你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel UEBA 参考
本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。
重要
Microsoft Sentinel 作为 Microsoft Defender 门户中统一安全操作平台的公共预览版的一部分提供。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
UEBA 数据源
这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。
| 数据源 | 事件 |
|---|---|
| Microsoft Entra ID 登录日志 |
全部 |
| Microsoft Entra ID 审核日志 |
ApplicationManagement DirectoryManagement GroupManagement 设备 RoleManagement UserManagementCategory |
| Azure 活动日志 | 授权 AzureActiveDirectory 计费 计算 消耗 KeyVault 设备 网络 资源 Intune 逻辑 Sql 存储 |
| Windows 安全事件 WindowsEvent 或 SecurityEvent |
4624:已成功登录帐户 4625:无法登录帐户 4648:尝试使用显式凭据登录 4672:已向新的登录分配特殊权限 4688:已创建新进程 |
UEBA 扩充
本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充将显示在实体页上,可在以下 Log Analytics 表中找到,其中的内容和架构如下所示:
BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。
下面的实体扩充动态字段部分中介绍了 BehaviorAnalytics 表中的以下三个动态字段。
UsersInsights 和 DevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID 和 Microsoft 威胁情报源的实体信息。
ActivityInsights 字段包含的实体信息基于 Microsoft Sentinel 的实体行为分析生成的行为配置文件。
根据每次使用时都会动态编译的基线来分析用户活动。 每个活动都有其定义的回溯期,动态基线从该回溯期中派生。 此表的基线列中指定了该回溯期。
IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory)同步到 UEBA 的身份信息。
BehaviorAnalytics 表
下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。
| 字段 | 类型 | 说明 |
|---|---|---|
| TenantId | string | 租户的唯一 ID 编号。 |
| SourceRecordId | 字符串 | EBA 事件的唯一 ID 编号。 |
| TimeGenerated | datetime | 活动发生时的时间戳。 |
| TimeProcessed | datetime | EBA 引擎处理活动时的时间戳。 |
| ActivityType | 字符串 | 活动的高级类别。 |
| ActionType | 字符串 | 活动的规范化名称。 |
| UserName | 字符串 | 发起活动的用户的用户名。 |
| UserPrincipalName | 字符串 | 发起活动的用户的完整用户名。 |
| EventSource | 字符串 | 提供原始事件的数据源。 |
| SourceIPAddress | 字符串 | 发起活动的 IP 地址。 |
| SourceIPLocation | 字符串 | 发起活动的国家/地区,从 IP 地址进行扩充。 |
| SourceDevice | 字符串 | 发起活动的设备的主机名。 |
| DestinationIPAddress | 字符串 | 活动目标的 IP 地址。 |
| DestinationIPLocation | 字符串 | 活动目标所在国家/地区,从 IP 地址进行扩充。 |
| DestinationDevice | 字符串 | 目标设备的名称。 |
| UsersInsights | 动态 | 相关用户的上下文扩充(详细信息如下)。 |
| DevicesInsights | 动态 | 相关设备的上下文扩充(详细信息如下)。 |
| ActivityInsights | 动态 | 基于我们的分析的活动的上下文分析(详细信息如下)。 |
| InvestigationPriority | int | 异常分数,介于 0-10(0=良性,10=高度异常)。 |
实体扩充动态字段
UsersInsights 字段
下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
| 帐户显示名称 (AccountDisplayName) |
用户的帐户显示名称。 | Admin、Hayden Cook |
| 帐户域 (AccountDomain) |
用户的帐户域名。 | |
| 帐户对象 ID (AccountObjectID) |
用户的帐户对象 ID。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| 冲击半径 (BlastRadius) |
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius。 | 低、中、高 |
| 休眠帐户 (IsDormantAccount) |
此帐户在过去 180 天内未使用。 | True、False |
| 本地管理员 (IsLocalAdmin) |
此帐户具有本地管理员权限。 | True、False |
| 新帐户 (IsNewAccount) |
此帐户是在过去 30 天内创建的。 | True、False |
| 本地 SID (OnPremisesSID) |
与该操作相关的用户的本地 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 字段
下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
| 浏览器 (Browser) |
操作中使用的浏览器。 | Edge、Chrome |
| 设备系列 (DeviceFamily) |
操作中使用的设备系列。 | Windows |
| 设备类型 (DeviceType) |
操作中使用的客户端设备类型 | 桌面 |
| ISP (ISP) |
操作中使用的 Internet 服务提供商。 | |
| 操作系统 (OperatingSystem) |
操作中使用的操作系统。 | Windows 10 |
| 威胁 intel 指标说明 (ThreatIntelIndicatorDescription) |
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 | 主机是僵尸网络的成员:azorult |
| 威胁 intel 指标类型 (ThreatIntelIndicatorType) |
从操作中使用的 IP 地址解析的威胁指标的类型。 | 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表 |
| 用户代理 (UserAgent) |
操作中使用的用户代理。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| 用户代理系列 (UserAgentFamily) |
操作中使用的用户代理系列。 | Chrome、Edge、Firefox |
ActivityInsights 字段
下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:
已执行的操作
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次执行的操作 (FirstTimeUserPerformedAction) |
180 | 用户首次执行此操作。 | True、False |
| 用户不常执行的操作 (ActionUncommonlyPerformedByUser) |
10 | 用户不常执行此操作。 | True、False |
| 对等机之间不常执行的操作 (ActionUncommonlyPerformedAmongPeers) |
180 | 用户的对等机之间不常执行此操作。 | True、False |
| 首次在租户中执行的操作 (FirstTimeActionPerformedInTenant) |
180 | 此操作由组织中的任何人首次执行。 | True、False |
| 租户中不常执行的操作 (ActionUncommonlyPerformedInTenant) |
180 | 组织中不常执行此操作。 | True、False |
使用的应用
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次使用的应用 (FirstTimeUserUsedApp) |
180 | 用户首次使用此应用。 | True、False |
| 用户不常使用的应用 (AppUncommonlyUsedByUser) |
10 | 用户不常使用此应用。 | True、False |
| 在对等机之间不常使用的应用 (AppUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此应用。 | True、False |
| 首次在租户中观察到的应用 (FirstTimeAppObservedInTenant) |
180 | 在组织中首次观察到此应用。 | True、False |
| 租户中不常使用的应用 (AppUncommonlyUsedInTenant) |
180 | 组织中不常使用此应用。 | True、False |
使用的浏览器
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次通过浏览器连接 (FirstTimeUserConnectedViaBrowser) |
30 | 用户首次观察到此浏览器。 | True、False |
| 用户不常使用的浏览器 (BrowserUncommonlyUsedByUser) |
10 | 用户不常使用此浏览器。 | True、False |
| 在对等机之间不常使用的浏览器 (BrowserUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此浏览器。 | True、False |
| 首次在租户中观察到的浏览器 (FirstTimeBrowserObservedInTenant) |
30 | 在组织中首次观察到此浏览器。 | True、False |
| 租户中不常使用的浏览器 (BrowserUncommonlyUsedInTenant) |
30 | 组织中不常使用此浏览器。 | True、False |
从其连接的国家/地区
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次从国家/地区连接 (FirstTimeUserConnectedFromCountry) |
90 | 用户首次从 IP 地址解析的这个地理位置连接。 | True、False |
| 用户不常从其连接的国家/地区 (CountryUncommonlyConnectedFromByUser) |
10 | 用户不常从 IP 地址解析的这个地理位置连接。 | True、False |
| 在对等机之间不常从其连接的国家/地区 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 | True、False |
| 首次从租户中观察到的国家/地区连接 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 组织中的任何人首次从该国家/地区连接。 | True、False |
| 租户中不常从其连接的国家/地区 (CountryUncommonlyConnectedFromInTenant) |
90 | 组织中不常从 IP 地址解析的这个地理位置连接。 | True、False |
用于连接的设备
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次从设备连接 (FirstTimeUserConnectedFromDevice) |
30 | 用户首次从该源设备连接。 | True、False |
| 用户不常使用的设备 (DeviceUncommonlyUsedByUser) |
10 | 用户不常使用此设备。 | True、False |
| 在对等机之间不常使用的设备 (DeviceUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此设备。 | True、False |
| 首次在租户中观察到的设备 (FirstTimeDeviceObservedInTenant) |
30 | 此设备首次在组织中观察到。 | True、False |
| 租户中不常使用的设备 (DeviceUncommonlyUsedInTenant) |
180 | 组织中不常使用此设备。 | True、False |
其他相关设备
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次登录到设备 (FirstTimeUserLoggedOnToDevice) |
180 | 用户首次连接到此目标设备。 | True、False |
| 租户中不常使用的设备系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 组织中不常使用此设备系列。 | True、False |
用于连接的 Internet 服务提供商
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次通过 ISP 连接 (FirstTimeUserConnectedViaISP) |
30 | 用户首次观察到此 ISP。 | True、False |
| 用户不常使用的 ISP (ISPUncommonlyUsedByUser) |
10 | 用户不常使用此 ISP。 | True、False |
| 在对等机之间不常使用的 ISP (ISPUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此 ISP。 | True、False |
| 首次在租户中通过 ISP 连接 (FirstTimeConnectionViaISPInTenant) |
30 | 在组织中首次观察到此 ISP。 | True、False |
| 租户中不常使用的 ISP (ISPUncommonlyUsedInTenant) |
30 | 组织中不常使用此 ISP。 | True、False |
访问的资源
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次访问的资源 (FirstTimeUserAccessedResource) |
180 | 此资源由用户首次访问。 | True、False |
| 用户不常访问的资源 (ResourceUncommonlyAccessedByUser) |
10 | 用户不常访问该资源。 | True、False |
| 在对等机之间不常访问的资源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 在用户的对等机之间不常访问该资源。 | True、False |
| 首次在租户中访问的资源 (FirstTimeResourceAccessedInTenant) |
180 | 此资源由组织中的任何人首次访问。 | True、False |
| 租户中不常访问的资源 (ResourceUncommonlyAccessedInTenant) |
180 | 组织中不常访问此资源。 | True、False |
杂项
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户上次执行的操作 (LastTimeUserPerformedAction) |
180 | 上次用户执行了相同的操作。 | <Timestamp> |
| 过去未执行类似操作 (SimilarActionWasn'tPerformedInThePast) |
30 | 用户未在相同的资源提供程序中执行任何操作。 | True、False |
| 源 IP 位置 (SourceIPLocation) |
空值 | 此国家/地区从操作的源 IP 解析。 | [英国萨里] |
| 不常见的大量操作 (UncommonHighVolumeOfOperations) |
7 | 用户在同一个提供程序中执行了一连串类似操作 | True、False |
| Microsoft Entra 条件访问失败的异常数量 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由于条件访问导致无法进行身份验证的用户的异常数量 | True、False |
| 添加的异常数量的设备 (UnusualNumberOfDevicesAdded) |
5 | 用户添加了异常数量的设备。 | True、False |
| 删除的异常数量的设备 (UnusualNumberOfDevicesDeleted) |
5 | 用户删除了异常数量的设备。 | True、False |
| 添加到组中的异常数量的用户 (UnusualNumberOfUsersAddedToGroup) |
5 | 用户向组中添加了异常数量的用户。 | True、False |
IdentityInfo 表
为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Microsoft Entra ID 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Microsoft Entra ID 同步的用户数据,以增强分析来适应你的用例并减少误报。
虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:
对 Microsoft Entra ID 中的用户配置文件所做的更改会在 15 分钟内更新到 IdentityInfo 表中。
组和角色信息每天在 IdentityInfo 表和 Microsoft Entra ID 之间同步。
每 14 天,Microsoft Sentinel 会与整个 Microsoft Entra ID 重新同步,以确保过时的记录将完全更新。
IdentityInfo 表中的默认保留时间为 30 天。
注意
目前,仅支持内置角色。
目前不支持有关已删除组(从组中删除了用户)的数据。
实际上有两个版本的 IdentityInfo 表:一个在 Log Analytics 架构中提供 Microsoft Sentinel,另一个版本通过 Microsoft Defender for Identity 提供 Microsoft Defender 门户,称为高级搜寻架构。 此表的两个版本都由 Microsoft Entra ID 提供,但 Log Analytics 版本添加了几个字段。
Defender 门户中 的统一安全操作平台使用此 表的高级搜寻 版本,因此,为了最大程度地减少表版本之间的差异,Log Analytics 版本中的大部分唯一字段也逐渐添加到 高级搜寻 版本。 无论在哪个门户中使用 Microsoft Sentinel,你都可以访问几乎所有相同的信息,尽管版本之间的同步时间可能很小。
下表描述了 log Analytics Azure 门户 的 IdentityInfo 表中包含的用户标识数据。 第四列显示 Microsoft Sentinel 在 Defender 门户中使用的表高级搜寻版本中的相应字段。 粗体中的字段名称在高级搜寻架构中的名称不同于 Microsoft Sentinel Log Analytics 版本中的名称。
| 中的字段名称 Log Analytics 架构 |
类型 | 描述 | 中的字段名称 高级搜寻 架构 |
|---|---|---|---|
| AccountCloudSID | string | 帐户的 Microsoft Entra 安全标识符。 | CloudSid |
| AccountCreationTime | datetime | 创建用户帐户的日期 (UTC)。 | CreatedDateTime |
| AccountDisplayName | string | 用户帐户的显示名称。 | AccountDisplayName |
| AccountDomain | string | 用户帐户的域名。 | AccountDomain |
| AccountName | string | 用户帐户的用户名。 | AccountName |
| AccountObjectId | string | 用户帐户的 Microsoft Entra 对象 ID。 | AccountObjectId |
| AccountSID | string | 用户帐户的本地安全标识符。 | AccountSID |
| AccountTenantId | string | 用户帐户的 Microsoft Entra 租户 ID。 | -- |
| AccountUPN | string | 用户帐户的用户主体名称。 | AccountUPN |
| AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址。 | -- |
| AssignedRoles | 动态 | 用户帐户分配到的 Microsoft Entra 角色。 | AssignedRoles |
| BlastRadius | string | 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。 可能的值:“Low”、“Medium”和“High”。 |
-- |
| ChangeSource | 字符串 | 对实体的最新更改的源。 可能的值: |
ChangeSource |
| CompanyName | 用户所属的公司名称。 | -- | |
| 市/县 | string | 用户帐户的城市。 | 城市 |
| 国家/地区 | string | 用户帐户的国家/地区。 | 国家/地区 |
| DeletedDateTime | datetime | 删除用户的日期和时间。 | -- |
| 部门 | string | 用户帐户的部门。 | 部门 |
| GivenName | string | 用户帐户的给定名称。 | GivenName |
| GroupMembership | 动态 | 用户帐户所归属的 Microsoft Entra 组。 | -- |
| IsAccountEnabled | bool | 指示是否在 Microsoft Entra ID 中启用了用户帐户。 | IsAccountEnabled |
| JobTitle | string | 用户帐户的职务。 | JobTitle |
| MailAddress | string | 用户帐户的主要电子邮件地址。 | EmailAddress |
| 经理 | string | 用户帐户的管理员别名。 | 经理 |
| OnPremisesDistinguishedName | string | Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。 | 识别名 |
| 电话 | string | 用户帐户的电话号码。 | 手机 |
| SourceSystem | string | 管理用户的系统。 可能的值: |
SourceProvider |
| 状态 | string | 用户帐户的地理状态。 | State |
| StreetAddress | string | 用户帐户的办公街道地址。 | Address |
| Surname | string | 用户的姓氏。 帐户。 | 姓 |
| TenantId | string | 用户的租户 ID。 | -- |
| TimeGenerated | datetime | 生成事件的时间 (UTC)。 | Timestamp |
| 类型 | string | 表的名称。 | -- |
| UserAccountControl | 动态 | AD 域中用户帐户的安全属性。 可能的值(可能包含多个): |
-- |
| UserState | string | Microsoft Entra ID 中用户帐户的当前状态。 可能的值: |
-- |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC)。 | -- |
| UserType | string | 用户类型。 | -- |
后续步骤
本文档介绍了 Microsoft Sentinel 实体行为分析表架构。