你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Sentinel UEBA 参考

本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。

重要

Microsoft Sentinel 在 Microsoft Defender 门户中正式发布,包括没有 Microsoft Defender XDR 或 E5 许可证的客户。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel

UEBA 数据源

这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。

数据源 事件
Microsoft Entra ID
登录日志
全部
Microsoft Entra ID
审核日志
ApplicationManagement
目录管理
群组管理
设备
角色管理
UserManagementCategory
Azure 活动日志 授权
AzureActiveDirectory
计费
计算
消耗
KeyVault
设备
网络
资源
Intune
逻辑
SQL
存储
Windows 安全事件
WindowsEvent 或
SecurityEvent
4624:已成功登录帐户
4625:无法登录帐户
4648:尝试使用显式凭据登录
4672:已向新的登录分配特殊权限
4688:已创建新进程

UEBA 扩充

本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充显示在 实体页上 ,可在以下 Log Analytics 表中找到,这些扩充的内容和架构如下所示:

  • BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。

    以下 实体扩充动态字段 部分介绍了 BehaviorAnalytics 表中的以下三个动态字段。

    • UsersInsightsDevicesInsights 字段包含 Active Directory/Microsoft Entra ID 和Microsoft威胁智能源中的实体信息。

    • ActivityInsights 字段包含基于Microsoft Sentinel 实体行为分析构建的行为配置文件的实体信息。

      根据每次使用用户活动时动态编译的基线分析用户活动。 每个活动都有自己的定义的回溯期,从中派生动态基线。 此表中的 “基线 ”列指定了回溯期。

  • IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory 同步到 UEBA)的标识信息。

BehaviorAnalytics 表

下表描述了Microsoft Sentinel 中每个 实体详细信息页上 显示的行为分析数据。

字段 类型​​ 说明
TenantId 字符串 租户的唯一 ID 编号。
SourceRecordId 字符串 EBA 事件的唯一 ID 编号。
TimeGenerated datetime 活动发生时的时间戳。
TimeProcessed datetime EBA 引擎处理活动时的时间戳。
ActivityType 字符串 活动的高级类别。
ActionType作类型 字符串 活动的规范化名称。
UserName 字符串 发起活动的用户的用户名。
UserPrincipalName 字符串 发起活动的用户的完整用户名。
EventSource 字符串 提供原始事件的数据源。
SourceIPAddress 字符串 发起活动的 IP 地址。
SourceIPLocation 字符串 发起活动的国家/地区,从 IP 地址进行扩充。
SourceDevice 字符串 发起活动的设备的主机名。
DestinationIPAddress 字符串 活动目标的 IP 地址。
DestinationIPLocation 字符串 活动目标所在国家/地区,从 IP 地址进行扩充。
DestinationDevice 字符串 目标设备的名称。
UsersInsights 动态 相关用户的上下文扩充(详细信息如下)。
DevicesInsights 动态 相关设备的上下文扩充(详细信息如下)。
ActivityInsights 动态 基于分析的活动的上下文分析(下面详述)。
InvestigationPriority 整数 (int) 异常分数,介于 0-10(0=良性,10=高度异常)。

实体扩充动态字段

注意

本部分表中的“扩充名称”列显示两行信息。

  • 第一行以“粗体”显示扩充的“易记名称”。
  • 第二 个(斜体和括号) 是存储在 行为分析表中的扩充的字段名称。

UsersInsights 字段

下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
帐户显示名称
(AccountDisplayName)
用户的帐户显示名称。 Admin、Hayden Cook
帐户域
(AccountDomain)
用户的帐户域名。
帐户对象 ID
(AccountObjectID)
用户的帐户对象 ID。 aaaaaaaa-0000-1111-2222-bbbbbbbbbb
爆破半径
(BlastRadius)
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius 低、中、高
是休眠帐户
(IsDormantAccount)
此帐户在过去 180 天内未使用。 True、False
是本地管理员
(IsLocalAdmin)
此帐户具有本地管理员权限。 True、False
是新帐户
(IsNewAccount)
此帐户是在过去 30 天内创建的。 True、False
本地 SID
(OnPremisesSID)
与该操作相关的用户的本地 SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights 字段

下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:

扩充名称 说明 示例值
浏览器
(浏览器)
操作中使用的浏览器。 Edge、Chrome
设备系列
(DeviceFamily)
操作中使用的设备系列。 Windows操作系统
设备类型
(DeviceType)
操作中使用的客户端设备类型 桌面
ISP
(ISP)
操作中使用的 Internet 服务提供商。
操作系统
(OperatingSystem)
操作中使用的操作系统。 Windows 10
威胁 Intel 指示器说明
(ThreatIntelIndicatorDescription)
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 主机是僵尸网络的成员:azorult
威胁 Intel 指示器类型
(ThreatIntelIndicatorType)
从操作中使用的 IP 地址解析的威胁指标的类型。 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表
用户代理
(UserAgent)
操作中使用的用户代理。 Microsoft Azure Graph Client Library 1.0、
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
用户代理系列
(UserAgentFamily)
操作中使用的用户代理系列。 Chrome、Edge、Firefox

ActivityInsights 字段

下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:

已执行的操作
扩充名称 基线 (天) 说明 示例值
用户首次执行作
(FirstTimeUserPerformedAction)
180 用户首次执行此操作。 True、False
用户不常执行的作
(ActionUncommonlyPerformedByUser)
10 用户不常执行此操作。 True、False
在对等方之间不常执行的作
(ActionUncommonlyPerformedAmongPeers)
180 用户的对等机之间不常执行此操作。 True、False
首次在租户中执行的作
(FirstTimeActionPerformedInTenant)
180 此操作由组织中的任何人首次执行。 True、False
租户中不常执行的作
(ActionUncommonlyPerformedInTenant)
180 组织中不常执行此操作。 True、False
使用的应用
扩充名称 基线 (天) 说明 示例值
用户首次使用应用
(FirstTimeUserUsedApp)
180 用户首次使用此应用。 True、False
用户不常使用的应用
(AppUncommonlyUsedByUser)
10 用户不常使用此应用。 True、False
在对等方之间不常使用的应用
(AppUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此应用。 True、False
首次在租户中观察到应用
(FirstTimeAppObservedInTenant)
180 在组织中首次观察到此应用。 True、False
租户中不常使用的应用
(AppUncommonlyUsedInTenant)
180 组织中不常使用此应用。 True、False
使用的浏览器
扩充名称 基线 (天) 说明 示例值
首次通过浏览器连接用户
(FirstTimeUserConnectedViaBrowser)
30 用户首次观察到此浏览器。 True、False
用户不常使用的浏览器
(BrowserUncommonlyUsedByUser)
10 用户不常使用此浏览器。 True、False
在对等方之间不常使用的浏览器
(BrowserUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此浏览器。 True、False
首次在租户中观察到浏览器
(FirstTimeBrowserObservedInTenant)
30 在组织中首次观察到此浏览器。 True、False
租户中不常使用的浏览器
(BrowserUncommonlyUsedInTenant)
30 组织中不常使用此浏览器。 True、False
从其连接的国家/地区
扩充名称 基线 (天) 说明 示例值
首次从国家/地区连接用户
(FirstTimeUserConnectedFromCountry)
90 用户首次从 IP 地址解析的这个地理位置连接。 True、False
用户不常从国家/地区连接
(CountryUncommonlyConnectedFromByUser)
10 用户不常从 IP 地址解析的这个地理位置连接。 True、False
国家/地区在对等方之间不常见地连接
(CountryUncommonlyConnectedFromAmongPeers)
90 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 True、False
首次从租户中观察到的国家/地区建立连接
(FirstTimeConnectionFromCountryObservedInTenant)
90 组织中的任何人首次从该国家/地区连接。 True、False
从租户中不常见的连接国家/地区
(CountryUncommonlyConnectedFromInTenant)
90 组织中不常从 IP 地址解析的这个地理位置连接。 True、False
用于连接的设备
扩充名称 基线 (天) 说明 示例值
首次从设备连接用户
(FirstTimeUserConnectedFromDevice)
30 用户首次从该源设备连接。 True、False
用户不常使用的设备
(DeviceUncommonlyUsedByUser)
10 用户不常使用此设备。 True、False
在对等方之间不常使用的设备
(DeviceUncommonlyUsedAmongPeers)
180 在用户的对等机之间不常使用此设备。 True、False
首次在租户中观察到设备
(FirstTimeDeviceObservedInTenant)
30 此设备首次在组织中观察到。 True、False
租户中不常使用的设备
(DeviceUncommonlyUsedInTenant)
180 组织中不常使用此设备。 True、False
扩充名称 基线 (天) 说明 示例值
用户首次登录到设备
(FirstTimeUserLoggedOnToDevice)
180 用户首次连接到此目标设备。 True、False
租户中不常使用的设备系列
(DeviceFamilyUncommonlyUsedInTenant)
30 组织中不常使用此设备系列。 True、False
用于连接的 Internet 服务提供商
扩充名称 基线 (天) 说明 示例值
首次通过 ISP 连接用户
(FirstTimeUserConnectedViaISP)
30 用户首次观察到此 ISP。 True、False
用户不常使用 ISP
(ISPUncommonlyUsedByUser)
10 用户不常使用此 ISP。 True、False
在对等方之间不常使用 ISP
(ISPUncommonlyUsedAmongPeers)
30 在用户的对等机之间不常使用此 ISP。 True、False
首次通过租户中的 ISP 进行连接
(FirstTimeConnectionViaISPInTenant)
30 在组织中首次观察到此 ISP。 True、False
租户中不常使用 ISP
(ISPUncommonlyUsedInTenant)
30 组织中不常使用此 ISP。 True、False
访问的资源
扩充名称 基线 (天) 说明 示例值
用户首次访问资源
(FirstTimeUserAccessedResource)
180 此资源由用户首次访问。 True、False
用户不常访问的资源
(ResourceUncommonlyAccessedByUser)
10 用户不常访问该资源。 True、False
在对等方之间不常访问的资源
(ResourceUncommonlyAccessedAmongPeers)
180 在用户的对等机之间不常访问该资源。 True、False
首次在租户中访问资源
(FirstTimeResourceAccessedInTenant)
180 此资源由组织中的任何人首次访问。 True、False
租户中不常访问的资源
(ResourceUncommonlyAccessedInTenant)
180 组织中不常访问此资源。 True、False
杂项
扩充名称 基线 (天) 说明 示例值
上次用户执行作的时间
(LastTimeUserPerformedAction)
180 上次用户执行了相同的操作。 <时间戳>
过去未执行类似的作
(SimilarActionWasn'tPerformedInThePast)
30 用户未在相同的资源提供程序中执行任何操作。 True、False
源 IP 位置
(SourceIPLocation)
空值 此国家/地区从操作的源 IP 解析。 [英国萨里]
作量不常见
(UncommonHighVolumeOfOperations)
7 用户在同一个提供程序中执行了一连串类似操作 True、False
异常数量的 Microsoft Entra 条件访问失败
(UnusualNumberOfAADConditionalAccessFailures)
5 由于条件访问导致无法进行身份验证的用户的异常数量 True、False
添加了异常数量的设备
(UnusualNumberOfDevicesAdded)
5 用户添加了异常数量的设备。 True、False
删除的异常设备数
(UnusualNumberOfDevicesDeleted)
5 用户删除了异常数量的设备。 True、False
添加到组中的异常用户数
(UnusualNumberOfUsersAddedToGroup)
5 用户向组中添加了异常数量的用户。 True、False

IdentityInfo 表

为 Microsoft Sentinel 工作区 启用和配置 UEBA 后,Microsoft标识提供者中的用户数据将同步到 Log Analytics 中的 IdentityInfo 表,以便在 Microsoft Sentinel 中使用。

这些标识提供者是以下任一或两者,具体取决于配置 UEBA 时选择的标识提供者:

  • Microsoft Entra ID (基于云的)
  • Microsoft Active Directory(本地,需要Microsoft Defender for Identity)

可以在分析规则、搜寻查询和工作簿中查询 IdentityInfo 表,增强分析以适应用例并减少误报。

虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:

  • 每隔 14 天,Microsoft Sentinel 重新与整个Microsoft Entra ID(以及本地 Active Directory(如果适用)同步,以确保过期记录完全更新。

  • 除了这些常规的完全同步之外,每当对 Microsoft Entra ID 中的用户配置文件、组和内置角色进行更改时,受影响的用户记录将在 15-30 分钟内在 IdentityInfo 表中重新引入和更新。 此引入按常规费率计费。 例如:

    • 用户属性(如显示名称、职务或电子邮件地址)已更改。 此用户的新记录将引入 IdentityInfo 表,并更新相关字段。

    • 组 A 有 100 个用户。将 5 个用户添加到组或从组中删除。 在这种情况下,将重新引入这 5 个用户记录并更新其 GroupMembership 字段。

    • 组 A 有 100 个用户。 10 个用户被添加到组 A。此外,A1 和 A2 组(每个组有 10 个用户)将添加到组 A。在这种情况下,将重新引入 30 个用户记录并更新其 GroupMembership 字段。 发生这种情况是因为组成员身份是可传递的,因此对组的更改会影响其所有子组。

    • 组 B(包含 50 个用户)重命名为 Group BeGood。 在这种情况下,将重新引入 50 个用户记录并更新其 GroupMembership 字段。 如果该组中有子组,则所有成员的记录都会出现相同的情况。

  • IdentityInfo 表中的默认保留时间为 30 天。

限制

  • AssignedRoles 字段仅支持内置角色。

  • GroupMembership 字段支持列出每个用户最多 500 个组,包括子组。 如果用户是 500 多个组的成员,则只有前 500 个组与 IdentityInfo 表同步。 不过,不会按任何特定顺序评估组,因此,在每个新同步(每 14 天)中,可能会将不同的组集更新到用户记录。

  • 删除用户后,不会立即从 IdentityInfo 表中删除该用户的记录。 原因是此表的用途之一是审核对用户记录的更改。 因此,我们希望此表有一个要删除的用户的记录,只有在 IdentityInfo 表中的用户记录仍然存在时才会发生,即使删除了实际用户(例如,在 Entra ID 中)。

    删除的用户可以通过字段中存在值 deletedDateTime 来标识。 因此,如果需要查询来显示用户列表,可以通过添加到 | where IsEmpty(deletedDateTime) 查询来筛选掉已删除的用户。

    在删除用户之后的某个时间间隔内,用户记录最终也会从 IdentityInfo 表中删除。

  • 删除组时,或者如果超过 100 个成员的组的名称已更改,则不会更新该组的成员用户记录。 如果不同的更改导致其中一条用户记录更新,则此时将包含更新后的组信息。

IdentityInfo 表的其他版本

IdentityInfo 表实际上有多个版本:

  • 本文中讨论的 Log Analytics 架构版本在 Azure 门户中提供 Microsoft Sentinel。 它适用于那些启用了 UEBA 的客户。

  • 高级搜寻架构版本通过 Microsoft Defender for Identity 提供 Microsoft Defender 门户。 它可供Microsoft Defender XDR 的客户使用,无论是否Microsoft Sentinel,以及 Defender 门户中Microsoft Sentinel 的客户。

    无需启用 UEBA 即可访问此表。 但是,对于未启用 UEBA 的客户,UEBA 数据填充的字段不可见或可用。

    有关详细信息,请参阅 此表 的高级搜寻 版本的文档

  • 截至 2025 年 5 月启用了 UEBAMicrosoft Defender 门户中Microsoft Sentinel 的客户开始使用新版本的高级搜寻版本。 此新版本包括 Log Analytics 版本中的所有 UEBA 字段以及一些新字段,称为 统一版本统一 IdentityInfo 表

    未启用 UEBA 或根本没有 Microsoft Sentinel 的 Defender 门户客户继续使用高级搜寻版本的先前版本,而不使用 UEBA 生成的字段。

    有关统一版本的详细信息,请参阅高级搜寻文档中的 IdentityInfo

图式

以下“Log Analytics 架构”选项卡中的表描述了 Azure 门户中 Log Analytics 的 IdentityInfo 表中包含的用户标识数据。

如果要将 Microsoft Sentinel 加入 Defender 门户,请选择“与统一架构进行比较”选项卡以查看可能影响威胁检测规则和搜寻中的查询的更改。

字段名称 类型​​ 说明
AccountCloudSID 字符串 帐户的 Microsoft Entra 安全标识符。
AccountCreationTime datetime 创建用户帐户的日期 (UTC)。
AccountDisplayName 字符串 用户帐户的显示名称。
AccountDomain 字符串 用户帐户的域名。
AccountName 字符串 用户帐户的用户名。
AccountObjectId 字符串 用户帐户的 Microsoft Entra 对象 ID。
AccountSID 字符串 用户帐户的本地安全标识符。
AccountTenantId 字符串 用户帐户的 Microsoft Entra 租户 ID。
AccountUPN 字符串 用户帐户的用户主体名称。
AdditionalMailAddresses 动态 用户的其他电子邮件地址。
AssignedRoles 动态 用户帐户分配到的 Microsoft Entra 角色。 仅支持内置角色。
BlastRadius 字符串 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。
可能的值: 低、中、高
ChangeSource 字符串 对实体的最新更改的源。
可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • 监视列表
  • FullSync
  • 城市 字符串 用户帐户的城市。
    公司名称 字符串 用户所属的公司名称。
    国家 字符串 用户帐户的国家/地区。
    DeletedDateTime datetime 删除用户的日期和时间。
    部门 字符串 用户帐户的部门。
    EmployeeId 字符串 由组织分配给该用户的员工标识符。
    GivenName 字符串 用户帐户的给定名称。
    GroupMembership 动态 Microsoft用户帐户是成员的 Entra ID 组。
    IsAccountEnabled 布尔 指示是否在 Microsoft Entra ID 中启用了用户帐户。
    职位名称 字符串 用户帐户的职务。
    MailAddress 字符串 用户帐户的主要电子邮件地址。
    管理员 字符串 用户帐户的管理员别名。
    OnPremisesDistinguishedName 字符串 Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。
    电话 字符串 用户帐户的电话号码。
    RiskLevel 字符串 用户帐户Microsoft条目 ID 风险级别。
    可能的值:
  • 中等
  • RiskLevelDetails 字符串 有关 Microsoft Entra ID 风险级别的详细信息。
    RiskState 字符串 指示帐户现在是否处于危险状态,或者是否已修正风险。
    SourceSystem 字符串 管理用户的系统。
    可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • 混合
  • 字符串 用户帐户的地理状态。
    StreetAddress 字符串 用户帐户的办公街道地址。
    字符串 用户的姓氏。 帐户。
    TenantId 字符串 用户的租户 ID。
    TimeGenerated datetime 生成事件的时间 (UTC)。
    类型 字符串 表的名称。
    UserAccountControl 动态 AD 域中用户帐户的安全属性。
    可能的值(可能包含多个):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • UserState 字符串 Microsoft Entra ID 中用户帐户的当前状态。
    可能的值:
  • 积极
  • 禁用
  • 睡眠状态的
  • 闭厂
  • UserStateChangedOn datetime 上次更改帐户状态的日期 (UTC)。
    UserType 字符串 用户类型。

    在 Log Analytics 架构中存在以下字段时,应忽略这些字段,因为它们不受 Microsoft Sentinel 使用或支持:

    • 应用程序
    • 实体风险评分
    • ExtensionProperty
    • 调查优先级
    • InvestigationPriorityPercentile
    • IsMFARegistered
    • IsServiceAccount
    • 上次见到日期
    • OnPremisesExtensionAttributes
    • 相关账户
    • ServicePrincipals
    • 标记
    • UACFlags

    后续步骤

    本文档介绍了 Microsoft Sentinel 实体行为分析表架构。