你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
UEBA 数据源
这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。
| 数据源 | 事件 |
|---|---|
|
Microsoft Entra ID 登录日志 |
全部 |
|
Microsoft Entra ID 审核日志 |
ApplicationManagement 目录管理 群组管理 设备 角色管理 UserManagementCategory |
| Azure 活动日志 | 授权 AzureActiveDirectory 计费 计算 消耗 KeyVault 设备 网络 资源 Intune 逻辑 SQL 存储 |
| Windows 安全事件 WindowsEvent 或 SecurityEvent |
4624:已成功登录帐户 4625:无法登录帐户 4648:尝试使用显式凭据登录 4672:已向新的登录分配特殊权限 4688:已创建新进程 |
UEBA 扩充
本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充显示在 实体页上 ,可在以下 Log Analytics 表中找到,这些扩充的内容和架构如下所示:
BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。
以下 实体扩充动态字段 部分介绍了 BehaviorAnalytics 表中的以下三个动态字段。
UsersInsights 和 DevicesInsights 字段包含 Active Directory/Microsoft Entra ID 和Microsoft威胁智能源中的实体信息。
ActivityInsights 字段包含基于Microsoft Sentinel 实体行为分析构建的行为配置文件的实体信息。
根据每次使用用户活动时动态编译的基线分析用户活动。 每个活动都有自己的定义的回溯期,从中派生动态基线。 此表中的 “基线 ”列指定了回溯期。
IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory 同步到 UEBA)的标识信息。
BehaviorAnalytics 表
下表描述了Microsoft Sentinel 中每个 实体详细信息页上 显示的行为分析数据。
| 字段 | 类型 | 说明 |
|---|---|---|
| TenantId | 字符串 | 租户的唯一 ID 编号。 |
| SourceRecordId | 字符串 | EBA 事件的唯一 ID 编号。 |
| TimeGenerated | datetime | 活动发生时的时间戳。 |
| TimeProcessed | datetime | EBA 引擎处理活动时的时间戳。 |
| ActivityType | 字符串 | 活动的高级类别。 |
| ActionType作类型 | 字符串 | 活动的规范化名称。 |
| UserName | 字符串 | 发起活动的用户的用户名。 |
| UserPrincipalName | 字符串 | 发起活动的用户的完整用户名。 |
| EventSource | 字符串 | 提供原始事件的数据源。 |
| SourceIPAddress | 字符串 | 发起活动的 IP 地址。 |
| SourceIPLocation | 字符串 | 发起活动的国家/地区,从 IP 地址进行扩充。 |
| SourceDevice | 字符串 | 发起活动的设备的主机名。 |
| DestinationIPAddress | 字符串 | 活动目标的 IP 地址。 |
| DestinationIPLocation | 字符串 | 活动目标所在国家/地区,从 IP 地址进行扩充。 |
| DestinationDevice | 字符串 | 目标设备的名称。 |
| UsersInsights | 动态 | 相关用户的上下文扩充(详细信息如下)。 |
| DevicesInsights | 动态 | 相关设备的上下文扩充(详细信息如下)。 |
| ActivityInsights | 动态 | 基于分析的活动的上下文分析(下面详述)。 |
| InvestigationPriority | 整数 (int) | 异常分数,介于 0-10(0=良性,10=高度异常)。 |
实体扩充动态字段
UsersInsights 字段
下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
|
帐户显示名称 (AccountDisplayName) |
用户的帐户显示名称。 | Admin、Hayden Cook |
|
帐户域 (AccountDomain) |
用户的帐户域名。 | |
|
帐户对象 ID (AccountObjectID) |
用户的帐户对象 ID。 | aaaaaaaa-0000-1111-2222-bbbbbbbbbb |
|
爆破半径 (BlastRadius) |
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius。 | 低、中、高 |
|
是休眠帐户 (IsDormantAccount) |
此帐户在过去 180 天内未使用。 | True、False |
|
是本地管理员 (IsLocalAdmin) |
此帐户具有本地管理员权限。 | True、False |
|
是新帐户 (IsNewAccount) |
此帐户是在过去 30 天内创建的。 | True、False |
|
本地 SID (OnPremisesSID) |
与该操作相关的用户的本地 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 字段
下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
|
浏览器 (浏览器) |
操作中使用的浏览器。 | Edge、Chrome |
|
设备系列 (DeviceFamily) |
操作中使用的设备系列。 | Windows操作系统 |
|
设备类型 (DeviceType) |
操作中使用的客户端设备类型 | 桌面 |
|
ISP (ISP) |
操作中使用的 Internet 服务提供商。 | |
|
操作系统 (OperatingSystem) |
操作中使用的操作系统。 | Windows 10 |
|
威胁 Intel 指示器说明 (ThreatIntelIndicatorDescription) |
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 | 主机是僵尸网络的成员:azorult |
|
威胁 Intel 指示器类型 (ThreatIntelIndicatorType) |
从操作中使用的 IP 地址解析的威胁指标的类型。 | 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表 |
|
用户代理 (UserAgent) |
操作中使用的用户代理。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
用户代理系列 (UserAgentFamily) |
操作中使用的用户代理系列。 | Chrome、Edge、Firefox |
ActivityInsights 字段
下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:
已执行的操作
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
用户首次执行作 (FirstTimeUserPerformedAction) |
180 | 用户首次执行此操作。 | True、False |
|
用户不常执行的作 (ActionUncommonlyPerformedByUser) |
10 | 用户不常执行此操作。 | True、False |
|
在对等方之间不常执行的作 (ActionUncommonlyPerformedAmongPeers) |
180 | 用户的对等机之间不常执行此操作。 | True、False |
|
首次在租户中执行的作 (FirstTimeActionPerformedInTenant) |
180 | 此操作由组织中的任何人首次执行。 | True、False |
|
租户中不常执行的作 (ActionUncommonlyPerformedInTenant) |
180 | 组织中不常执行此操作。 | True、False |
使用的应用
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
用户首次使用应用 (FirstTimeUserUsedApp) |
180 | 用户首次使用此应用。 | True、False |
|
用户不常使用的应用 (AppUncommonlyUsedByUser) |
10 | 用户不常使用此应用。 | True、False |
|
在对等方之间不常使用的应用 (AppUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此应用。 | True、False |
|
首次在租户中观察到应用 (FirstTimeAppObservedInTenant) |
180 | 在组织中首次观察到此应用。 | True、False |
|
租户中不常使用的应用 (AppUncommonlyUsedInTenant) |
180 | 组织中不常使用此应用。 | True、False |
使用的浏览器
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
首次通过浏览器连接用户 (FirstTimeUserConnectedViaBrowser) |
30 | 用户首次观察到此浏览器。 | True、False |
|
用户不常使用的浏览器 (BrowserUncommonlyUsedByUser) |
10 | 用户不常使用此浏览器。 | True、False |
|
在对等方之间不常使用的浏览器 (BrowserUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此浏览器。 | True、False |
|
首次在租户中观察到浏览器 (FirstTimeBrowserObservedInTenant) |
30 | 在组织中首次观察到此浏览器。 | True、False |
|
租户中不常使用的浏览器 (BrowserUncommonlyUsedInTenant) |
30 | 组织中不常使用此浏览器。 | True、False |
从其连接的国家/地区
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
首次从国家/地区连接用户 (FirstTimeUserConnectedFromCountry) |
90 | 用户首次从 IP 地址解析的这个地理位置连接。 | True、False |
|
用户不常从国家/地区连接 (CountryUncommonlyConnectedFromByUser) |
10 | 用户不常从 IP 地址解析的这个地理位置连接。 | True、False |
|
国家/地区在对等方之间不常见地连接 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 | True、False |
|
首次从租户中观察到的国家/地区建立连接 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 组织中的任何人首次从该国家/地区连接。 | True、False |
|
从租户中不常见的连接国家/地区 (CountryUncommonlyConnectedFromInTenant) |
90 | 组织中不常从 IP 地址解析的这个地理位置连接。 | True、False |
用于连接的设备
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
首次从设备连接用户 (FirstTimeUserConnectedFromDevice) |
30 | 用户首次从该源设备连接。 | True、False |
|
用户不常使用的设备 (DeviceUncommonlyUsedByUser) |
10 | 用户不常使用此设备。 | True、False |
|
在对等方之间不常使用的设备 (DeviceUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此设备。 | True、False |
|
首次在租户中观察到设备 (FirstTimeDeviceObservedInTenant) |
30 | 此设备首次在组织中观察到。 | True、False |
|
租户中不常使用的设备 (DeviceUncommonlyUsedInTenant) |
180 | 组织中不常使用此设备。 | True、False |
其他相关设备
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
用户首次登录到设备 (FirstTimeUserLoggedOnToDevice) |
180 | 用户首次连接到此目标设备。 | True、False |
|
租户中不常使用的设备系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 组织中不常使用此设备系列。 | True、False |
用于连接的 Internet 服务提供商
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
首次通过 ISP 连接用户 (FirstTimeUserConnectedViaISP) |
30 | 用户首次观察到此 ISP。 | True、False |
|
用户不常使用 ISP (ISPUncommonlyUsedByUser) |
10 | 用户不常使用此 ISP。 | True、False |
|
在对等方之间不常使用 ISP (ISPUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此 ISP。 | True、False |
|
首次通过租户中的 ISP 进行连接 (FirstTimeConnectionViaISPInTenant) |
30 | 在组织中首次观察到此 ISP。 | True、False |
|
租户中不常使用 ISP (ISPUncommonlyUsedInTenant) |
30 | 组织中不常使用此 ISP。 | True、False |
访问的资源
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
用户首次访问资源 (FirstTimeUserAccessedResource) |
180 | 此资源由用户首次访问。 | True、False |
|
用户不常访问的资源 (ResourceUncommonlyAccessedByUser) |
10 | 用户不常访问该资源。 | True、False |
|
在对等方之间不常访问的资源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 在用户的对等机之间不常访问该资源。 | True、False |
|
首次在租户中访问资源 (FirstTimeResourceAccessedInTenant) |
180 | 此资源由组织中的任何人首次访问。 | True、False |
|
租户中不常访问的资源 (ResourceUncommonlyAccessedInTenant) |
180 | 组织中不常访问此资源。 | True、False |
杂项
| 扩充名称 | 基线 (天) | 说明 | 示例值 |
|---|---|---|---|
|
上次用户执行作的时间 (LastTimeUserPerformedAction) |
180 | 上次用户执行了相同的操作。 | <时间戳> |
|
过去未执行类似的作 (SimilarActionWasn'tPerformedInThePast) |
30 | 用户未在相同的资源提供程序中执行任何操作。 | True、False |
|
源 IP 位置 (SourceIPLocation) |
空值 | 此国家/地区从操作的源 IP 解析。 | [英国萨里] |
|
作量不常见 (UncommonHighVolumeOfOperations) |
7 | 用户在同一个提供程序中执行了一连串类似操作 | True、False |
|
异常数量的 Microsoft Entra 条件访问失败 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由于条件访问导致无法进行身份验证的用户的异常数量 | True、False |
|
添加了异常数量的设备 (UnusualNumberOfDevicesAdded) |
5 | 用户添加了异常数量的设备。 | True、False |
|
删除的异常设备数 (UnusualNumberOfDevicesDeleted) |
5 | 用户删除了异常数量的设备。 | True、False |
|
添加到组中的异常用户数 (UnusualNumberOfUsersAddedToGroup) |
5 | 用户向组中添加了异常数量的用户。 | True、False |
IdentityInfo 表
为 Microsoft Sentinel 工作区 启用和配置 UEBA 后,Microsoft标识提供者中的用户数据将同步到 Log Analytics 中的 IdentityInfo 表,以便在 Microsoft Sentinel 中使用。
这些标识提供者是以下任一或两者,具体取决于配置 UEBA 时选择的标识提供者:
- Microsoft Entra ID (基于云的)
- Microsoft Active Directory(本地,需要Microsoft Defender for Identity)
可以在分析规则、搜寻查询和工作簿中查询 IdentityInfo 表,增强分析以适应用例并减少误报。
虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:
每隔 14 天,Microsoft Sentinel 重新与整个Microsoft Entra ID(以及本地 Active Directory(如果适用)同步,以确保过期记录完全更新。
除了这些常规的完全同步之外,每当对 Microsoft Entra ID 中的用户配置文件、组和内置角色进行更改时,受影响的用户记录将在 15-30 分钟内在 IdentityInfo 表中重新引入和更新。 此引入按常规费率计费。 例如:
用户属性(如显示名称、职务或电子邮件地址)已更改。 此用户的新记录将引入 IdentityInfo 表,并更新相关字段。
组 A 有 100 个用户。将 5 个用户添加到组或从组中删除。 在这种情况下,将重新引入这 5 个用户记录并更新其 GroupMembership 字段。
组 A 有 100 个用户。 10 个用户被添加到组 A。此外,A1 和 A2 组(每个组有 10 个用户)将添加到组 A。在这种情况下,将重新引入 30 个用户记录并更新其 GroupMembership 字段。 发生这种情况是因为组成员身份是可传递的,因此对组的更改会影响其所有子组。
组 B(包含 50 个用户)重命名为 Group BeGood。 在这种情况下,将重新引入 50 个用户记录并更新其 GroupMembership 字段。 如果该组中有子组,则所有成员的记录都会出现相同的情况。
IdentityInfo 表中的默认保留时间为 30 天。
限制
AssignedRoles 字段仅支持内置角色。
GroupMembership 字段支持列出每个用户最多 500 个组,包括子组。 如果用户是 500 多个组的成员,则只有前 500 个组与 IdentityInfo 表同步。 不过,不会按任何特定顺序评估组,因此,在每个新同步(每 14 天)中,可能会将不同的组集更新到用户记录。
删除用户后,不会立即从 IdentityInfo 表中删除该用户的记录。 原因是此表的用途之一是审核对用户记录的更改。 因此,我们希望此表有一个要删除的用户的记录,只有在 IdentityInfo 表中的用户记录仍然存在时才会发生,即使删除了实际用户(例如,在 Entra ID 中)。
删除的用户可以通过字段中存在值
deletedDateTime来标识。 因此,如果需要查询来显示用户列表,可以通过添加到| where IsEmpty(deletedDateTime)查询来筛选掉已删除的用户。在删除用户之后的某个时间间隔内,用户记录最终也会从 IdentityInfo 表中删除。
删除组时,或者如果超过 100 个成员的组的名称已更改,则不会更新该组的成员用户记录。 如果不同的更改导致其中一条用户记录更新,则此时将包含更新后的组信息。
IdentityInfo 表的其他版本
IdentityInfo 表实际上有多个版本:
本文中讨论的 Log Analytics 架构版本在 Azure 门户中提供 Microsoft Sentinel。 它适用于那些启用了 UEBA 的客户。
高级搜寻架构版本通过 Microsoft Defender for Identity 提供 Microsoft Defender 门户。 它可供Microsoft Defender XDR 的客户使用,无论是否Microsoft Sentinel,以及 Defender 门户中Microsoft Sentinel 的客户。
无需启用 UEBA 即可访问此表。 但是,对于未启用 UEBA 的客户,UEBA 数据填充的字段不可见或可用。
有关详细信息,请参阅 此表 的高级搜寻 版本的文档。
截至 2025 年 5 月,启用了 UEBA 的 Microsoft Defender 门户中Microsoft Sentinel 的客户开始使用新版本的高级搜寻版本。 此新版本包括 Log Analytics 版本中的所有 UEBA 字段以及一些新字段,称为 统一版本 或 统一 IdentityInfo 表。
未启用 UEBA 或根本没有 Microsoft Sentinel 的 Defender 门户客户继续使用高级搜寻版本的先前版本,而不使用 UEBA 生成的字段。
有关统一版本的详细信息,请参阅高级搜寻文档中的 IdentityInfo。
图式
以下“Log Analytics 架构”选项卡中的表描述了 Azure 门户中 Log Analytics 的 IdentityInfo 表中包含的用户标识数据。
如果要将 Microsoft Sentinel 加入 Defender 门户,请选择“与统一架构进行比较”选项卡以查看可能影响威胁检测规则和搜寻中的查询的更改。
| 字段名称 | 类型 | 说明 |
|---|---|---|
| AccountCloudSID | 字符串 | 帐户的 Microsoft Entra 安全标识符。 |
| AccountCreationTime | datetime | 创建用户帐户的日期 (UTC)。 |
| AccountDisplayName | 字符串 | 用户帐户的显示名称。 |
| AccountDomain | 字符串 | 用户帐户的域名。 |
| AccountName | 字符串 | 用户帐户的用户名。 |
| AccountObjectId | 字符串 | 用户帐户的 Microsoft Entra 对象 ID。 |
| AccountSID | 字符串 | 用户帐户的本地安全标识符。 |
| AccountTenantId | 字符串 | 用户帐户的 Microsoft Entra 租户 ID。 |
| AccountUPN | 字符串 | 用户帐户的用户主体名称。 |
| AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址。 |
| AssignedRoles | 动态 | 用户帐户分配到的 Microsoft Entra 角色。 仅支持内置角色。 |
| BlastRadius | 字符串 | 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。 可能的值: 低、中、高 |
| ChangeSource | 字符串 | 对实体的最新更改的源。 可能的值: |
| 城市 | 字符串 | 用户帐户的城市。 |
| 公司名称 | 字符串 | 用户所属的公司名称。 |
| 国家 | 字符串 | 用户帐户的国家/地区。 |
| DeletedDateTime | datetime | 删除用户的日期和时间。 |
| 部门 | 字符串 | 用户帐户的部门。 |
| EmployeeId | 字符串 | 由组织分配给该用户的员工标识符。 |
| GivenName | 字符串 | 用户帐户的给定名称。 |
| GroupMembership | 动态 | Microsoft用户帐户是成员的 Entra ID 组。 |
| IsAccountEnabled | 布尔 | 指示是否在 Microsoft Entra ID 中启用了用户帐户。 |
| 职位名称 | 字符串 | 用户帐户的职务。 |
| MailAddress | 字符串 | 用户帐户的主要电子邮件地址。 |
| 管理员 | 字符串 | 用户帐户的管理员别名。 |
| OnPremisesDistinguishedName | 字符串 | Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。 |
| 电话 | 字符串 | 用户帐户的电话号码。 |
| RiskLevel | 字符串 | 用户帐户Microsoft条目 ID 风险级别。 可能的值: |
| RiskLevelDetails | 字符串 | 有关 Microsoft Entra ID 风险级别的详细信息。 |
| RiskState | 字符串 | 指示帐户现在是否处于危险状态,或者是否已修正风险。 |
| SourceSystem | 字符串 | 管理用户的系统。 可能的值: |
| 州 | 字符串 | 用户帐户的地理状态。 |
| StreetAddress | 字符串 | 用户帐户的办公街道地址。 |
| 姓 | 字符串 | 用户的姓氏。 帐户。 |
| TenantId | 字符串 | 用户的租户 ID。 |
| TimeGenerated | datetime | 生成事件的时间 (UTC)。 |
| 类型 | 字符串 | 表的名称。 |
| UserAccountControl | 动态 | AD 域中用户帐户的安全属性。 可能的值(可能包含多个): |
| UserState | 字符串 | Microsoft Entra ID 中用户帐户的当前状态。 可能的值: |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC)。 |
| UserType | 字符串 | 用户类型。 |
在 Log Analytics 架构中存在以下字段时,应忽略这些字段,因为它们不受 Microsoft Sentinel 使用或支持:
- 应用程序
- 实体风险评分
- ExtensionProperty
- 调查优先级
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- 上次见到日期
- OnPremisesExtensionAttributes
- 相关账户
- ServicePrincipals
- 标记
- UACFlags
后续步骤
本文档介绍了 Microsoft Sentinel 实体行为分析表架构。
- 详细了解 实体行为分析。
- 在 sentinel Microsoft 中启用 UEBA。
- 将 UEBA 用于 调查。