de Microsoft Entra-rollen en -machtigingen van de gebruiker. Mogelijke waarden: Laag, Gemiddeld, Hoog |
| ChangeSource | string | De bron van de meest recente wijziging in de entiteit. Mogelijke waarden: |
| City | string | De plaats van het gebruikersaccount. |
| CompanyName | string | De bedrijfsnaam waartoe de gebruiker behoort. |
| Country | string | Het land/de regio van het gebruikersaccount. |
| DeletedDateTime | datetime | De datum en tijd waarop de gebruiker is verwijderd. |
| Department | string | De afdeling van het gebruikersaccount. |
| EmployeeId | string | De werknemer-id die door de organisatie aan de gebruiker is toegewezen. |
| GivenName | string | De opgegeven naam van het gebruikersaccount. |
| GroupMembership | dynamic | Microsoft Entra ID-groepen waarbij het gebruikersaccount lid is. |
| IsAccountEnabled | bool | Een indicatie of het gebruikersaccount is ingeschakeld in Microsoft Entra-id of niet. |
| JobTitle | string | De functie van het gebruikersaccount. |
| MailAddress | string | Het primaire e-mailadres van het gebruikersaccount. |
| Manager | string | De manageralias van het gebruikersaccount. |
| OnPremisesDistinguishedName | string | De DN (Microsoft Entra ID distinguished name). Een DN-naam is een reeks relatieve DN-namen (RDN), verbonden door komma's. |
| Phone | string | Het telefoonnummer van het gebruikersaccount. |
| RiskLevel | string | Het risiconiveau van de Microsoft Entra-id van het gebruikersaccount. Mogelijke waarden: |
| RiskLevelDetails | string | Details met betrekking tot het risiconiveau van Microsoft Entra ID. |
| RiskState | string | Indicatie of het account nu risico loopt of als het risico is hersteld. |
| SourceSystem | string | Het systeem waarin de gebruiker wordt beheerd. Mogelijke waarden: |
| State | string | De geografische status van het gebruikersaccount. |
| StreetAddress | string | Het adres van het kantooradres van het gebruikersaccount. |
| Surname | string | De achternaam van de gebruiker. account. |
| TenantId | string | De tenant-id van de gebruiker. |
| TimeGenerated | datetime | Het tijdstip waarop de gebeurtenis is gegenereerd (UTC). |
| Type | string | De naam van de tabel. |
| UserAccountControl | dynamic | Beveiligingskenmerken van het gebruikersaccount in het AD-domein. Mogelijke waarden (kunnen meer dan één bevatten): |
| UserState | string | De huidige status van het gebruikersaccount in Microsoft Entra ID. Mogelijke waarden: |
| UserStateChangedOn | datetime | De datum van de laatste keer dat de accountstatus is gewijzigd (UTC). |
| UserType | string | Het gebruikerstype. |
De volgende velden, terwijl ze aanwezig zijn in het Log Analytics-schema, moeten worden genegeerd, omdat ze niet worden gebruikt of ondersteund door Microsoft Sentinel:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
UEBA-integratie met Microsoft Sentinel-workflows
UEBA-inzichten zijn geïntegreerd in Microsoft Sentinel om uw beveiligingsoperaties te verbeteren:
Entiteitspagina's en gebruikersonderzoek
- Anomalieën in het Gebruikerspaneel: Bekijk de top 3 gebruikersanomalieën van de afgelopen 30 dagen direct in het gebruikerspaneel en het overzichtstabblad van gebruikerspagina's. Dit biedt directe UEBA-context bij het onderzoeken van gebruikers op verschillende portallocaties. Voor meer informatie, zie pagina's Onderzoeken entiteiten met entiteiten.
Verbetering van jacht en detectie
- Go Hunt Anomalies Query: Toegang tot ingebouwde anomalie-queries direct vanuit incidentgrafieken bij het onderzoeken van gebruikersentiteiten, waardoor directe contextuele zoektocht mogelijk is op basis van UEBA-resultaten.
- Aanbevelingen voor Anomalieentafel: Ontvang intelligente suggesties om jachtzoekopdrachten te verbeteren door de UEBA Anomalies-tabel toe te voegen bij het opvragen van geschikte databronnen.
Voor meer informatie over deze jachtverbeteringen, zie Threat hunting in Microsoft Sentinel.
Onderzoekswerkprocessen
- Verbeterde onderzoeksgrafiek: Bij het onderzoeken van incidenten met gebruikersentiteiten kunt u rechtstreeks vanuit de onderzoeksgrafiek toegang krijgen tot UEBA-anomalieën om directe gedragscontext te verkrijgen.
Voor meer informatie over verbeteringen in het onderzoek, zie Microsoft Sentinel-incidenten in detail onderzoeken.
Vereisten voor verbeterde UEBA-integratie
Om toegang te krijgen tot deze verbeterde UEBA-mogelijkheden:
- UEBA moet ingeschakeld zijn in je Microsoft Sentinel-werkruimte
- Je werkruimte moet worden gekoppeld aan het Microsoft Defender-portaal (voor sommige functies)
- Passende rechten om UEBA-gegevens te bekijken en zoekzoekopdrachten uit te voeren
Volgende stappen
In dit document wordt het tabelschema van de analysetabel voor Microsoft Sentinel-entiteiten beschreven.
- Meer informatie over analyse van entiteitsgedrag.
- Schakel UEBA in Microsoft Sentinel in.
- UEBA gebruiken in uw onderzoeken.