Microsoft Sentinel UEBA-referens

I den här referensartikeln visas indatakällorna för tjänsten Användar- och entitetsbeteendeanalys i Microsoft Sentinel. Den beskriver också de berikningar som UEBA lägger till i entiteter, vilket ger nödvändig kontext till aviseringar och incidenter.

UEBA-datakällor

Det här är de datakällor som UEBA-motorn samlar in och analyserar data från för att träna sina ML-modeller och ange beteendebaslinjer för användare, enheter och andra entiteter. UEBA tittar sedan på data från dessa källor för att hitta avvikelser och få insikter.

Data source Händelser
Microsoft Entra-ID
Inloggningsloggar
Alla
Microsoft Entra-ID
Granskningsloggar
ApplicationManagement
DirectoryManagement
GroupManagement
Enhet
RoleManagement
UserManagementCategory
Azure-aktivitetsloggar Auktorisering
AzureActiveDirectory
Fakturering
Compute
Förbrukning
KeyVault
Enheter
Nätverk
Resurser
Intune
Logik
SQL
Lagring
Windows-säkerhet händelser
WindowsEvent eller
SecurityEvent
4624: Ett konto har loggats in
4625: Det gick inte att logga in på ett konto
4648: Ett inloggningsförsök gjordes med explicita autentiseringsuppgifter
4672: Särskilda privilegier som tilldelats ny inloggning
4688: En ny process har skapats

UEBA-berikande

I det här avsnittet beskrivs de berikningar som UEBA lägger till i Microsoft Sentinel-entiteter, tillsammans med all deras information, som du kan använda för att fokusera och vässa dina säkerhetsincidentutredningar. Dessa berikanden visas på entitetssidor och finns i följande Log Analytics-tabeller, vars innehåll och schema visas nedan:

  • Tabellen BehaviorAnalytics är den plats där UEBA:s utdatainformation lagras.

    Följande tre dynamiska fält från tabellen BehaviorAnalytics beskrivs i avsnittet dynamiska fält för entitetsberikningar nedan.

    • Fälten UsersInsights och DevicesInsights innehåller entitetsinformation från Active Directory/Microsoft Entra ID och Microsoft Threat Intelligence-källor.

    • Fältet ActivityInsights innehåller entitetsinformation baserat på de beteendeprofiler som skapats av Microsoft Sentinels entitetsbeteendeanalys.

      Användaraktiviteter analyseras mot en baslinje som kompileras dynamiskt varje gång den används. Varje aktivitet har sin definierade återblicksperiod som den dynamiska baslinjen härleds från. Återställningsperioden anges i kolumnen Originalplan i den här tabellen.

  • I tabellen IdentityInfo lagras identitetsinformation som synkroniserats med UEBA från Microsoft Entra-ID (och från lokal Active Directory via Microsoft Defender för identitet).

BehaviorAnalytics-tabell

I följande tabell beskrivs beteendeanalysdata som visas på varje entitetsinformationssida i Microsoft Sentinel.

Fält Type Description
TenantId sträng Klientorganisationens unika ID-nummer.
SourceRecordId sträng Det unika ID-numret för EBA-händelsen.
TimeGenerated datetime Tidsstämpeln för aktivitetens förekomst.
TimeProcessed datetime Tidsstämpeln för aktivitetens bearbetning av EBA-motorn.
ActivityType sträng Högnivåkategorin för aktiviteten.
ActionType sträng Det normaliserade namnet på aktiviteten.
UserName sträng Användarnamnet för användaren som initierade aktiviteten.
UserPrincipalName sträng Det fullständiga användarnamnet för den användare som initierade aktiviteten.
EventSource sträng Datakällan som tillhandahöll den ursprungliga händelsen.
SourceIPAddress sträng IP-adressen som aktiviteten initierades från.
SourceIPLocation sträng Det land från vilket verksamheten initierades, berikad från IP-adressen.
SourceDevice sträng Värdnamnet för den enhet som initierade aktiviteten.
DestinationIPAddress sträng IP-adressen för aktivitetens mål.
DestinationIPLocation sträng Det land där aktivitetens mål har utökats från IP-adressen.
DestinationEnhet sträng Namnet på målenheten.
UsersInsights dynamisk De berörda användarnas kontextbaserade berikanden (information nedan).
DevicesInsights dynamisk De kontextuella berikandena av berörda enheter (information nedan).
ActivityInsights dynamisk Kontextanalys av aktivitet baserat på vår profilering (information nedan).
InvestigationPriority heltal Avvikelsepoängen, mellan 0–10 (0=godartad, 10=mycket avvikande).

Dynamiska fält för entitetsberikningar

Kommentar

Kolumnen Berikningsnamn i tabellerna i det här avsnittet visar två rader med information.

  • Den första, i fetstil, är det "vänliga namnet" på berikningen.
  • Den andra (i kursiv stil och parenteser) är fältnamnet för berikningen som lagras i tabellen Beteendeanalys.

Fältet UsersInsights

I följande tabell beskrivs berikandena i fältet AnvändareInsights dynamiskt i tabellen BehaviorAnalytics:

Berikningsnamn Description Exempelvärde
Kontovisningsnamn
(AccountDisplayName)
Användarens visningsnamn för kontot. Administratör, Hayden Cook
Kontodomän
(AccountDomain)
Användarens kontodomännamn.
Kontoobjekt-ID
(AccountObjectID)
Användarens kontoobjekt-ID. a58df659-5cab-446c-9dd0-5a3af20ce1c2
Sprängradie
(BlastRadius)
Explosionsradien beräknas baserat på flera faktorer: användarens position i organisationsträdet och användarens Microsoft Entra-roller och -behörigheter. Användaren måste ha Manager-egenskapen ifylld i Microsoft Entra-ID för att BlastRadius ska kunna beräknas. Låg, medelhög, hög
Är vilande konto
(IsDormantAccount)
Kontot har inte använts under de senaste 180 dagarna. Sant, Falskt
Är lokal administratör
(IsLocalAdmin)
Kontot har lokal administratörsbehörighet. Sant, Falskt
Är nytt konto
(IsNewAccount)
Kontot har skapats under de senaste 30 dagarna. Sant, Falskt
Lokalt SID
(OnPremisesSID)
Det lokala SID för användaren som är relaterad till åtgärden. S-1-5-21-1112946627-1321165628-2437342228-1103

Fältet DevicesInsights

I följande tabell beskrivs berikandena i fältet EnheterInsights dynamiskt i tabellen BehaviorAnalytics:

Berikningsnamn Description Exempelvärde
Webbläsare
(Webbläsare)
Webbläsaren som används i åtgärden. Edge, Chrome
Enhetsfamilj
(DeviceFamily)
Enhetsfamiljen som användes i åtgärden. Windows
Enhetstyp
(DeviceType)
Den klientenhetstyp som används i åtgärden Skrivbord
ISP
(ISP)
Internetleverantören som används i åtgärden.
Operativsystem
(OperatingSystem)
Operativsystemet som används i åtgärden. Windows 10
Beskrivning av hotinformationsindikator
(ThreatIntelIndicatorDescription)
Beskrivning av den observerade hotindikatorn som matchas från DEN IP-adress som användes i åtgärden. Värden är medlem i botnet: azorult
Indikatortyp för hotinformation
(ThreatIntelIndicatorType)
Typen av hotindikator som matchas från DEN IP-adress som användes i åtgärden. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist
Användaragent
(UserAgent)
Användaragenten som användes i åtgärden. Microsoft Azure Graph-klientbibliotek 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Användaragentfamilj
(UserAgentFamily)
Användaragentfamiljen som används i åtgärden. Chrome, Edge, Firefox

Fältet ActivityInsights

I följande tabeller beskrivs berikandena i det dynamiska fältet ActivityInsights i tabellen BehaviorAnalytics:

Åtgärd som utförts
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren utförde åtgärden
(FirstTimeUserPerformedAction)
180 Åtgärden utfördes för första gången av användaren. Sant, Falskt
Åtgärd som utförs ovanligt av användaren
(ActionUncommonlyPerformedByUser)
10 Åtgärden utförs inte ofta av användaren. Sant, Falskt
Åtgärd som utförs ovanligt bland peer-datorer
(ActionUncommonlyPerformedAmongPeers)
180 Åtgärden utförs inte vanligtvis bland användarens peer-datorer. Sant, Falskt
Första gången åtgärden utförs i klientorganisationen
(FirstTimeActionPerformedInTenant)
180 Åtgärden utfördes för första gången av någon i organisationen. Sant, Falskt
Åtgärd som utförs ovanligt i klientorganisationen
(ActionUncommonlyPerformedInTenant)
180 Åtgärden utförs inte ofta i organisationen. Sant, Falskt
App som används
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren använde appen
(FirstTimeUserUsedApp)
180 Appen användes för första gången av användaren. Sant, Falskt
App som används ovanligt av användaren
(AppUncommonlyUsedByUser)
10 Appen används inte ofta av användaren. Sant, Falskt
App som används ovanligt bland peer-datorer
(AppUncommonlyUsedAmongPeers)
180 Appen används inte ofta bland användarens peer-datorer. Sant, Falskt
Första gången appen observeras i klientorganisationen
(FirstTimeAppObservedInTenant)
180 Appen observerades för första gången i organisationen. Sant, Falskt
Appen används ovanligt i klientorganisationen
(AppUncommonlyUsedInTenant)
180 Appen används inte ofta i organisationen. Sant, Falskt
Webbläsare som används
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren ansluter via webbläsare
(FirstTimeUser Anslut edViaBrowser)
30 Webbläsaren observerades för första gången av användaren. Sant, Falskt
Webbläsare används ovanligt av användaren
(BrowserUncommonlyUsedByUser)
10 Webbläsaren används inte ofta av användaren. Sant, Falskt
Webbläsare används ovanligt bland peer-datorer
(BrowserUncommonlyUsedAmongPeers)
30 Webbläsaren används inte ofta bland användarens peer-datorer. Sant, Falskt
Första gången webbläsaren observeras i klientorganisationen
(FirstTimeBrowserObservedInTenant)
30 Webbläsaren observerades för första gången i organisationen. Sant, Falskt
Webbläsare används ovanligt i klientorganisationen
(BrowserUncommonlyUsedInTenant)
30 Webbläsaren används inte ofta i organisationen. Sant, Falskt
Land som är anslutet från
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren ansluter från landet
(FirstTimeUser Anslut edFromCountry)
90 Den geo-plats som löstes från IP-adressen anslöts från för första gången av användaren. Sant, Falskt
Land som är ovanligt anslutet från av användare
(CountryUncommonly Anslut edFromByUser)
10 Den geo-plats som matchas från IP-adressen är inte vanligtvis ansluten från av användaren. Sant, Falskt
Land som är ovanligt sammankopplat bland peer-datorer
(CountryUncommonly Anslut edFromAmongPeers)
90 Den geo-plats som matchas från IP-adressen är inte vanligtvis ansluten från användarens peer-datorer. Sant, Falskt
Första gången anslutningen från landet observeras i klientorganisationen
(FirstTime Anslut ionFromCountryObservedInTenant)
90 Landet anslöts från för första gången av någon i organisationen. Sant, Falskt
Land som är ovanligt anslutet från en klientorganisation
(CountryUncommonly Anslut edFromInTenant)
90 Den geo-plats som matchas från IP-adressen är inte vanligen ansluten från i organisationen. Sant, Falskt
Enhet som används för att ansluta
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren ansluter från enheten
(FirstTimeUser Anslut edFromDevice)
30 Källenheten anslöts från för första gången av användaren. Sant, Falskt
Enheten används ovanligt av användaren
(DeviceUncommonlyUsedByUser)
10 Enheten används inte ofta av användaren. Sant, Falskt
Enheten används ovanligt bland peer-datorer
(DeviceUncommonlyUsedAmongPeers)
180 Enheten används inte ofta bland användarens peer-datorer. Sant, Falskt
Första gången enheten observerades i klientorganisationen
(FirstTimeDeviceObservedInTenant)
30 Enheten observerades för första gången i organisationen. Sant, Falskt
Enheten används ovanligt i klientorganisationen
(DeviceUncommonlyUsedInTenant)
180 Enheten används inte ofta i organisationen. Sant, Falskt
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren loggade in på enheten
(FirstTimeUserLoggedOnToDevice)
180 Målenheten anslöts till för första gången av användaren. Sant, Falskt
Enhetsfamilj används ovanligt i klientorganisationen
(DeviceFamilyUncommonlyUsedInTenant)
30 Enhetsfamiljen används inte ofta i organisationen. Sant, Falskt
Internettjänstleverantör som används för att ansluta
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren ansluter via ISP
(FirstTimeUser Anslut edViaISP)
30 Isp observerades för första gången av användaren. Sant, Falskt
ISP används ovanligt av användaren
(ISPUncommonlyUsedByUser)
10 Isp används inte ofta av användaren. Sant, Falskt
ISP används ovanligt bland peer-datorer
(ISPUncommonlyUsedAmongPeers)
30 Isp används inte ofta bland användarens peer-datorer. Sant, Falskt
Första gången anslutningen sker via Internetleverantören i klientorganisationen
(FirstTime Anslut ionViaISPInTenant)
30 Isp observerades för första gången i organisationen. Sant, Falskt
ISP används ovanligt i klientorganisationen
(ISPUncommonlyUsedInTenant)
30 ISP används inte ofta i organisationen. Sant, Falskt
Resurs som används
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Första gången användaren använder resursen
(FirstTimeUserAccessedResource)
180 Resursen användes för första gången av användaren. Sant, Falskt
Resurs som används ovanligt av användaren
(ResourceUncommonlyAccessedByUser)
10 Resursen används inte ofta av användaren. Sant, Falskt
Resurs som används ovanligt bland peer-datorer
(ResourceUncommonlyAccessedAmongPeers)
180 Resursen används inte ofta bland användarens peer-datorer. Sant, Falskt
Första gången resursen används i klientorganisationen
(FirstTimeResourceAccessedInTenant)
180 Resursen användes för första gången av någon i organisationen. Sant, Falskt
Resurs som används ovanligt i klientorganisationen
(ResourceUncommonlyAccessedInTenant)
180 Resursen används inte ofta i organisationen. Sant, Falskt
Diverse
Berikningsnamn Baslinje (dagar) Description Exempelvärde
Senaste gången användaren utförde åtgärden
(LastTimeUserPerformedAction)
180 Senast användaren utförde samma åtgärd. <Tidsstämpel>
Liknande åtgärder utfördes inte tidigare
(SimilarActionWasn'tPerformedInThePast)
30 Ingen åtgärd i samma resursprovider utfördes av användaren. Sant, Falskt
Käll-IP-plats
(SourceIPLocation)
Saknas Landet har lösts från åtgärdens käll-IP. [Surrey, England]
Ovanligt hög mängd åtgärder
(UncommonHighVolumeOfOperations)
7 En användare utförde en serie liknande åtgärder inom samma provider Sant, Falskt
Ovanligt antal fel med villkorsstyrd åtkomst i Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 Ett ovanligt antal användare kunde inte autentiseras på grund av villkorlig åtkomst Sant, Falskt
Ovanligt antal tillagda enheter
(UnusualNumberOfDevicesAdded)
5 En användare har lagt till ett ovanligt antal enheter. Sant, Falskt
Ovanligt antal borttagna enheter
(UnusualNumberOfDevicesDeleted)
5 En användare har tagit bort ett ovanligt antal enheter. Sant, Falskt
Ovanligt antal användare som lagts till i gruppen
(UnusualNumberOfUsersAddedToGroup)
5 En användare har lagt till ett ovanligt antal användare i en grupp. Sant, Falskt

IdentityInfo-tabell

När du har aktiverat UEBA för din Microsoft Sentinel-arbetsyta synkroniseras data från ditt Microsoft Entra-ID till tabellen IdentityInfo i Log Analytics för användning i Microsoft Sentinel. Du kan bädda in användardata som synkroniserats från ditt Microsoft Entra-ID i dina analysregler för att förbättra din analys så att den passar dina användningsfall och minska falska positiva identifieringar.

Den inledande synkroniseringen kan ta några dagar, men när data är helt synkroniserade:

  • Ändringar som görs i dina användarprofiler i Microsoft Entra-ID uppdateras i tabellen IdentityInfo inom 15 minuter.

  • Grupp- och rollinformation synkroniseras mellan tabellen IdentityInfo och Microsoft Entra ID dagligen.

  • Var 14:e dag synkroniseras Microsoft Sentinel igen med hela ditt Microsoft Entra-ID för att säkerställa att inaktuella poster uppdateras fullständigt.

  • Standardtiden för kvarhållning i tabellen IdentityInfo är 30 dagar.

Kommentar

För närvarande stöds endast inbyggda roller.

Data om borttagna grupper, där en användare har tagits bort från en grupp, stöds för närvarande inte.

I följande tabell beskrivs användaridentitetsdata som ingår i tabellen IdentityInfo i Log Analytics.

Fält Type Description
AccountCloudSID sträng Microsoft Entra-säkerhetsidentifieraren för kontot.
AccountCreationTime datetime Det datum då användarkontot skapades (UTC).
AccountDisplayName sträng Visningsnamnet för användarkontot.
AccountDomain sträng Användarkontots domännamn.
AccountName sträng Användarnamnet för användarkontot.
AccountObjectId sträng Microsoft Entra-objekt-ID för användarkontot.
AccountSID sträng Den lokala säkerhetsidentifieraren för användarkontot.
AccountTenantId sträng Microsoft Entra-klient-ID för användarkontot.
AccountUPN sträng Användarens huvudnamn för användarkontot.
AdditionalMailAddresses dynamisk Användarens ytterligare e-postadresser.
AssignedRoles dynamisk Microsoft Entra-rollerna som användarkontot tilldelas till.
BlastRadius sträng En beräkning som baseras på användarens position i organisationsträdet och användarens Microsoft Entra-roller och -behörigheter.
Möjliga värden: Låg, Medel, Hög
ChangeSource sträng Källan till den senaste ändringen av entiteten.
Möjliga värden:
- AzureActiveDirectory
- ActiveDirectory
- UEBA
- Övervakningslista
- FullSync
Ort string Orten för användarkontot.
Land string Användarkontots land.
DeletedDateTime datetime Datum och tid då användaren togs bort.
Avdelning sträng Avdelningen för användarkontot.
GivenName sträng Användarkontots förnamn.
GroupMembership dynamisk Microsoft Entra grupperar där användarkontot är medlem.
IsAccountEnabled bool En indikation på om användarkontot är aktiverat i Microsoft Entra-ID eller inte.
JobTitle sträng Jobbrubriken för användarkontot.
E-postadress sträng Användarkontots primära e-postadress.
Chef sträng Användarnamnets chefsalias.
OnPremisesDistinguishedName sträng Microsoft Entra-ID:ts unika namn (DN). Ett unikt namn är en sekvens med relativa unika namn (RDN), som är anslutna med kommatecken.
Telefonnummer sträng Användarkontots telefonnummer.
SourceSystem sträng Systemet där användaren hanteras.
Möjliga värden:
- AzureActiveDirectory
- ActiveDirectory
- Hybrid
Status string Användarkontots geografiska tillstånd.
StreetAddress sträng Användarkontots gatuadress.
Efternamn sträng Användarens efternamn. tjänstkontot.
TenantId sträng Användarens klientorganisations-ID.
TimeGenerated datetime Den tid då händelsen genererades (UTC).
Typ sträng Tabellens namn.
UserAccountControl dynamisk Säkerhetsattribut för användarkontot i AD-domänen.
Möjliga värden (kan innehålla mer än en):
- AccountDisabled
- HomedirRequired
- AccountLocked
- PasswordNotRequired
- CannotChangePassword
- EncryptedTextPasswordAllowed
- TemporaryDuplicateAccount
- NormalAccount
- InterdomainTrustAccount
- WorkstationTrustAccount
- ServerTrustAccount
- PasswordNeverExpires
- MnsLogonAccount
- SmartcardRequired
- TrustedForDelegation
- DelegeringNotAllowed
- UseDesKeyOnly
- DontRequirePreauthentication
- PasswordExpired
- TrustedToAuthenticationForDelegation
- PartialSecretsAccount
- UseAesKeys
UserState sträng Det aktuella tillståndet för användarkontot i Microsoft Entra-ID.
Möjliga värden:
- Aktiv
- Disabled (Inaktiverat)
- Vilande
- Lockout
UserStateChangedOn datetime Datumet för den senaste gången kontotillståndet ändrades (UTC).
UserType sträng Användartypen.

Nästa steg

I det här dokumentet beskrivs tabellschemat för beteendeanalys i Microsoft Sentinel.