教學課程:使用 UEBA 數據調查事件
本文說明在一般調查工作流程中使用 用戶實體行為分析 (UEBA) 的常見方法和範例程式。
重要
本文中已指出的功能目前為 PREVIEW。 如需適用於 Beta 版、預覽版或尚未發行至正式運作的 Azure 功能的其他法律條款,請參閱 Microsoft Azure 預覽版補充使用條款。
注意
本教學課程提供最上層客戶工作的案例型程式:使用 UEBA 數據進行調查。 如需詳細資訊,請參閱 使用 Microsoft Sentinel 調查事件。
必要條件
您必須先 在 Microsoft Sentinel 中啟用使用者和實體行為分析(UEBA),才能在調查中使用 UEBA 數據。
啟用 UEBA 之後,開始尋找大約一周的機器支援深入解析。
在實體數據中執行主動式例行搜尋
建議您透過用戶活動執行一般主動式搜尋,以建立潛在客戶以進行進一步調查。
您可以使用 Microsoft Sentinel 使用者和實體行為分析活頁簿 來查詢您的資料,例如:
- 具有異常或附加事件的最高風險使用者
- 特定用戶的數據,以判斷主體是否確實遭到入侵,或因動作偏離使用者配置檔而造成內部威脅。
此外,在 UEBA 活頁簿中擷取非例行動作,並使用它們來尋找異常活動,以及可能不符合規範的做法。
調查異常登入
例如,下列步驟會遵循已連線到使用者之前從未使用過之 VPN 的用戶調查,這是異常活動。
在 Sentinel 活頁簿 區域中,搜尋並開啟 [用戶和實體行為分析] 活 頁簿。
搜尋要調查的特定用戶名稱,並在 [要調查的頂端使用者] 數據表中選取其名稱。
向下卷動 [ 事件明細 ] 和 [異常明細] 數據表,以檢視與所選使用者相關聯的事件和異常。
在異常中,例如名為 Anomalous Successful Logon 的一個,請檢閱數據表中顯示的詳細數據以進行調查。 例如:
步驟 描述 記下右側的描述 每個異常都有描述,並有連結可深入瞭解 MITRE ATT&CK 知識庫。
例如:
初始存取
敵人正嘗試進入您的網路。
初始存取是由使用各種輸入向量在網路中取得初始立足點的技術所組成。 取得立足點的技術包括針對性的魚叉式網路釣魚,以及惡意探索公開網頁伺服器中的弱點。 透過初始存取取得的立足點可能會允許持續存取,例如有效的帳戶和使用外部遠端服務,或因變更密碼而受到限制。記下 [描述] 資料列中的文字 在異常數據列中,捲動到右側以檢視其他描述。 選取連結以檢視全文檢索。 例如:
敵人可能會使用認證存取技術竊取特定使用者或服務帳戶的認證,或透過社交工程擷取稍早在其偵察程式中的認證,以取得初始存取的方法。 例如,APT33 已使用有效的帳戶進行初始存取。 下列查詢會產生使用者從之前從未連線的新地理位置成功登入的輸出,而且沒有任何同儕節點。記下 UsersInsights 數據 在異常數據列中向右卷動以檢視使用者深入解析數據,例如帳戶顯示名稱和帳戶物件標識碼。 選取文字以檢視右側的完整數據。 記下辨識項數據 在異常數據列中向右卷動,以檢視異常的辨識項數據。 選取右邊的文字檢視完整資料,例如下列欄位:
- ActionUncommonlyPerformedByUser
- UncommonHighVolumeOfActions
- FirstTimeUser 連線 edFromCountry
- CountryUncommonly 連線 edFromAmongPeers
- FirstTimeUser 連線 edViaISP
- ISPUncommonlyUsedAmongPeers
- CountryUncommonly 連線 edFromInTenant
- ISPUncommonlyUsedInTenant
使用使用者和實體行為分析活頁簿中找到的數據,判斷用戶活動是否可疑,而且需要進一步的動作。
使用 UEBA 數據來分析誤判
有時候,在調查中擷取的事件是誤判的。
常見的誤判範例是偵測到不可能的旅行活動時,例如在同一小時內從紐約和倫敦登入應用程式或入口網站的使用者。 雖然 Microsoft Sentinel 將不可能的旅行視為異常,但與使用者的調查可能會釐清 VPN 與用戶實際所在的替代位置搭配使用。
分析誤判
例如,針對 不可能的移動 事件,在向使用者確認已使用 VPN 之後,從事件流覽至使用者實體頁面。 使用顯示於該處的數據來判斷所擷取的位置是否包含在使用者常用的位置。
例如:
提示
確認與事件相關聯之特定使用者的用戶實體頁面上的數據之後,請移至 Microsoft Sentinel 搜捕 區域,以了解使用者的對等是否通常也從相同的位置連線。 如果是的話,這項知識會讓誤判成為更強大的案例。
在搜 捕 區域中,執行 異常地理位置登入 查詢。 如需詳細資訊,請參閱使用 Microsoft Sentinel 搜捕威脅。
在分析規則內嵌 IdentityInfo 資料 (公開預覽)
當攻擊者經常使用組織自己的使用者和服務帳戶時,這些使用者帳戶的相關數據,包括使用者識別和許可權,對於分析人員在調查過程中至關重要。
從 IdentityInfo 數據表 內嵌數據,以微調分析規則以符合您的使用案例、減少誤判,並可能加速調查程式。
例如:
若要將安全性事件與 IdentityInfo 數據表相互關聯,如果 IT 部門外部有人存取伺服器,就會觸發警示:
SecurityEvent | where EventID in ("4624","4672") | where Computer == "My.High.Value.Asset" | join kind=inner ( IdentityInfo | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID | where Department != "IT"若要將 Microsoft Entra 登入記錄與 IdentityInfo 數據表相互關聯,如果應用程式是由不是特定安全組成員的人員存取,就會觸發此警示:
SigninLogs | where AppDisplayName == "GithHub.Com" | join kind=inner ( IdentityInfo | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId | where GroupMembership !contains "Developers"
IdentityInfo 數據表會與您的 Microsoft Entra 工作區同步,以建立使用者配置檔數據的快照集,例如使用者元數據、群組資訊和指派給每個使用者的 Microsoft Entra 角色。 如需詳細資訊,請參閱 UEBA 擴充參考中的 IdentityInfo 數據表 。
識別密碼噴洒和魚叉式網路釣魚嘗試
若未啟用多重要素驗證 (MFA),用戶認證就很容易受到攻擊者攻擊,而攻擊者會透過密碼噴灑或魚叉式網路釣魚嘗試來入侵攻擊。
使用 UEBA 深入解析調查密碼噴灑事件
例如,若要使用 UEBA 深入解析調查密碼噴灑事件,您可以執行下列動作以深入瞭解:
在事件中,選取左下角的 [調查 ] 以檢視可能以攻擊為目標的帳戶、計算機和其他數據點。
瀏覽數據時,您可能會看到具有相對大量登入失敗的系統管理員帳戶。 雖然這是可疑的,但您可能不想在沒有進一步確認的情況下限制帳戶。
選取地圖中的系統管理用戶實體,然後在右側選取 [深入解析 ],以尋找更多詳細數據,例如一段時間的登入圖表。
選取 右側的 [資訊 ],然後選取 [檢視完整詳細數據 ] 以跳至 用戶實體頁面 以進一步向下切入。
例如,請注意這是否為使用者的第一個潛在密碼噴灑事件,或監看使用者的登入歷程記錄,以了解失敗是否異常。
提示
您也可以執行 異常失敗的登入搜捕查詢 ,以監視組織的所有異常失敗登入。 使用查詢的結果,開始調查可能的密碼噴洒攻擊。
URL 引爆 (公開預覽)
當記錄中有 URL 內嵌至 Microsoft Sentinel 時,這些 URL 會自動引爆,以協助加速分級程式。
調查圖表包含引爆 URL 的節點,以及下列詳細數據:
- 引爆。 高階布爾值從引爆的決心。 例如, Bad 表示該端已分類為裝載惡意代碼或網路釣魚內容。
- 引爆FinalURL。 最後觀察到登陸頁面 URL 之後,會從原始 URL 重新導向。
- 引爆螢幕快照。 頁面在觸發警示時的外觀螢幕快照。 選取螢幕快照以放大。
例如:
提示
如果您在記錄中看不到 URL,請檢查是否已啟用安全 Web 閘道、Web Proxy、防火牆或舊版 IDS/IPS 的 URL 記錄,也稱為威脅記錄。
您也可以建立自定義記錄,以將感興趣的特定 URL 傳送至 Microsoft Sentinel 以進一步調查。
下一步
深入瞭解 UEBA、調查和搜捕: