你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Microsoft Sentinel UEBA 参考
本参考文章列出了 Microsoft Sentinel 中的用户和实体行为分析服务的输入数据源。 它还介绍了 UEBA 添加到实体的扩充,为警报和事件提供所需的上下文。
重要
Microsoft Sentinel 在 Microsoft Defender 门户中Microsoft的统一安全操作平台中正式发布。 对于预览版,Microsoft Sentinel 在 Defender 门户中提供,无需Microsoft Defender XDR 或 E5 许可证。 有关详细信息,请参阅 Microsoft Defender 门户中的 Microsoft Sentinel。
这些是 UEBA 引擎从中收集和分析数据的数据源,用于训练其 ML 模型,并为用户、设备和其他实体设置行为基线。 然后,UEBA 会查看来自这些源的数据,以查找异常并收集见解。
数据源 | 事件 |
---|---|
Microsoft Entra ID 登录日志 |
全部 |
Microsoft Entra ID 审核日志 |
ApplicationManagement DirectoryManagement GroupManagement 设备 RoleManagement UserManagementCategory |
Azure 活动日志 | 授权 AzureActiveDirectory 计费 计算 消耗 KeyVault 设备 网络 资源 Intune 逻辑 Sql 存储 |
Windows 安全事件 WindowsEvent 或 SecurityEvent |
4624:已成功登录帐户 4625:无法登录帐户 4648:尝试使用显式凭据登录 4672:已向新的登录分配特殊权限 4688:已创建新进程 |
本部分介绍 UEBA 添加到 Microsoft Sentinel 实体的扩充及其所有详细信息,可用于集中和强化安全事件调查。 这些扩充将显示在实体页上,可在以下 Log Analytics 表中找到,其中的内容和架构如下所示:
BehaviorAnalytics 表是 UEBA 的输出信息存储的位置。
下面的实体扩充动态字段部分中介绍了 BehaviorAnalytics 表中的以下三个动态字段。
UsersInsights 和 DevicesInsights 字段包含来自 Active Directory/Microsoft Entra ID 和 Microsoft 威胁情报源的实体信息。
ActivityInsights 字段包含的实体信息基于 Microsoft Sentinel 的实体行为分析生成的行为配置文件。
根据每次使用时都会动态编译的基线来分析用户活动。 每个活动都有其定义的回溯期,动态基线从该回溯期中派生。 此表的基线列中指定了该回溯期。
IdentityInfo 表用于存储从 Microsoft Entra ID(以及通过 Microsoft Defender for Identity 从本地 Active Directory)同步到 UEBA 的身份信息。
下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。
字段 | 类型 | 说明 |
---|---|---|
TenantId | string | 租户的唯一 ID 编号。 |
SourceRecordId | 字符串 | EBA 事件的唯一 ID 编号。 |
TimeGenerated | datetime | 活动发生时的时间戳。 |
TimeProcessed | datetime | EBA 引擎处理活动时的时间戳。 |
ActivityType | 字符串 | 活动的高级类别。 |
ActionType | 字符串 | 活动的规范化名称。 |
UserName | 字符串 | 发起活动的用户的用户名。 |
UserPrincipalName | 字符串 | 发起活动的用户的完整用户名。 |
EventSource | 字符串 | 提供原始事件的数据源。 |
SourceIPAddress | 字符串 | 发起活动的 IP 地址。 |
SourceIPLocation | string | 从中启动活动的国家/地区,从 IP 地址扩充。 |
SourceDevice | 字符串 | 发起活动的设备的主机名。 |
DestinationIPAddress | 字符串 | 活动目标的 IP 地址。 |
DestinationIPLocation | string | 活动目标的国家/地区,从 IP 地址扩充。 |
DestinationDevice | 字符串 | 目标设备的名称。 |
UsersInsights | 动态 | 相关用户的上下文扩充(详细信息如下)。 |
DevicesInsights | 动态 | 相关设备的上下文扩充(详细信息如下)。 |
ActivityInsights | 动态 | 基于我们的分析的活动的上下文分析(详细信息如下)。 |
InvestigationPriority | int | 异常分数,介于 0-10(0=良性,10=高度异常)。 |
下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:
扩充名称 | 说明 | 示例值 |
---|---|---|
帐户显示名称 (AccountDisplayName) |
用户的帐户显示名称。 | Admin、Hayden Cook |
帐户域 (AccountDomain) |
用户的帐户域名。 | |
帐户对象 ID (AccountObjectID) |
用户的帐户对象 ID。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
冲击半径 (BlastRadius) |
冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Microsoft Entra 角色和权限。 用户必须在 Microsoft Entra ID 中填充 Manager 属性才能计算 BlastRadius。 | 低、中、高 |
休眠帐户 (IsDormantAccount) |
此帐户在过去 180 天内未使用。 | True、False |
本地管理员 (IsLocalAdmin) |
此帐户具有本地管理员权限。 | True、False |
新帐户 (IsNewAccount) |
此帐户是在过去 30 天内创建的。 | True、False |
本地 SID (OnPremisesSID) |
与该操作相关的用户的本地 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:
扩充名称 | 说明 | 示例值 |
---|---|---|
浏览器 (Browser) |
操作中使用的浏览器。 | Edge、Chrome |
设备系列 (DeviceFamily) |
操作中使用的设备系列。 | Windows |
设备类型 (DeviceType) |
操作中使用的客户端设备类型 | 桌面 |
ISP (ISP) |
操作中使用的 Internet 服务提供商。 | |
操作系统 (OperatingSystem) |
操作中使用的操作系统。 | Windows 10 |
威胁 intel 指标说明 (ThreatIntelIndicatorDescription) |
从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 | 主机是僵尸网络的成员:azorult |
威胁 intel 指标类型 (ThreatIntelIndicatorType) |
从操作中使用的 IP 地址解析的威胁指标的类型。 | 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表 |
用户代理 (UserAgent) |
操作中使用的用户代理。 | Microsoft Azure Graph Client Library 1.0、 Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
用户代理系列 (UserAgentFamily) |
操作中使用的用户代理系列。 | Chrome、Edge、Firefox |
下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次执行的操作 (FirstTimeUserPerformedAction) |
180 | 用户首次执行此操作。 | True、False |
用户不常执行的操作 (ActionUncommonlyPerformedByUser) |
10 | 用户不常执行此操作。 | True、False |
对等机之间不常执行的操作 (ActionUncommonlyPerformedAmongPeers) |
180 | 用户的对等机之间不常执行此操作。 | True、False |
首次在租户中执行的操作 (FirstTimeActionPerformedInTenant) |
180 | 此操作由组织中的任何人首次执行。 | True、False |
租户中不常执行的操作 (ActionUncommonlyPerformedInTenant) |
180 | 组织中不常执行此操作。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次使用的应用 (FirstTimeUserUsedApp) |
180 | 用户首次使用此应用。 | True、False |
用户不常使用的应用 (AppUncommonlyUsedByUser) |
10 | 用户不常使用此应用。 | True、False |
在对等机之间不常使用的应用 (AppUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此应用。 | True、False |
首次在租户中观察到的应用 (FirstTimeAppObservedInTenant) |
180 | 在组织中首次观察到此应用。 | True、False |
租户中不常使用的应用 (AppUncommonlyUsedInTenant) |
180 | 组织中不常使用此应用。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次通过浏览器连接 (FirstTimeUserConnectedViaBrowser) |
30 | 用户首次观察到此浏览器。 | True、False |
用户不常使用的浏览器 (BrowserUncommonlyUsedByUser) |
10 | 用户不常使用此浏览器。 | True、False |
在对等机之间不常使用的浏览器 (BrowserUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此浏览器。 | True、False |
首次在租户中观察到的浏览器 (FirstTimeBrowserObservedInTenant) |
30 | 在组织中首次观察到此浏览器。 | True、False |
租户中不常使用的浏览器 (BrowserUncommonlyUsedInTenant) |
30 | 组织中不常使用此浏览器。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次从国家/地区连接 (FirstTimeUserConnectedFromCountry) |
90 | 用户首次从 IP 地址解析的这个地理位置连接。 | True、False |
用户不常从其连接的国家/地区 (CountryUncommonlyConnectedFromByUser) |
10 | 用户不常从 IP 地址解析的这个地理位置连接。 | True、False |
在对等机之间不常从其连接的国家/地区 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 | True、False |
首次从租户中观察到的国家/地区连接 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 组织中的任何人首次从国家/地区连接。 | True、False |
租户中不常从其连接的国家/地区 (CountryUncommonlyConnectedFromInTenant) |
90 | 组织中不常从 IP 地址解析的这个地理位置连接。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次从设备连接 (FirstTimeUserConnectedFromDevice) |
30 | 用户首次从该源设备连接。 | True、False |
用户不常使用的设备 (DeviceUncommonlyUsedByUser) |
10 | 用户不常使用此设备。 | True、False |
在对等机之间不常使用的设备 (DeviceUncommonlyUsedAmongPeers) |
180 | 在用户的对等机之间不常使用此设备。 | True、False |
首次在租户中观察到的设备 (FirstTimeDeviceObservedInTenant) |
30 | 此设备首次在组织中观察到。 | True、False |
租户中不常使用的设备 (DeviceUncommonlyUsedInTenant) |
180 | 组织中不常使用此设备。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次登录到设备 (FirstTimeUserLoggedOnToDevice) |
180 | 用户首次连接到此目标设备。 | True、False |
租户中不常使用的设备系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 组织中不常使用此设备系列。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次通过 ISP 连接 (FirstTimeUserConnectedViaISP) |
30 | 用户首次观察到此 ISP。 | True、False |
用户不常使用的 ISP (ISPUncommonlyUsedByUser) |
10 | 用户不常使用此 ISP。 | True、False |
在对等机之间不常使用的 ISP (ISPUncommonlyUsedAmongPeers) |
30 | 在用户的对等机之间不常使用此 ISP。 | True、False |
首次在租户中通过 ISP 连接 (FirstTimeConnectionViaISPInTenant) |
30 | 在组织中首次观察到此 ISP。 | True、False |
租户中不常使用的 ISP (ISPUncommonlyUsedInTenant) |
30 | 组织中不常使用此 ISP。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户首次访问的资源 (FirstTimeUserAccessedResource) |
180 | 此资源由用户首次访问。 | True、False |
用户不常访问的资源 (ResourceUncommonlyAccessedByUser) |
10 | 用户不常访问该资源。 | True、False |
在对等机之间不常访问的资源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 在用户的对等机之间不常访问该资源。 | True、False |
首次在租户中访问的资源 (FirstTimeResourceAccessedInTenant) |
180 | 此资源由组织中的任何人首次访问。 | True、False |
租户中不常访问的资源 (ResourceUncommonlyAccessedInTenant) |
180 | 组织中不常访问此资源。 | True、False |
扩充名称 | 基线(天) | 说明 | 示例值 |
---|---|---|---|
用户上次执行的操作 (LastTimeUserPerformedAction) |
180 | 上次用户执行了相同的操作。 | <Timestamp> |
过去未执行类似操作 (SimilarActionWasn'tPerformedInThePast) |
30 | 用户未在相同的资源提供程序中执行任何操作。 | True、False |
源 IP 位置 (SourceIPLocation) |
空值 | 从操作的源 IP 解析的国家/地区。 | [英国萨里] |
不常见的大量操作 (UncommonHighVolumeOfOperations) |
7 | 用户在同一个提供程序中执行了一连串类似操作 | True、False |
Microsoft Entra 条件访问失败的异常数量 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由于条件访问导致无法进行身份验证的用户的异常数量 | True、False |
添加的异常数量的设备 (UnusualNumberOfDevicesAdded) |
5 | 用户添加了异常数量的设备。 | True、False |
删除的异常数量的设备 (UnusualNumberOfDevicesDeleted) |
5 | 用户删除了异常数量的设备。 | True、False |
添加到组中的异常数量的用户 (UnusualNumberOfUsersAddedToGroup) |
5 | 用户向组中添加了异常数量的用户。 | True、False |
为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Microsoft Entra ID 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Microsoft Entra ID 同步的用户数据,以增强分析来适应你的用例并减少误报。
虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:
Microsoft Entra ID 中对用户配置文件、组和角色所做的更改将在 15-30 分钟内在 IdentityInfo 表中更新。
每 14 天,Microsoft Sentinel 会与整个 Microsoft Entra ID 重新同步,以确保过时的记录将完全更新。
IdentityInfo 表中的默认保留时间为 30 天。
目前,仅支持内置角色。
目前不支持有关已删除组(从组中删除了用户)的数据。
IdentityInfo 表实际上有两个版本:
- Log Analytics 架构版本在 Azure 门户 中提供 sentinel Microsoft。
- 高级 搜寻 架构版本通过 Microsoft Defender for Identity 在 Microsoft Defender 门户中提供 Microsoft Sentinel。
此表的两个版本都由 Microsoft Entra ID 提供,但 Log Analytics 版本添加了几个字段。
Microsoft Defender 门户中的 Sentine Microsoft l 使用 此表的高级搜寻 版本。 为了最大程度地减少表的两个版本之间的差异,Log Analytics 版本中的大部分唯一字段也会逐渐添加到 高级搜寻 版本。 无论在哪个门户中使用 Microsoft Sentinel,你都可以访问几乎所有相同的信息,尽管版本之间的同步时间可能很小。 有关详细信息,请参阅此表的高级搜寻版本的文档。
下表描述了 log Analytics Azure 门户 的 IdentityInfo 表中包含的用户标识数据。 第四列显示表高级搜寻版本中的相应字段,Microsoft Sentinel 在 Defender 门户中使用。 粗体中的字段名称在高级搜寻架构中的名称不同于Microsoft Sentinel Log Analytics 版本中的名称。
在 Log Analytics 架构中的字段名称 |
类型 | 描述 | 在 高级搜寻 架构 |
---|---|---|---|
AccountCloudSID | string | 帐户的 Microsoft Entra 安全标识符。 | CloudSid |
AccountCreationTime | datetime | 创建用户帐户的日期 (UTC)。 | CreatedDateTime |
AccountDisplayName | string | 用户帐户的显示名称。 | AccountDisplayName |
AccountDomain | string | 用户帐户的域名。 | AccountDomain |
AccountName | string | 用户帐户的用户名。 | AccountName |
AccountObjectId | string | 用户帐户的 Microsoft Entra 对象 ID。 | AccountObjectId |
AccountSID | string | 用户帐户的本地安全标识符。 | AccountSID |
AccountTenantId | string | 用户帐户的 Microsoft Entra 租户 ID。 | -- |
AccountUPN | string | 用户帐户的用户主体名称。 | AccountUPN |
AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址。 | -- |
AssignedRoles | 动态 | 用户帐户分配到的 Microsoft Entra 角色。 | AssignedRoles |
BlastRadius | string | 根据用户在组织树中的位置以及用户的 Microsoft Entra 角色和权限来计算。 可能的值:“Low”、“Medium”和“High”。 |
-- |
ChangeSource | 字符串 | 对实体的最新更改的源。 可能的值: |
ChangeSource |
CompanyName | 用户所属的公司名称。 | -- | |
市/县 | string | 用户帐户的城市。 | 城市 |
国家/地区 | string | 用户帐户的国家/地区。 | 国家/地区 |
DeletedDateTime | datetime | 删除用户的日期和时间。 | -- |
部门 | string | 用户帐户的部门。 | Department |
GivenName | string | 用户帐户的给定名称。 | GivenName |
GroupMembership | 动态 | 用户帐户所归属的 Microsoft Entra 组。 | -- |
IsAccountEnabled | bool | 指示是否在 Microsoft Entra ID 中启用了用户帐户。 | IsAccountEnabled |
JobTitle | string | 用户帐户的职务。 | JobTitle |
MailAddress | string | 用户帐户的主要电子邮件地址。 | EmailAddress |
管理员 | string | 用户帐户的管理员别名。 | 经理 |
OnPremisesDistinguishedName | string | Microsoft Entra ID 可分辨名称 (DN)。 专有名称是一系列相对专有名称 (RDN),由逗号连接。 | 识别名 |
电话 | string | 用户帐户的电话号码。 | Phone |
SourceSystem | string | 管理用户的系统。 可能的值: |
SourceProvider |
State | string | 用户帐户的地理状态。 | State |
StreetAddress | string | 用户帐户的办公街道地址。 | Address |
Surname | string | 用户的姓氏。 帐户。 | 姓 |
TenantId | string | 用户的租户 ID。 | -- |
TimeGenerated | datetime | 生成事件的时间 (UTC)。 | Timestamp |
类型 | string | 表的名称。 | -- |
UserAccountControl | 动态 | AD 域中用户帐户的安全属性。 可能的值(可能包含多个): |
-- |
UserState | string | Microsoft Entra ID 中用户帐户的当前状态。 可能的值: |
-- |
UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC)。 | -- |
UserType | string | 用户类型。 | -- |
本文档介绍了 Microsoft Sentinel 实体行为分析表架构。