Microsoft Sentinel UEBA-referens
I den här referensartikeln visas indatakällorna för tjänsten Användar- och entitetsbeteendeanalys i Microsoft Sentinel. Den beskriver också de berikningar som UEBA lägger till i entiteter, vilket ger nödvändig kontext till aviseringar och incidenter.
Viktigt!
Microsoft Sentinel är allmänt tillgängligt på Microsofts plattform för enhetliga säkerhetsåtgärder i Microsoft Defender-portalen. För förhandsversion är Microsoft Sentinel tillgängligt i Defender-portalen utan Microsoft Defender XDR eller en E5-licens. Mer information finns i Microsoft Sentinel i Microsoft Defender-portalen.
UEBA-datakällor
Det här är de datakällor som UEBA-motorn samlar in och analyserar data från för att träna sina ML-modeller och ange beteendebaslinjer för användare, enheter och andra entiteter. UEBA tittar sedan på data från dessa källor för att hitta avvikelser och få insikter.
| Data source | Händelser |
|---|---|
| Microsoft Entra ID Inloggningsloggar |
Alla |
| Microsoft Entra ID Granskningsloggar |
ApplicationManagement DirectoryManagement GroupManagement Enhet RoleManagement UserManagementCategory |
| Azure-aktivitetsloggar | Auktorisering AzureActiveDirectory Fakturering Compute Förbrukning KeyVault Enheter Nätverk Resurser Intune Logik SQL Storage |
| Windows-säkerhet händelser WindowsEvent eller SecurityEvent |
4624: Ett konto har loggats in 4625: Det gick inte att logga in på ett konto 4648: Ett inloggningsförsök gjordes med explicita autentiseringsuppgifter 4672: Särskilda privilegier som tilldelats ny inloggning 4688: En ny process har skapats |
UEBA-berikande
I det här avsnittet beskrivs de berikningar som UEBA lägger till i Microsoft Sentinel-entiteter, tillsammans med all deras information, som du kan använda för att fokusera och vässa dina säkerhetsincidentutredningar. Dessa berikanden visas på entitetssidor och finns i följande Log Analytics-tabeller, vars innehåll och schema visas nedan:
Tabellen BehaviorAnalytics är den plats där UEBA:s utdatainformation lagras.
Följande tre dynamiska fält från tabellen BehaviorAnalytics beskrivs i avsnittet dynamiska fält för entitetsberikningar nedan.
Fälten UsersInsights och DevicesInsights innehåller entitetsinformation från Active Directory/Microsoft Entra ID och Microsoft Threat Intelligence-källor.
Fältet ActivityInsights innehåller entitetsinformation baserat på de beteendeprofiler som skapats av Microsoft Sentinels entitetsbeteendeanalys.
Användaraktiviteter analyseras mot en baslinje som kompileras dynamiskt varje gång den används. Varje aktivitet har sin definierade återblicksperiod som den dynamiska baslinjen härleds från. Återställningsperioden anges i kolumnen Originalplan i den här tabellen.
I tabellen IdentityInfo lagras identitetsinformation som synkroniserats med UEBA från Microsoft Entra-ID (och från lokal Active Directory via Microsoft Defender för identitet).
BehaviorAnalytics-tabell
I följande tabell beskrivs beteendeanalysdata som visas på varje entitetsinformationssida i Microsoft Sentinel.
| Fält | Type | Beskrivning |
|---|---|---|
| TenantId | sträng | Klientorganisationens unika ID-nummer. |
| SourceRecordId | sträng | Det unika ID-numret för EBA-händelsen. |
| TimeGenerated | datetime | Tidsstämpeln för aktivitetens förekomst. |
| TimeProcessed | datetime | Tidsstämpeln för aktivitetens bearbetning av EBA-motorn. |
| ActivityType | sträng | Högnivåkategorin för aktiviteten. |
| ActionType | sträng | Det normaliserade namnet på aktiviteten. |
| UserName | sträng | Användarnamnet för användaren som initierade aktiviteten. |
| UserPrincipalName | sträng | Det fullständiga användarnamnet för den användare som initierade aktiviteten. |
| EventSource | sträng | Datakällan som tillhandahöll den ursprungliga händelsen. |
| SourceIPAddress | sträng | IP-adressen som aktiviteten initierades från. |
| SourceIPLocation | sträng | Det land/den region från vilken aktiviteten initierades, berikad från IP-adressen. |
| SourceDevice | sträng | Värdnamnet för den enhet som initierade aktiviteten. |
| DestinationIPAddress | sträng | IP-adressen för aktivitetens mål. |
| DestinationIPLocation | sträng | Land/region för målet för aktiviteten, berikad från IP-adress. |
| DestinationEnhet | sträng | Namnet på målenheten. |
| UsersInsights | dynamisk | De berörda användarnas kontextbaserade berikanden (information nedan). |
| DevicesInsights | dynamisk | De kontextuella berikandena av berörda enheter (information nedan). |
| ActivityInsights | dynamisk | Kontextanalys av aktivitet baserat på vår profilering (information nedan). |
| InvestigationPriority | heltal | Avvikelsepoängen, mellan 0–10 (0=godartad, 10=mycket avvikande). |
Dynamiska fält för entitetsberikningar
Kommentar
Kolumnen Berikningsnamn i tabellerna i det här avsnittet visar två rader med information.
- Den första, i fetstil, är det "vänliga namnet" på berikningen.
- Den andra (i kursiv stil och parenteser) är fältnamnet för berikningen som lagras i tabellen Beteendeanalys.
Fältet UsersInsights
I följande tabell beskrivs berikandena i fältet AnvändareInsights dynamiskt i tabellen BehaviorAnalytics:
| Berikningsnamn | beskrivning | Exempelvärde |
|---|---|---|
| Kontovisningsnamn (AccountDisplayName) |
Användarens visningsnamn för kontot. | Administratör, Hayden Cook |
| Kontodomän (AccountDomain) |
Användarens kontodomännamn. | |
| Kontoobjekt-ID (AccountObjectID) |
Användarens kontoobjekt-ID. | aaaaaaaaaa-0000-1111-2222-bbbbbbbbbbbbbb |
| Sprängradie (BlastRadius) |
Explosionsradien beräknas baserat på flera faktorer: användarens position i organisationsträdet och användarens Microsoft Entra-roller och -behörigheter. Användaren måste ha Manager-egenskapen ifylld i Microsoft Entra-ID för att BlastRadius ska kunna beräknas. | Låg, medelhög, hög |
| Är vilande konto (IsDormantAccount) |
Kontot har inte använts under de senaste 180 dagarna. | Sant, Falskt |
| Är lokal administratör (IsLocalAdmin) |
Kontot har lokal administratörsbehörighet. | Sant, Falskt |
| Är nytt konto (IsNewAccount) |
Kontot har skapats under de senaste 30 dagarna. | Sant, Falskt |
| Lokalt SID (OnPremisesSID) |
Det lokala SID för användaren som är relaterad till åtgärden. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Fältet DevicesInsights
I följande tabell beskrivs berikandena i fältet EnheterInsights dynamiskt i tabellen BehaviorAnalytics:
| Berikningsnamn | beskrivning | Exempelvärde |
|---|---|---|
| Webbläsare (Webbläsare) |
Webbläsaren som används i åtgärden. | Edge, Chrome |
| Enhetsfamilj (DeviceFamily) |
Enhetsfamiljen som användes i åtgärden. | Windows |
| Enhetstyp (DeviceType) |
Den klientenhetstyp som används i åtgärden | Skrivbord |
| INTERNETLEVERANTÖR (ISP) |
Internetleverantören som används i åtgärden. | |
| Operativsystem (OperatingSystem) |
Operativsystemet som används i åtgärden. | Windows 10 |
| Beskrivning av hotinformationsindikator (ThreatIntelIndicatorDescription) |
Beskrivning av den observerade hotindikatorn som matchas från DEN IP-adress som användes i åtgärden. | Värden är medlem i botnet: azorult |
| Indikatortyp för hotinformation (ThreatIntelIndicatorType) |
Typen av hotindikator som matchas från DEN IP-adress som användes i åtgärden. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Användaragent (UserAgent) |
Användaragenten som användes i åtgärden. | Microsoft Azure Graph-klientbibliotek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Användaragentfamilj (UserAgentFamily) |
Användaragentfamiljen som används i åtgärden. | Chrome, Edge, Firefox |
Fältet ActivityInsights
I följande tabeller beskrivs berikandena i det dynamiska fältet ActivityInsights i tabellen BehaviorAnalytics:
Åtgärd som utförts
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren utförde åtgärden (FirstTimeUserPerformedAction) |
180 | Åtgärden utfördes för första gången av användaren. | Sant, Falskt |
| Åtgärd som utförs ovanligt av användaren (ActionUncommonlyPerformedByUser) |
10 | Åtgärden utförs inte ofta av användaren. | Sant, Falskt |
| Åtgärd som utförs ovanligt bland peer-datorer (ActionUncommonlyPerformedAmongPeers) |
180 | Åtgärden utförs inte vanligtvis bland användarens peer-datorer. | Sant, Falskt |
| Första gången åtgärden utförs i klientorganisationen (FirstTimeActionPerformedInTenant) |
180 | Åtgärden utfördes för första gången av någon i organisationen. | Sant, Falskt |
| Åtgärd som utförs ovanligt i klientorganisationen (ActionUncommonlyPerformedInTenant) |
180 | Åtgärden utförs inte ofta i organisationen. | Sant, Falskt |
App som används
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren använde appen (FirstTimeUserUsedApp) |
180 | Appen användes för första gången av användaren. | Sant, Falskt |
| App som används ovanligt av användaren (AppUncommonlyUsedByUser) |
10 | Appen används inte ofta av användaren. | Sant, Falskt |
| App som används ovanligt bland peer-datorer (AppUncommonlyUsedAmongPeers) |
180 | Appen används inte ofta bland användarens peer-datorer. | Sant, Falskt |
| Första gången appen observeras i klientorganisationen (FirstTimeAppObservedInTenant) |
180 | Appen observerades för första gången i organisationen. | Sant, Falskt |
| Appen används ovanligt i klientorganisationen (AppUncommonlyUsedInTenant) |
180 | Appen används inte ofta i organisationen. | Sant, Falskt |
Webbläsare som används
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren ansluter via webbläsare (FirstTimeUserConnectedViaBrowser) |
30 | Webbläsaren observerades för första gången av användaren. | Sant, Falskt |
| Webbläsare används ovanligt av användaren (BrowserUncommonlyUsedByUser) |
10 | Webbläsaren används inte ofta av användaren. | Sant, Falskt |
| Webbläsare används ovanligt bland peer-datorer (BrowserUncommonlyUsedAmongPeers) |
30 | Webbläsaren används inte ofta bland användarens peer-datorer. | Sant, Falskt |
| Första gången webbläsaren observeras i klientorganisationen (FirstTimeBrowserObservedInTenant) |
30 | Webbläsaren observerades för första gången i organisationen. | Sant, Falskt |
| Webbläsare används ovanligt i klientorganisationen (BrowserUncommonlyUsedInTenant) |
30 | Webbläsaren används inte ofta i organisationen. | Sant, Falskt |
Land/region som är ansluten från
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren ansluter från landet (FirstTimeUserConnectedFromCountry) |
90 | Den geo-plats som löstes från IP-adressen anslöts från för första gången av användaren. | Sant, Falskt |
| Land som är ovanligt anslutet från av användare (CountryUncommonlyConnectedFromByUser) |
10 | Den geo-plats som matchas från IP-adressen är inte vanligtvis ansluten från av användaren. | Sant, Falskt |
| Land som är ovanligt sammankopplat bland peer-datorer (CountryUncommonlyConnectedFromAmongPeers) |
90 | Den geo-plats som matchas från IP-adressen är inte vanligtvis ansluten från användarens peer-datorer. | Sant, Falskt |
| Första gången anslutningen från landet observeras i klientorganisationen (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Landet/regionen anslöts från för första gången av någon i organisationen. | Sant, Falskt |
| Land som är ovanligt anslutet från en klientorganisation (CountryUncommonlyConnectedFromInTenant) |
90 | Den geo-plats som matchas från IP-adressen är inte vanligen ansluten från i organisationen. | Sant, Falskt |
Enhet som används för att ansluta
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren ansluter från enheten (FirstTimeUserConnectedFromDevice) |
30 | Källenheten anslöts från för första gången av användaren. | Sant, Falskt |
| Enheten används ovanligt av användaren (DeviceUncommonlyUsedByUser) |
10 | Enheten används inte ofta av användaren. | Sant, Falskt |
| Enheten används ovanligt bland peer-datorer (DeviceUncommonlyUsedAmongPeers) |
180 | Enheten används inte ofta bland användarens peer-datorer. | Sant, Falskt |
| Första gången enheten observerades i klientorganisationen (FirstTimeDeviceObservedInTenant) |
30 | Enheten observerades för första gången i organisationen. | Sant, Falskt |
| Enheten används ovanligt i klientorganisationen (DeviceUncommonlyUsedInTenant) |
180 | Enheten används inte ofta i organisationen. | Sant, Falskt |
Andra enhetsrelaterade
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren loggade in på enheten (FirstTimeUserLoggedOnToDevice) |
180 | Målenheten anslöts till för första gången av användaren. | Sant, Falskt |
| Enhetsfamilj används ovanligt i klientorganisationen (DeviceFamilyUncommonlyUsedInTenant) |
30 | Enhetsfamiljen används inte ofta i organisationen. | Sant, Falskt |
Internettjänstleverantör som används för att ansluta
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren ansluter via ISP (FirstTimeUserConnectedViaISP) |
30 | Isp observerades för första gången av användaren. | Sant, Falskt |
| ISP används ovanligt av användaren (ISPUncommonlyUsedByUser) |
10 | Isp används inte ofta av användaren. | Sant, Falskt |
| ISP används ovanligt bland peer-datorer (ISPUncommonlyUsedAmongPeers) |
30 | Isp används inte ofta bland användarens peer-datorer. | Sant, Falskt |
| Första gången anslutningen sker via Internetleverantören i klientorganisationen (FirstTimeConnectionViaISPInTenant) |
30 | Isp observerades för första gången i organisationen. | Sant, Falskt |
| ISP används ovanligt i klientorganisationen (ISPUncommonlyUsedInTenant) |
30 | ISP används inte ofta i organisationen. | Sant, Falskt |
Resurs som används
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Första gången användaren använder resursen (FirstTimeUserAccessedResource) |
180 | Resursen användes för första gången av användaren. | Sant, Falskt |
| Resurs som används ovanligt av användaren (ResourceUncommonlyAccessedByUser) |
10 | Resursen används inte ofta av användaren. | Sant, Falskt |
| Resurs som används ovanligt bland peer-datorer (ResourceUncommonlyAccessedAmongPeers) |
180 | Resursen används inte ofta bland användarens peer-datorer. | Sant, Falskt |
| Första gången resursen används i klientorganisationen (FirstTimeResourceAccessedInTenant) |
180 | Resursen användes för första gången av någon i organisationen. | Sant, Falskt |
| Resurs som används ovanligt i klientorganisationen (ResourceUncommonlyAccessedInTenant) |
180 | Resursen används inte ofta i organisationen. | Sant, Falskt |
Diverse
| Berikningsnamn | Baslinje (dagar) | beskrivning | Exempelvärde |
|---|---|---|---|
| Senaste gången användaren utförde åtgärden (LastTimeUserPerformedAction) |
180 | Senast användaren utförde samma åtgärd. | <Tidsstämpel> |
| Liknande åtgärder utfördes inte tidigare (SimilarActionWasn'tPerformedInThePast) |
30 | Ingen åtgärd i samma resursprovider utfördes av användaren. | Sant, Falskt |
| Käll-IP-plats (SourceIPLocation) |
Saknas | Det land/den region som löstes från källans IP-adress för åtgärden. | [Surrey, England] |
| Ovanligt hög mängd åtgärder (UncommonHighVolumeOfOperations) |
7 | En användare utförde en serie liknande åtgärder inom samma provider | Sant, Falskt |
| Ovanligt antal fel med villkorsstyrd åtkomst i Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Ett ovanligt antal användare kunde inte autentiseras på grund av villkorlig åtkomst | Sant, Falskt |
| Ovanligt antal tillagda enheter (UnusualNumberOfDevicesAdded) |
5 | En användare har lagt till ett ovanligt antal enheter. | Sant, Falskt |
| Ovanligt antal borttagna enheter (UnusualNumberOfDevicesDeleted) |
5 | En användare har tagit bort ett ovanligt antal enheter. | Sant, Falskt |
| Ovanligt antal användare som lagts till i gruppen (UnusualNumberOfUsersAddedToGroup) |
5 | En användare har lagt till ett ovanligt antal användare i en grupp. | Sant, Falskt |
IdentityInfo-tabell
När du har aktiverat UEBA för din Microsoft Sentinel-arbetsyta synkroniseras data från ditt Microsoft Entra-ID till tabellen IdentityInfo i Log Analytics för användning i Microsoft Sentinel. Du kan bädda in användardata som synkroniserats från ditt Microsoft Entra-ID i dina analysregler för att förbättra din analys så att den passar dina användningsfall och minska falska positiva identifieringar.
Den inledande synkroniseringen kan ta några dagar, men när data är helt synkroniserade:
Ändringar som görs i användarprofiler, grupper och roller i Microsoft Entra-ID uppdateras i tabellen IdentityInfo inom 15–30 minuter.
Var 14:e dag synkroniseras Microsoft Sentinel igen med hela ditt Microsoft Entra-ID för att säkerställa att inaktuella poster uppdateras fullständigt.
Standardtiden för kvarhållning i tabellen IdentityInfo är 30 dagar.
Begränsningar
För närvarande stöds endast inbyggda roller.
Data om borttagna grupper, där en användare har tagits bort från en grupp, stöds för närvarande inte.
Versioner av tabellen IdentityInfo
Det finns faktiskt två versioner av tabellen IdentityInfo :
- Log Analytics-schemaversionen hanterar Microsoft Sentinel i Azure Portal.
- Den avancerade versionen av jaktschemat hanterar Microsoft Sentinel i Microsoft Defender-portalen via Microsoft Defender för identitet.
Båda versionerna av den här tabellen matas med Microsoft Entra-ID, men Log Analytics-versionen har lagt till några fält.
Microsoft Sentinel i Microsoft Defender-portalen använder avancerad jaktversion av den här tabellen. För att minimera skillnaderna mellan de två versionerna av tabellen läggs de flesta unika fälten i Log Analytics-versionen gradvis till i den avancerade jaktversionen . Oavsett i vilken portal du använder Microsoft Sentinel har du åtkomst till nästan samma information, även om synkroniseringen mellan versionerna kan ta lite tid. Mer information finns i dokumentationen för avancerad jaktversion av den här tabellen.
I följande tabell beskrivs användaridentitetsdata som ingår i tabellen IdentityInfo i Log Analytics i Azure Portal. Den fjärde kolumnen visar motsvarande fält i avancerad jaktversion av tabellen, som Microsoft Sentinel använder i Defender-portalen. Fältnamn i boldface namnges på ett annat sätt i avancerat jaktschema än i Microsoft Sentinel Log Analytics-versionen.
| Fältnamn i Log Analytics-schema |
Typ | Beskrivning | Fältnamn i Avancerat jaktschema |
|---|---|---|---|
| AccountCloudSID | sträng | Microsoft Entra-säkerhetsidentifieraren för kontot. | CloudSid |
| AccountCreationTime | datetime | Det datum då användarkontot skapades (UTC). | CreatedDateTime |
| AccountDisplayName | sträng | Visningsnamnet för användarkontot. | AccountDisplayName |
| AccountDomain | sträng | Användarkontots domännamn. | AccountDomain |
| AccountName | sträng | Användarnamnet för användarkontot. | AccountName |
| AccountObjectId | sträng | Microsoft Entra-objekt-ID för användarkontot. | AccountObjectId |
| AccountSID | sträng | Den lokala säkerhetsidentifieraren för användarkontot. | AccountSID |
| AccountTenantId | sträng | Microsoft Entra-klient-ID för användarkontot. | -- |
| AccountUPN | sträng | Användarens huvudnamn för användarkontot. | AccountUPN |
| AdditionalMailAddresses | dynamisk | Användarens ytterligare e-postadresser. | -- |
| AssignedRoles | dynamisk | Microsoft Entra-rollerna som användarkontot tilldelas till. | AssignedRoles |
| BlastRadius | sträng | En beräkning som baseras på användarens position i organisationsträdet och användarens Microsoft Entra-roller och -behörigheter. Möjliga värden: Låg, Medel, Hög |
-- |
| ChangeSource | sträng | Källan till den senaste ändringen av entiteten. Möjliga värden: |
ChangeSource |
| CompanyName | Företagsnamnet som användaren tillhör. | -- | |
| Ort | string | Orten för användarkontot. | City |
| Land | string | Användarkontots land/region. | Land |
| DeletedDateTime | datetime | Datum och tid då användaren togs bort. | -- |
| Avdelning | sträng | Avdelningen för användarkontot. | Avdelning |
| GivenName | sträng | Användarkontots förnamn. | GivenName |
| GroupMembership | dynamisk | Microsoft Entra grupperar där användarkontot är medlem. | -- |
| IsAccountEnabled | bool | En indikation på om användarkontot är aktiverat i Microsoft Entra-ID eller inte. | IsAccountEnabled |
| JobTitle | sträng | Jobbrubriken för användarkontot. | JobTitle |
| E-postadress | sträng | Användarkontots primära e-postadress. | E-postadress |
| Chef | sträng | Användarnamnets chefsalias. | Ansvarig |
| OnPremisesDistinguishedName | sträng | Microsoft Entra-ID:ts unika namn (DN). Ett unikt namn är en sekvens med relativa unika namn (RDN), som är anslutna med kommatecken. | DistinguishedName |
| Telefonnummer | sträng | Användarkontots telefonnummer. | Telefon |
| SourceSystem | sträng | Systemet där användaren hanteras. Möjliga värden: |
SourceProvider |
| Status | string | Användarkontots geografiska tillstånd. | Tillstånd |
| StreetAddress | sträng | Användarkontots gatuadress. | Address |
| Efternamn | sträng | Användarens efternamn. tjänstkontot. | Surname |
| TenantId | sträng | Användarens klientorganisations-ID. | -- |
| TimeGenerated | datetime | Den tid då händelsen genererades (UTC). | Tidsstämpel |
| Typ | sträng | Tabellens namn. | -- |
| UserAccountControl | dynamisk | Säkerhetsattribut för användarkontot i AD-domänen. Möjliga värden (kan innehålla mer än en): |
-- |
| UserState | sträng | Det aktuella tillståndet för användarkontot i Microsoft Entra-ID. Möjliga värden: |
-- |
| UserStateChangedOn | datetime | Datumet för den senaste gången kontotillståndet ändrades (UTC). | -- |
| UserType | sträng | Användartypen. | -- |
Nästa steg
I det här dokumentet beskrivs tabellschemat för beteendeanalys i Microsoft Sentinel.
- Läs mer om analys av entitetsbeteende.
- Aktivera UEBA i Microsoft Sentinel.
- Använd UEBA i dina undersökningar.