Referência do Microsoft Sentinel UEBA
Este artigo de referência lista as fontes de dados de entrada para o serviço User and Entity Behavior Analytics no Microsoft Sentinel. Também descreve os enriquecimentos que a UEBA acrescenta às entidades, fornecendo o contexto necessário para alertas e incidentes.
Importante
O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Fontes de dados da UEBA
Essas são as fontes de dados a partir das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA analisa os dados dessas fontes para encontrar anomalias e obter insights.
| Data source | evento |
|---|---|
| Microsoft Entra ID Registos de início de sessão |
Todos |
| Microsoft Entra ID Registos de auditoria |
Gestão de Aplicações Gestão de Diretórios Gestão de Grupos Dispositivo Gestão de Funções UserManagementCategory |
| Logs de atividade do Azure | Autorização AzureActiveDirectory Faturação Computação Consumo KeyVault Dispositivos Rede Recursos Intune Lógica Sql Armazenamento |
| Eventos de segurança do Windows WindowsEvent ou SecurityEvent |
4624: Uma conta foi iniciada com êxito 4625: Falha ao iniciar sessão numa conta 4648: Foi tentado um logon usando credenciais explícitas 4672: Privilégios especiais atribuídos ao novo logon 4688: Um novo processo foi criado |
Melhoramentos da UEBA
Esta seção descreve os enriquecimentos que a UEBA adiciona às entidades do Microsoft Sentinel, juntamente com todos os seus detalhes, que você pode usar para focar e aprimorar suas investigações de incidentes de segurança. Esses enriquecimentos são exibidos em páginas de entidades e podem ser encontrados nas seguintes tabelas do Log Analytics, cujo conteúdo e esquema estão listados abaixo:
A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.
Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção de campos dinâmicos de enriquecimento de entidade abaixo.
Os campos UsersInsights e DevicesInsights contêm informações de entidade de fontes do Ative Directory / Microsoft Entra ID e Microsoft Threat Intelligence.
O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise de comportamento de entidade do Microsoft Sentinel.
As atividades do usuário são analisadas em relação a uma linha de base que é compilada dinamicamente cada vez que é usada. Cada atividade tem seu período de retrospetiva definido a partir do qual a linha de base dinâmica é derivada. O período de retrospetiva é especificado na coluna Linha de base nesta tabela.
A tabela IdentityInfo é onde as informações de identidade sincronizadas com o UEBA a partir do Microsoft Entra ID (e do Ative Directory local por meio do Microsoft Defender for Identity) são armazenadas.
Tabela BehaviorAnalytics
A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Sentinel.
| Campo | Tipo | Description |
|---|---|---|
| Identificação do locatário | cadeia | O número de ID exclusivo do locatário. |
| SourceRecordId | string | O número de identificação exclusivo do evento da EBA. |
| TimeGenerated | datetime | O carimbo de data/hora da ocorrência da atividade. |
| TempoProcessado | datetime | O carimbo de data/hora do processamento da atividade pelo mecanismo da EBA. |
| Tipo de atividade | string | A categoria de alto nível da atividade. |
| Tipo de ação | string | O nome normalizado da atividade. |
| UserName | string | O nome de usuário do usuário que iniciou a atividade. |
| UserPrincipalName | string | O nome de usuário completo do usuário que iniciou a atividade. |
| Fonte de eventos | string | A fonte de dados que forneceu o evento original. |
| FonteIPAddress | string | O endereço IP a partir do qual a atividade foi iniciada. |
| FonteIPLocation | string | O país a partir do qual a atividade foi iniciada, enriquecido a partir do endereço IP. |
| SourceDevice | string | O nome do host do dispositivo que iniciou a atividade. |
| DestinationIPAddress | string | O endereço IP do alvo da atividade. |
| DestinationIPLocation | string | O país do alvo da atividade, enriquecido a partir do endereço IP. |
| DestinationDevice | string | O nome do dispositivo de destino. |
| UsersInsights | dynamic | Os enriquecimentos contextuais dos utilizadores envolvidos (detalhes abaixo). |
| DispositivosInsights | dynamic | O enriquecimento contextual dos dispositivos envolvidos (detalhes abaixo). |
| ActivityInsights | dynamic | A análise contextual da atividade com base no nosso perfil (detalhes abaixo). |
| InvestigaçãoPrioridade | número inteiro | O escore de anomalia, entre 0-10 (0=benigno, 10=altamente anômalo). |
Campos dinâmicos de enriquecimento de entidades
Nota
A coluna Nome do enriquecimento nas tabelas desta seção exibe duas linhas de informações.
- O primeiro, em negrito, é o "nome amigo" do enriquecimento.
- O segundo (em itálico e parênteses) é o nome do campo do enriquecimento conforme armazenado na tabela do Behavior Analytics.
Campo UsersInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico UsersInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valores de exemplo |
|---|---|---|
| Nome de exibição da conta (AccountDisplayName) |
O nome de exibição da conta do usuário. | Administrador, Hayden Cook |
| Domínio da conta (AccountDomain) |
O nome de domínio da conta do usuário. | |
| ID do objeto da conta (AccountObjectID) |
O ID do objeto de conta do usuário. | A58DF659-5CAB-446C-9DD0-5A3AF20CE1C2 |
| Raio de explosão (BlastRadius) |
O raio de explosão é calculado com base em vários fatores: a posição do usuário na árvore organizacional e as funções e permissões do Microsoft Entra do usuário. O usuário deve ter a propriedade Manager preenchida no Microsoft Entra ID para que o BlastRadius seja calculado. | Baixo, Médio, Alto |
| A conta está inativa (IsDormantAccount) |
A conta não é usada há 180 dias. | True, False |
| É administrador local (IsLocalAdmin) |
A conta tem privilégios de administrador local. | True, False |
| É nova conta (IsNewAccount) |
A conta foi criada nos últimos 30 dias. | True, False |
| SID local (OnPremisesSID) |
O SID local do usuário relacionado à ação. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Description | Valores de exemplo |
|---|---|---|
| Browser (Navegador) |
O navegador usado na ação. | Borda, cromado |
| Família de dispositivos (Família Device) |
A família de dispositivos usada na ação. | Windows |
| Tipo de dispositivo (DeviceType) |
O tipo de dispositivo cliente usado na ação | Ambiente de Trabalho |
| ISP (ISP) |
O fornecedor de acesso à Internet utilizado na ação. | |
| Sistema Operativo (Sistema Operacional) |
O sistema operacional usado na ação. | Windows 10 |
| Descrição do indicador de informações sobre ameaças (ThreatIntelIndicatorDescription) |
Descrição do indicador de ameaça observada resolvido a partir do endereço IP usado na ação. | O anfitrião é membro da botnet: azorult |
| Tipo de indicador de informação de ameaça (ThreatIntelIndicatorType) |
O tipo do indicador de ameaça resolvido a partir do endereço IP usado na ação. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, API, Lista de observação |
| Agente de usuário (UserAgent) |
O agente de usuário usado na ação. | Biblioteca de Cliente do Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Família de agentes de usuário (Família UserAgent) |
A família de agentes de usuário usada na ação. | Chrome, Edge, Firefox |
Campo ActivityInsights
As tabelas a seguir descrevem os enriquecimentos apresentados no campo dinâmico do ActivityInsights na tabela do BehaviorAnalytics:
Ação executada
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Ação executada pela primeira vez pelo usuário (FirstTimeUserPerformedAction) |
180 | A ação foi realizada pela primeira vez pelo usuário. | True, False |
| Ação raramente executada pelo usuário (AçãoUncommonlyPerformedByUser) |
10 | A ação não é comumente executada pelo usuário. | True, False |
| Ação raramente executada entre pares (AçãoRaramente ExecutadaEntrePares) |
180 | A ação não é comumente executada entre os pares do usuário. | True, False |
| Primeira ação executada no locatário (FirstTimeActionPerformedInTenant) |
180 | A ação foi realizada pela primeira vez por alguém da organização. | True, False |
| Ação raramente executada no locatário (AçãoUncommonlyPerformedInTenant) |
180 | A ação não é comumente executada na organização. | True, False |
Aplicação utilizada
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Aplicativo usado pela primeira vez pelo usuário (FirstTimeUserUsedApp) |
180 | O aplicativo foi usado pela primeira vez pelo usuário. | True, False |
| Aplicação pouco utilizada pelo utilizador (AppUncommonlyUsedByUser) |
10 | O aplicativo não é comumente usado pelo usuário. | True, False |
| Aplicativo pouco usado entre pares (AppUncommonlyUsedAmongPeers) |
180 | O aplicativo não é comumente usado entre os pares do usuário. | True, False |
| Aplicativo pela primeira vez observado no locatário (FirstTimeAppObservedInTenant) |
180 | O aplicativo foi observado pela primeira vez na organização. | True, False |
| Aplicativo pouco usado em locatários (AppUncommonlyUsedInTenant) |
180 | O aplicativo não é comumente usado na organização. | True, False |
Navegador usado
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Usuário pela primeira vez conectado via navegador (FirstTimeUserConnectedViaBrowser) |
30 | O navegador foi observado pela primeira vez pelo usuário. | True, False |
| Navegador pouco utilizado pelo utilizador (BrowserUncommonlyUsedByUser) |
10 | O navegador não é comumente usado pelo usuário. | True, False |
| Navegador pouco usado entre pares (BrowserUncommonlyUsedAmongPeers) |
30 | O navegador não é comumente usado entre os pares do usuário. | True, False |
| Navegador pela primeira vez observado no inquilino (FirstTimeBrowserObservedInTenant) |
30 | O navegador foi observado pela primeira vez na organização. | True, False |
| Navegador pouco utilizado em inquilinos (BrowserUncommonlyUsedInTenant) |
30 | O navegador não é comumente usado na organização. | True, False |
País conectado a partir de
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Utilizador pela primeira vez ligado a partir do país (FirstTimeUserConnectedFromCountry) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, foi conectada pela primeira vez pelo usuário. | True, False |
| País invulgarmente ligado a partir de por utilizador (PaísUncommonlyConnectedFromByUser) |
10 | A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada pelo usuário. | True, False |
| País incomumente conectado entre pares (PaísIncomumConectadoDeAmongPeers) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada entre os pares do usuário. | True, False |
| Primeira conexão do país observada no inquilino (FirstTimeConnectionFromCountryObservedInTenant) |
90 | O país foi conectado pela primeira vez por alguém na organização. | True, False |
| País incomumente conectado a partir de inquilino (PaísUncommonlyConnectedFromInTenant) |
90 | A localização geográfica, conforme resolvido a partir do endereço IP, não é normalmente conectada a partir da organização. | True, False |
Dispositivo utilizado para ligar
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Utilizador pela primeira vez ligado a partir do dispositivo (FirstTimeUserConnectedFromDevice) |
30 | O dispositivo de origem foi conectado pela primeira vez pelo usuário. | True, False |
| Dispositivo usado incomumente pelo usuário (DeviceUncommonlyUsedByUser) |
10 | O dispositivo não é comumente usado pelo usuário. | True, False |
| Dispositivo pouco usado entre pares (DispositivoIncomumUsadoAmongPeers) |
180 | O dispositivo não é comumente usado entre os pares do usuário. | True, False |
| Dispositivo pela primeira vez observado no inquilino (FirstTimeDeviceObservedInTenant) |
30 | O dispositivo foi observado pela primeira vez na organização. | True, False |
| Dispositivo pouco utilizado no inquilino (DeviceUncommonlyUsedInTenant) |
180 | O dispositivo não é comumente usado na organização. | True, False |
Outros dispositivos relacionados
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Utilizador pela primeira vez com sessão iniciada no dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | O dispositivo de destino foi conectado pela primeira vez pelo usuário. | True, False |
| Família de dispositivos pouco utilizada no inquilino (DeviceFamilyUncommonlyUsedInTenant) |
30 | A família de dispositivos não é comumente usada na organização. | True, False |
Provedor de serviços de Internet usado para se conectar
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Usuário pela primeira vez conectado via ISP (FirstTimeUserConnectedViaISP) |
30 | O ISP foi observado pela primeira vez pelo usuário. | True, False |
| ISP pouco utilizado pelo utilizador (ISPUncommonlyUsedByUser) |
10 | O ISP não é comumente usado pelo usuário. | True, False |
| ISP pouco usado entre pares (ISPUncommonlyUsedAmongPeers) |
30 | O ISP não é comumente usado entre os pares do usuário. | True, False |
| Primeira conexão via ISP no locatário (FirstTimeConnectionViaISPInTenant) |
30 | O ISP foi observado pela primeira vez na organização. | True, False |
| ISP pouco utilizado em inquilinos (ISPUncommonlyUsedInTenant) |
30 | O ISP não é comumente usado na organização. | True, False |
Recurso acedido
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Recurso acessado pelo usuário pela primeira vez (FirstTimeUserAccessedResource) |
180 | O recurso foi acessado pela primeira vez pelo usuário. | True, False |
| Recurso raramente acessado pelo usuário (ResourceUncommonlyAccessedByUser) |
10 | O recurso não é comumente acessado pelo usuário. | True, False |
| Recurso raramente acessado entre pares (RecursoIncomumAcessadoAmongPeers) |
180 | O recurso não é comumente acessado entre os pares do usuário. | True, False |
| Recurso acessado pela primeira vez no locatário (FirstTimeResourceAccessedInTenant) |
180 | O recurso foi acessado pela primeira vez por qualquer pessoa da organização. | True, False |
| Recurso raramente acessado no locatário (ResourceUncommonlyAccessedInTenant) |
180 | O recurso não é comumente acessado na organização. | True, False |
Diversos
| Nome do enriquecimento | Início do estudo (dias) | Description | Valores de exemplo |
|---|---|---|---|
| Última ação executada pelo usuário (LastTimeUserPerformedAction) |
180 | Última vez que o usuário executou a mesma ação. | <Carimbo de data/hora> |
| Ação semelhante não foi realizada no passado (SimilarActionWasn'tPerformedInThePast) |
30 | Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. | True, False |
| Localização do IP de origem (FonteIPLocation) |
N/D | O país resolveu a partir do IP de origem da ação. | [Surrey, Inglaterra] |
| Elevado volume de operações pouco frequente (IncomumHighVolumeOfOperations) |
7 | Um usuário executou uma explosão de operações semelhantes dentro do mesmo provedor | True, False |
| Número incomum de falhas de acesso condicional do Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Um número incomum de usuários não conseguiu autenticar devido ao acesso condicional | True, False |
| Número incomum de dispositivos adicionados (UnusualNumberOfDevicesAdded) |
5 | Um usuário adicionou um número incomum de dispositivos. | True, False |
| Número incomum de dispositivos excluídos (UnusualNumberOfDevicesDeleted) |
5 | Um usuário excluiu um número incomum de dispositivos. | True, False |
| Número incomum de usuários adicionados ao grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Um usuário adicionou um número incomum de usuários a um grupo. | True, False |
Tabela IdentityInfo
Depois de habilitar o UEBA para seu espaço de trabalho do Microsoft Sentinel, os dados da sua ID do Microsoft Entra são sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel. Você pode incorporar dados do usuário sincronizados a partir de sua ID do Microsoft Entra em suas regras de análise para aprimorar suas análises para se adequar aos seus casos de uso e reduzir falsos positivos.
Embora a sincronização inicial possa levar alguns dias, uma vez que os dados estão totalmente sincronizados:
As alterações feitas em seus perfis de usuário, grupos e funções no ID do Microsoft Entra são atualizadas na tabela IdentityInfo dentro de 15 a 30 minutos.
A cada 14 dias, o Microsoft Sentinel sincroniza novamente com toda a sua ID do Microsoft Entra para garantir que os registros obsoletos sejam totalmente atualizados.
O tempo de retenção padrão na tabela IdentityInfo é de 30 dias.
Limitações
Atualmente, apenas funções internas são suportadas.
Os dados sobre grupos excluídos, nos quais um usuário foi removido de um grupo, não são suportados no momento.
Versões da tabela IdentityInfo
Na verdade, existem duas versões da tabela IdentityInfo :
- A versão do esquema do Log Analytics serve o Microsoft Sentinel no portal do Azure.
- A versão do esquema de caça avançada serve o Microsoft Sentinel no portal do Microsoft Defender através do Microsoft Defender for Identity.
Ambas as versões desta tabela são alimentadas pelo ID do Microsoft Entra, mas a versão do Log Analytics adicionou alguns campos.
A plataforma unificada de operações de segurança, estando no portal Defender, utiliza a versão de caça avançada desta tabela. Para minimizar as diferenças entre as duas versões da tabela, a maioria dos campos exclusivos na versão do Log Analytics também está sendo adicionada gradualmente à versão de caça avançada. Independentemente de qual portal você estiver usando o Microsoft Sentinel, você terá acesso a quase todas as mesmas informações, embora possa haver um pequeno intervalo de tempo na sincronização entre as versões. Para obter mais informações, consulte a documentação da versão de caça avançada desta tabela.
A tabela a seguir descreve os dados de identidade do usuário incluídos na tabela IdentityInfo no Log Analytics no portal do Azure. A quarta coluna mostra os campos correspondentes na versão de caça avançada da tabela, que o Microsoft Sentinel usa no portal do Defender. Os nomes de campo em negrito são nomeados de forma diferente no esquema de caça avançada do que na versão do Microsoft Sentinel Log Analytics.
| Nome do campo em Esquema do Log Analytics |
Tipo | Description | Nome do campo em Esquema de caça avançado |
|---|---|---|---|
| AccountCloudSID | string | O identificador de segurança Microsoft Entra da conta. | CloudSid |
| AccountCreationTime | datetime | A data em que a conta de utilizador foi criada (UTC). | CreatedDateTime |
| AccountDisplayName | string | O nome para exibição da conta de usuário. | AccountDisplayName |
| AccountDomain | string | O nome de domínio da conta de usuário. | AccountDomain |
| Nome da Conta | string | O nome de usuário da conta de usuário. | AccountName |
| AccountObjectId | string | A ID do objeto Microsoft Entra para a conta de usuário. | AccountObjectId |
| AccountSID | string | O identificador de segurança local da conta de usuário. | AccountSID |
| AccountTenantId | string | A ID de locatário do Microsoft Entra da conta de usuário. | -- |
| ContaUPN | string | O nome principal do usuário da conta de usuário. | ContaUPN |
| Endereços de correio adicionais | dynamic | Os endereços de e-mail adicionais do usuário. | -- |
| AssignedRoles | dynamic | As funções do Microsoft Entra às quais a conta de usuário é atribuída. | AssignedRoles |
| Raio de Explosão | string | Um cálculo baseado na posição do usuário na árvore organizacional e nas funções e permissões do Microsoft Entra do usuário. Valores possíveis: Baixo, Médio, Alto |
-- |
| Fonte de mudança | string | A origem da última alteração na entidade. Valores possíveis: |
Fonte de mudança |
| CompanyName | O nome da empresa à qual o usuário pertence. | -- | |
| Localidade | string | A cidade da conta de utilizador. | City |
| País | string | O país da conta de utilizador. | País |
| DeletedDateTime | datetime | A data e a hora em que o usuário foi excluído. | -- |
| Departamento | string | O departamento da conta de usuário. | Departamento |
| Nome Dado | string | O nome próprio da conta de utilizador. | GivenName |
| GrupoMembership | dynamic | Grupos do Microsoft Entra onde a conta de usuário é membro. | -- |
| IsAccountEnabled | booleano | Uma indicação sobre se a conta de usuário está habilitada no Microsoft Entra ID ou não. | IsAccountEnabled |
| JobTitle | string | O título do trabalho da conta de usuário. | JobTitle |
| Endereço de correio | string | O endereço de e-mail principal da conta de usuário. | EmailAddress |
| Gestor | string | O alias de gerente da conta de usuário. | Gestor |
| OnPremisesDistinguishedName | string | O nome distinto (DN) do Microsoft Entra ID. Um nome distinto é uma sequência de nomes distintos relativos (RDN), ligados por vírgulas. | DistinguishedName |
| Telefone | string | O número de telefone da conta de usuário. | Telemóvel |
| SourceSystem [en] | string | O sistema onde o usuário é gerenciado. Valores possíveis: |
SourceProvider |
| Distrito | string | O estado geográfico da conta de usuário. | Estado |
| Endereço | string | O endereço do escritório da conta de usuário. | Endereço |
| Apelido | string | O apelido do utilizador. de serviço. | Apelido |
| Identificação do locatário | cadeia | O ID do locatário do usuário. | -- |
| TimeGenerated | datetime | A hora em que o evento foi gerado (UTC). | Carimbo de data/hora |
| Tipo | string | O nome da tabela. | -- |
| UserAccountControl | dynamic | Atributos de segurança da conta de utilizador no domínio AD. Valores possíveis (podem conter mais de um): |
-- |
| Estado do usuário | string | O estado atual da conta de usuário no Microsoft Entra ID. Valores possíveis: |
-- |
| UserStateChangedOn | datetime | A data da última vez que o estado da conta foi alterado (UTC). | -- |
| Tipo de usuário | string | O tipo de usuário. | -- |
Próximos passos
Este documento descreveu o esquema da tabela de análise de comportamento de entidade do Microsoft Sentinel.
- Saiba mais sobre a análise do comportamento da entidade.
- Habilite o UEBA no Microsoft Sentinel.
- Coloque a UEBA para usar em suas investigações.