使用英语阅读

通过


你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel UEBA 参考

本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。

重要

Microsoft Sentinel 在 Microsoft Defender 门户中Microsoft的统一安全操作平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

UEBA 数据源

这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。

数据源 事件
Microsoft Entra ID
登录日志
全部
Microsoft Entra ID
审核日志
ApplicationManagement
DirectoryManagement
GroupManagement
设备
RoleManagement
UserManagementCategory
Azure 活动日志 授权
AzureActiveDirectory
计费
计算
消耗
KeyVault
设备
网络
资源
Intune
逻辑
Sql
存储
Windows 安全事件
WindowsEvent 或
SecurityEvent
4624:已成功登录帐户
4625:无法登录帐户
4648:尝试使用显式凭据登录
4672:已向新的登录分配特殊权限
4688:已创建新进程

UEBA 扩充

本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充将显示在实体页上,可在以下 Log Analytics 表中找到,其中的内容和架构如下所示:

  • BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。

    下面的实体扩充动态字段部分中介绍了 BehaviorAnalytics 表中的以下三个动态字段。

    • UsersInsightsDevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID 和 Microsoft 威胁情报源的实体信息。

    • ActivityInsights 字段包含的实体信息基于 Microsoft Sentinel 的实体行为分析生成的行为配置文件。

      根据每次使用时都会动态编译的基线来分析用户活动。 每个活动都有其定义的回溯期,动态基线从该回溯期中派生。 此表的基线列中指定了该回溯期。

  • IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory)同步到 UEBA 的身份信息

BehaviorAnalytics 表

下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。

字段 类型​​ 说明
TenantId string 租户的唯一 ID 编号。
SourceRecordId 字符串 EBA 事件的唯一 ID 编号。
TimeGenerated datetime 活动发生时的时间戳。
TimeProcessed datetime EBA 引擎处理活动时的时间戳。
ActivityType 字符串 活动的高级类别。
ActionType 字符串 活动的规范化名称。
UserName 字符串 发起活动的用户的用户名。
UserPrincipalName 字符串 发起活动的用户的完整用户名。
EventSource 字符串 提供原始事件的数据源。
SourceIPAddress 字符串 发起活动的 IP 地址。
SourceIPLocation string 从中启动活动的国家/地区,从 IP 地址扩充。
SourceDevice 字符串 发起活动的设备的主机名。
DestinationIPAddress 字符串 活动目标的 IP 地址。
DestinationIPLocation string 活动目标的国家/地区,从 IP 地址扩充。
DestinationDevice 字符串 目标设备的名称。
UsersInsights 动态 相关用户的上下文扩充(详细信息如下)。
DevicesInsights 动态 相关设备的上下文扩充(详细信息如下)。
ActivityInsights 动态 基于我们的分析的活动的上下文分析(详细信息如下)。
InvestigationPriority int 异常分数,介于 0-10(0=良性,10=高度异常)。

实体扩充动态字段

备注

本部分表中的“扩充名称”列显示两行信息。

  • 第一行以“粗体”显示扩充的“易记名称”。
  • 第二行(斜体且加括号)是存储在行为分析表中的扩充的字段名称。

UsersInsights 字段

下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
帐户显示名称
(AccountDisplayName)
用户的帐户显示名称。 Admin、Hayden Cook
帐户域
(AccountDomain)
用户的帐户域名。
帐户对象 ID
(AccountObjectID)
用户的帐户对象 ID。 a58df659-5cab-446c-9dd0-5a3af20ce1c2
冲击半径
(BlastRadius)
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius 低、中、高
休眠帐户
(IsDormantAccount)
此帐户在过去 180 天内未使用。 True、False
本地管理员
(IsLocalAdmin)
此帐户具有本地管理员权限。 True、False
新帐户
(IsNewAccount)
此帐户是在过去 30 天内创建的。 True、False
本地 SID
(OnPremisesSID)
与该操作相关的用户的本地 SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights 字段

下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
浏览器
(Browser)
操作中使用的浏览器。 Edge、Chrome
设备系列
(DeviceFamily)
操作中使用的设备系列。 Windows
设备类型
(DeviceType)
操作中使用的客户端设备类型 桌面
ISP
(ISP)
操作中使用的 Internet 服务提供商。
操作系统
(OperatingSystem)
操作中使用的操作系统。 Windows 10
威胁 intel 指标说明
(ThreatIntelIndicatorDescription)
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 主机是僵尸网络的成员:azorult
威胁 intel 指标类型
(ThreatIntelIndicatorType)
从操作中使用的 IP 地址解析的威胁指标的类型。 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表
用户代理
(UserAgent)
操作中使用的用户代理。 Microsoft Azure Graph Client Library 1.0、
​Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
用户代理系列
(UserAgentFamily)
操作中使用的用户代理系列。 Chrome、Edge、Firefox

ActivityInsights 字段

下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:

已执行的操作
扩充名称 基线(天) 说明 示例值
用户首次执行的操作
(FirstTimeUserPerformedAction)
180 用户首次执行此操作。 True、False
用户不常执行的操作
(ActionUncommonlyPerformedByUser)
10 用户不常执行此操作。 True、False
对等机之间不常执行的操作
(ActionUncommonlyPerformedAmongPeers)
180 用户的对等机之间不常执行此操作。 True、False
首次在租户中执行的操作
(FirstTimeActionPerformedInTenant)
180 此操作由组织中的任何人首次执行。 True、False
租户中不常执行的操作
(ActionUncommonlyPerformedInTenant)
180 组织中不常执行此操作。 True、False
使用的应用
扩充名称 基线(天) 说明 示例值
用户首次使用的应用
(FirstTimeUserUsedApp)
180 用户首次使用此应用。 True、False
用户不常使用的应用
(AppUncommonlyUsedByUser)
10 用户不常使用此应用。 True、False
在对等机之间不常使用的应用
(AppUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此应用。 True、False
首次在租户中观察到的应用
(FirstTimeAppObservedInTenant)
180 在组织中首次观察到此应用。 True、False
租户中不常使用的应用
(AppUncommonlyUsedInTenant)
180 组织中不常使用此应用。 True、False
使用的浏览器
扩充名称 基线(天) 说明 示例值
用户首次通过浏览器连接
(FirstTimeUserConnectedViaBrowser)
30 用户首次观察到此浏览器。 True、False
用户不常使用的浏览器
(BrowserUncommonlyUsedByUser)
10 用户不常使用此浏览器。 True、False
在对等机之间不常使用的浏览器
(BrowserUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此浏览器。 True、False
首次在租户中观察到的浏览器
(FirstTimeBrowserObservedInTenant)
30 在组织中首次观察到此浏览器。 True、False
租户中不常使用的浏览器
(BrowserUncommonlyUsedInTenant)
30 组织中不常使用此浏览器。 True、False
从中连接的国家/地区
扩充名称 基线(天) 说明 示例值
用户首次从国家/地区连接
(FirstTimeUserConnectedFromCountry)
90 用户首次从 IP 地址解析的这个地理位置连接。 True、False
用户不常从其连接的国家/地区
(CountryUncommonlyConnectedFromByUser)
10 用户不常从 IP 地址解析的这个地理位置连接。 True、False
在对等机之间不常从其连接的国家/地区
(CountryUncommonlyConnectedFromAmongPeers)
90 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 True、False
首次从租户中观察到的国家/地区连接
(FirstTimeConnectionFromCountryObservedInTenant)
90 组织中的任何人首次从国家/地区连接。 True、False
租户中不常从其连接的国家/地区
(CountryUncommonlyConnectedFromInTenant)
90 组织中不常从 IP 地址解析的这个地理位置连接。 True、False
用于连接的设备
扩充名称 基线(天) 说明 示例值
用户首次从设备连接
(FirstTimeUserConnectedFromDevice)
30 用户首次从该源设备连接。 True、False
用户不常使用的设备
(DeviceUncommonlyUsedByUser)
10 用户不常使用此设备。 True、False
在对等机之间不常使用的设备
(DeviceUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此设备。 True、False
首次在租户中观察到的设备
(FirstTimeDeviceObservedInTenant)
30 此设备首次在组织中观察到。 True、False
租户中不常使用的设备
(DeviceUncommonlyUsedInTenant)
180 组织中不常使用此设备。 True、False
扩充名称 基线(天) 说明 示例值
用户首次登录到设备
(FirstTimeUserLoggedOnToDevice)
180 用户首次连接到此目标设备。 True、False
租户中不常使用的设备系列
(DeviceFamilyUncommonlyUsedInTenant)
30 组织中不常使用此设备系列。 True、False
用于连接的 Internet 服务提供商
扩充名称 基线(天) 说明 示例值
用户首次通过 ISP 连接
(FirstTimeUserConnectedViaISP)
30 用户首次观察到此 ISP。 True、False
用户不常使用的 ISP
(ISPUncommonlyUsedByUser)
10 用户不常使用此 ISP。 True、False
在对等机之间不常使用的 ISP
(ISPUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此 ISP。 True、False
首次在租户中通过 ISP 连接
(FirstTimeConnectionViaISPInTenant)
30 在组织中首次观察到此 ISP。 True、False
租户中不常使用的 ISP
(ISPUncommonlyUsedInTenant)
30 组织中不常使用此 ISP。 True、False
访问的资源
扩充名称 基线(天) 说明 示例值
用户首次访问的资源
(FirstTimeUserAccessedResource)
180 此资源由用户首次访问。 True、False
用户不常访问的资源
(ResourceUncommonlyAccessedByUser)
10 用户不常访问该资源。 True、False
在对等机之间不常访问的资源
(ResourceUncommonlyAccessedAmongPeers)
180 在用户的对等机之间不常访问该资源。 True、False
首次在租户中访问的资源
(FirstTimeResourceAccessedInTenant)
180 此资源由组织中的任何人首次访问。 True、False
租户中不常访问的资源
(ResourceUncommonlyAccessedInTenant)
180 组织中不常访问此资源。 True、False
杂项
扩充名称 基线(天) 说明 示例值
用户上次执行的操作
(LastTimeUserPerformedAction)
180 上次用户执行了相同的操作。 <Timestamp>
过去未执行类似操作
(SimilarActionWasn'tPerformedInThePast)
30 用户未在相同的资源提供程序中执行任何操作。 True、False
源 IP 位置
(SourceIPLocation)
空值 从操作的源 IP 解析的国家/地区。 [英国萨里]
不常见的大量操作
(UncommonHighVolumeOfOperations)
7 用户在同一个提供程序中执行了一连串类似操作 True、False
Microsoft Entra 条件访问失败的异常数量
(UnusualNumberOfAADConditionalAccessFailures)
5 由于条件访问导致无法进行身份验证的用户的异常数量 True、False
添加的异常数量的设备
(UnusualNumberOfDevicesAdded)
5 用户添加了异常数量的设备。 True、False
删除的异常数量的设备
(UnusualNumberOfDevicesDeleted)
5 用户删除了异常数量的设备。 True、False
添加到组中的异常数量的用户
(UnusualNumberOfUsersAddedToGroup)
5 用户向组中添加了异常数量的用户。 True、False

IdentityInfo 表

为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Microsoft Entra ID 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Microsoft Entra ID 同步的用户数据,以增强分析来适应你的用例并减少误报。

虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:

  • Microsoft Entra ID 中对用户配置文件、组和角色所做的更改将在 15-30 分钟内在 IdentityInfo 表中更新。

  • 每 14 天,Microsoft Sentinel 会与整个 Microsoft Entra ID 重新同步,以确保过时的记录将完全更新。

  • IdentityInfo 表中的默认保留时间为 30 天。

限制

  • 目前,仅支持内置角色。

  • 目前不支持有关已删除组(从组中删除了用户)的数据。

IdentityInfo 表的版本

IdentityInfo 表实际上有两个版本:

  • Log Analytics 架构版本在 Azure 门户 中提供 sentinel Microsoft。
  • 高级 搜寻 架构版本通过 Microsoft Defender for Identity 在 Microsoft Defender 门户中提供 Microsoft Sentinel。

此表的两个版本都由 Microsoft Entra ID 提供,但 Log Analytics 版本添加了几个字段。

Microsoft Defender 门户中的 Sentine Microsoft l 使用 此表的高级搜寻 版本。 为了最大程度地减少表的两个版本之间的差异,Log Analytics 版本中的大部分唯一字段也会逐渐添加到 高级搜寻 版本。 无论在哪个门户中使用 Microsoft Sentinel,你都可以访问几乎所有相同的信息,尽管版本之间的同步时间可能很小。 有关详细信息,请参阅此表的高级搜寻版本的文档

下表描述了 log Analytics Azure 门户 的 IdentityInfo 表中包含的用户标识数据。 第四列显示表高级搜寻版本中的相应字段,Microsoft Sentinel 在 Defender 门户中使用。 粗体中的字段名称在高级搜寻架构中的名称不同于Microsoft Sentinel Log Analytics 版本中的名称。


Log Analytics 架构中的字段名称
类型 描述
高级搜寻 架构
AccountCloudSID string 帐户的 Microsoft Entra 安全标识符。 CloudSid
AccountCreationTime datetime 创建用户帐户的日期 (UTC)。 CreatedDateTime
AccountDisplayName string 用户帐户的显示名称。 AccountDisplayName
AccountDomain string 用户帐户的域名。 AccountDomain
AccountName string 用户帐户的用户名。 AccountName
AccountObjectId string 用户帐户的 Microsoft Entra 对象 ID。 AccountObjectId
AccountSID string 用户帐户的本地安全标识符。 AccountSID
AccountTenantId string 用户帐户的 Microsoft Entra 租户 ID。 --
AccountUPN string 用户帐户的用户主体名称。 AccountUPN
AdditionalMailAddresses 动态 用户的其他电子邮件地址。 --
AssignedRoles 动态 用户帐户分配到的 Microsoft Entra 角色。 AssignedRoles
BlastRadius string 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。
可能的值:“Low”、“Medium”和“High”。
--
ChangeSource 字符串 对实体的最新更改的源。
可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Watchlist
  • FullSync
  • ChangeSource
    CompanyName 用户所属的公司名称。 --
    市/县 string 用户帐户的城市。 城市
    国家/地区 string 用户帐户的国家/地区。 国家/地区
    DeletedDateTime datetime 删除用户的日期和时间。 --
    部门 string 用户帐户的部门。 Department
    GivenName string 用户帐户的给定名称。 GivenName
    GroupMembership 动态 用户帐户所归属的 Microsoft Entra 组。 --
    IsAccountEnabled bool 指示是否在 Microsoft Entra ID 中启用了用户帐户。 IsAccountEnabled
    JobTitle string 用户帐户的职务。 JobTitle
    MailAddress string 用户帐户的主要电子邮件地址。 EmailAddress
    管理员 string 用户帐户的管理员别名。 经理
    OnPremisesDistinguishedName string Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。 识别名
    电话 string 用户帐户的电话号码。 Phone
    SourceSystem string 管理用户的系统。
    可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • Hybrid
  • SourceProvider
    State string 用户帐户的地理状态。 State
    StreetAddress string 用户帐户的办公街道地址。 Address
    Surname string 用户的姓氏。 帐户。
    TenantId string 用户的租户 ID。 --
    TimeGenerated datetime 生成事件的时间 (UTC)。 Timestamp
    类型 string 表的名称。 --
    UserAccountControl 动态 AD 域中用户帐户的安全属性。
    可能的值(可能包含多个):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState string Microsoft Entra ID 中用户帐户的当前状态。
    可能的值:
  • 活动
  • 已禁用
  • Dormant
  • Lockout
  • --
    UserStateChangedOn datetime 上次更改帐户状态的日期 (UTC)。 --
    UserType string 用户类型。 --

    后续步骤

    本文档介绍了 Microsoft Sentinel 实体行为分析表架构。