共用方式為


Microsoft Sentinel UEBA 參考

本參考文章列出 Sentinel Microsoft 中使用者和實體行為分析服務的輸入數據源。 它也會描述 UEBA 新增至實體的擴充,以提供警示和事件所需的內容。

重要

Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel

UEBA 數據源

這些是 UEBA 引擎收集和分析數據的數據源,用來定型 ML 模型,併為使用者、裝置和其他實體設定行為基準。 然後,UEBA 會查看來自這些來源的數據,以尋找異常和擷取見解。

資料來源 事件
Microsoft Entra ID
登入記錄
全部
Microsoft Entra ID
稽核記錄
ApplicationManagement
DirectoryManagement
GroupManagement
裝置
RoleManagement
UserManagementCategory
Azure 活動記錄 授權
AzureActiveDirectory
計費
計算
耗用
KeyVault
裝置
網路
資源
Intune
邏輯
Sql
儲存體
Windows 安全性事件
WindowsEvent
SecurityEvent
4624:已成功登入帳戶
4625:帳戶無法登入
4648:嘗試使用明確認證登入
4672:指派給新登入的特殊許可權
4688:已建立新的程式

UEBA 擴充

本節說明 UEBA 新增至 Microsoft Sentinel 實體的擴充,以及其所有詳細數據,可讓您用來專注並強化安全性事件調查。 這些擴充會顯示在 實體頁面上 ,可以在下列Log Analytics資料表中找到,其內容和架構如下所列:

  • BehaviorAnalytics 數據表是 UEBA 輸出資訊的儲存位置。

    下列來自 BehaviorAnalytics 數據表的三個動態欄位會在下列實體擴充動態欄位一節中說明。

    • UsersInsightsDevicesInsights 字段包含 Active Directory / Microsoft Entra ID 和 Microsoft Threat Intelligence 來源的實體資訊。

    • ActivityInsights 字段會根據 Sentinel 實體行為分析 Microsoft所建立的行為配置檔,包含實體資訊。

      用戶活動會根據每次使用時動態編譯的基準進行分析。 每個活動都有其定義的回溯期間,動態基準是從中衍生而來。 回溯期間是在下表的 [比較基準] 數據行中指定。

  • IdentityInfo 數據表是將身分識別資訊從 Microsoft Entra ID 同步處理至 UEBA 的位置,而從 內部部署的 Active Directory 透過 適用於身分識別的 Microsoft Defender 儲存。

BehaviorAnalytics 數據表

下表描述Microsoft Sentinel 中每個 實體詳細數據頁面上 顯示的行為分析數據。

欄位 類型 描述
TenantId 字串 租使用者的唯一標識碼。
SourceRecordId 字串 EBA 事件的唯一標識碼。
TimeGenerated Datetime 活動的發生時間戳。
TimeProcessed Datetime EBA 引擎處理活動的時間戳。
ActivityType 字串 活動的高階類別。
ActionType 字串 活動的標準化名稱。
使用者名稱 字串 起始活動之用戶的用戶名稱。
UserPrincipalName 字串 起始活動之使用者的完整用戶名稱。
EventSource 字串 提供原始事件的數據源。
SourceIPAddress 字串 起始活動的IP位址。
SourceIPLocation 字串 從起始活動的國家/地區,從IP位址擴充。
SourceDevice 字串 起始活動的裝置主機名。
DestinationIPAddress 字串 活動的目標的IP位址。
DestinationIPLocation 字串 活動目標的國家/地區,從IP位址擴充。
DestinationDevice 字串 目標裝置的名稱。
UsersInsights dynamic 相關使用者的內容擴充(詳細數據如下)。
DevicesInsights dynamic 相關裝置的內容擴充(詳細數據如下)。
ActivityInsights dynamic 根據我們的分析進行活動的內容分析(詳細數據如下)。
InvestigationPriority int 異常分數,介於0-10之間(0=良性,10=高度異常)。

實體擴充動態欄位

注意

本節 中數據表中的 [擴充名稱] 數據行會顯示兩個資訊列。

  • 第一個粗 是擴充的「易記名稱」。
  • 第二個 (在斜體和括弧中) 是擴充的功能變數名稱,儲存在行為分析數據表

UsersInsights 欄位

下表描述 BehaviorAnalytics 數據表中 UsersInsights 動態字段中精選的擴充:

擴充名稱 描述 範例值
帳戶顯示名稱
(AccountDisplayName)
用戶的帳戶顯示名稱。 管理員、海登·庫克
帳戶網域
(AccountDomain)
用戶的帳戶功能變數名稱。
帳戶物件標識碼
(AccountObjectID)
用戶的帳戶物件標識碼。 a58df659-5cab-446c-9dd0-5a3af20ce1c2
爆破半徑
(BlastRadius)
爆炸半徑是根據數個因素來計算:用戶在組織樹狀結構中的位置,以及使用者的Microsoft Entra 角色和許可權。 用戶必須在 Microsoft Entra ID 中填入 Manager 屬性,才能 計算 BlastRadius 低、中、高
是休眠帳戶
(IsDormantAccount)
過去180天未使用帳戶。 True、False
這是本機系統管理員
(IsLocalAdmin)
帳戶具有本機系統管理員許可權。 True、False
是新的帳戶
(IsNewAccount)
帳戶是在過去30天內建立的。 True、False
內部部署 SID
(OnPremisesSID)
與動作相關的用戶內部部署 SID。 S-1-5-21-1112946627-1321165628-2437342228-1103

DevicesInsights 欄位

下表描述 BehaviorAnalytics 數據表中 DevicesInsights 動態字段中精選的擴充:

擴充名稱 描述 範例值
瀏覽器
(瀏覽器)
動作中使用的瀏覽器。 Edge、Chrome
裝置系列
(DeviceFamily)
動作中使用的裝置系列。 Windows
裝置類型:
(DeviceType)
動作中使用的用戶端裝置類型 桌面
ISP
(ISP)
動作中使用的因特網服務提供者。
作業系統
(OperatingSystem)
動作中使用的作業系統。 Windows 10
威脅 Intel 指標描述
(ThreatIntelIndicatorDescription)
從動作中使用的IP位址解析之觀察到的威脅指標描述。 主機是 Botnet 的成員:azorult
威脅 Intel 指標類型
(ThreatIntelIndicatorType)
從動作中使用的IP位址解析的威脅指標類型。 Botnet、C2、CryptoMining、Darknet、Ddos、MalwareUrl、Malware、Phishing、Proxy、PUA、Watchlist
使用者代理程式
(UserAgent)
動作中使用的使用者代理程式。 Microsoft Azure Graph 用戶端連結庫 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
使用者代理程式系列
(UserAgentFamily)
動作中使用的使用者代理程式系列。 Chrome、Edge、Firefox

ActivityInsights 欄位

下表描述 BehaviorAnalytics 數據表中 ActivityInsights 動態字段中精選的擴充:

執行動作
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次執行動作
(FirstTimeUserPerformedAction)
180 使用者第一次執行動作。 True、False
使用者不常執行的動作
(ActionUncommonlyPerformedByUser)
10 使用者通常不會執行動作。 True、False
在對等之間不常執行的動作
(ActionUncommonlyPerformedAmongPeers)
180 動作通常不會在使用者的對等之間執行。 True、False
第一次在租用戶中執行的動作
(FirstTimeActionPerformedInTenant)
180 此動作是由組織中的任何人第一次執行。 True、False
租使用者中不常執行的動作
(ActionUncommonlyPerformedInTenant)
180 此動作通常不會在組織中執行。 True、False
使用的應用程式
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次使用應用程式
(FirstTimeUserUsedApp)
180 使用者第一次使用應用程式。 True、False
使用者不常使用的應用程式
(AppUncommonlyUsedByUser)
10 使用者通常不會使用應用程式。 True、False
在對等之間不常使用的應用程式
(AppUncommonlyUsedAmongPeers)
180 應用程式通常不會在使用者的對等之間使用。 True、False
第一次在租用戶中觀察到的應用程式
(FirstTimeAppObservedInTenant)
180 第一次在組織中觀察到應用程式。 True、False
租用戶中經常使用的應用程式
(AppUncommonlyUsedInTenant)
180 應用程式不常用於組織。 True、False
使用的瀏覽器
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次透過瀏覽器連線
(FirstTimeUserConnectedViaBrowser)
30 使用者第一次觀察到瀏覽器。 True、False
使用者不常使用的瀏覽器
(BrowserUncommonlyUsedByUser)
10 使用者通常不會使用瀏覽器。 True、False
在對等之間不常使用瀏覽器
(BrowserUncommonlyUsedAmongPeers)
30 瀏覽器通常不會在使用者的對等之間使用。 True、False
第一次在租用戶中觀察到瀏覽器
(FirstTimeBrowserObservedInTenant)
30 第一次在組織中觀察到瀏覽器。 True、False
租用戶中經常使用的瀏覽器
(BrowserUncommonlyUsedInTenant)
30 在組織中通常不會使用瀏覽器。 True、False
從連線的國家/地區
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次從國家/地區連線
(FirstTimeUserConnectedFromCountry)
90 從IP位址解析的地理位置第一次由用戶連線。 True、False
使用者不常從連線的國家/地區
(CountryUncommonlyConnectedFromByUser)
10 從IP位址解析的地理位置通常不會由用戶連線。 True、False
國家/地區很少從同儕之間連線
(CountryUncommonlyConnectedFromAmongPeers)
90 從IP位址解析的地理位置通常不會從使用者的對等之間連線。 True、False
第一次從租用戶中觀察到的國家/地區連線
(FirstTimeConnectionFromCountryObservedInTenant)
90 國家/地區第一次由組織中的任何人連線。 True、False
從租使用者中不常連線的國家/地區
(CountryUncommonlyConnectedFromInTenant)
90 從IP位址解析的地理位置通常不會從組織中連線。 True、False
用來連線的裝置
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次從裝置連線
(FirstTimeUserConnectedFromDevice)
30 使用者第一次從連線來源裝置。 True、False
使用者不常使用的裝置
(DeviceUncommonlyUsedByUser)
10 使用者通常不會使用裝置。 True、False
在對等之間不常使用的裝置
(DeviceUncommonlyUsedAmongPeers)
180 裝置通常不會在使用者的對等之間使用。 True、False
第一次在租用戶中觀察到裝置
(FirstTimeDeviceObservedInTenant)
30 裝置第一次在組織中觀察到。 True、False
租用戶中經常使用的裝置
(DeviceUncommonlyUsedInTenant)
180 裝置不常用於組織。 True、False
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次登入裝置
(FirstTimeUserLoggedOnToDevice)
180 使用者第一次連線到目的地裝置。 True、False
租用戶中經常使用的裝置系列
(DeviceFamilyUncommonlyUsedInTenant)
30 裝置系列不常用於組織。 True、False
用來連線的因特網服務提供者
擴充名稱 比較基準 (天) 描述 範例值
第一次透過 ISP 連線的使用者
(FirstTimeUserConnectedViaISP)
30 使用者第一次觀察到 ISP。 True、False
使用者很少使用 ISP
(ISPUncommonlyUsedByUser)
10 使用者通常不會使用 ISP。 True、False
ISP 在對等之間很少使用
(ISPUncommonlyUsedAmongPeers)
30 ISP 通常不會在使用者的對等之間使用。 True、False
第一次透過租使用者中的 ISP 連線
(FirstTimeConnectionViaISPInTenant)
30 ISP 第一次在組織中觀察到。 True、False
在租使用者中很少使用 ISP
(ISPUncommonlyUsedInTenant)
30 ISP 不常用於組織。 True、False
資源已存取
擴充名稱 比較基準 (天) 描述 範例值
使用者第一次存取資源
(FirstTimeUserAccessedResource)
180 使用者第一次存取資源。 True、False
使用者不常存取的資源
(ResourceUncommonlyAccessedByUser)
10 使用者通常不會存取資源。 True、False
在對等之間不常存取的資源
(ResourceUncommonlyAccessedAmongPeers)
180 使用者對等之間通常不會存取資源。 True、False
第一次在租使用者中存取資源
(FirstTimeResourceAccessedInTenant)
180 組織中的任何人第一次存取資源。 True、False
租用戶中經常存取的資源
(ResourceUncommonlyAccessedInTenant)
180 組織通常不會存取資源。 True、False
其他
擴充名稱 比較基準 (天) 描述 範例值
上次使用者執行動作的時間
(LastTimeUserPerformedAction)
180 使用者上次執行相同動作的時間。 <Timestamp>
過去未執行類似的動作
(SimilarActionWasn'tPerformedInThePast)
30 使用者未執行相同資源提供者中的動作。 True、False
來源IP位置
(SourceIPLocation)
N/A 從動作的來源IP解析的國家/地區。 [英格蘭薩里]
不常見的大量作業
(UncommonHighVolumeOfOperations)
7 使用者在同一個提供者內執行了類似作業的高載 True、False
不尋常的Microsoft項目條件式存取失敗數目
(UnusualNumberOfAADConditionalAccessFailures)
5 由於條件式存取而無法驗證不尋常的用戶數目 True、False
新增的異常裝置數目
(UnusualNumberOfDevicesAdded)
5 使用者新增了不尋常的裝置數目。 True、False
刪除的異常裝置數目
(UnusualNumberOfDevicesDeleted)
5 用戶刪除了不尋常的裝置數目。 True、False
新增至群組的不尋常用戶數目
(UnusualNumberOfUsersAddedToGroup)
5 使用者已將不尋常的用戶數目新增至群組。 True、False

IdentityInfo 數據表

Microsoft Sentinel 工作區啟用 UEBA 之後,來自您Microsoft Entra ID 的數據會同步處理至 Log Analytics 中的 IdentityInfo 數據表,以用於 Microsoft Sentinel。 您可以在分析規則中內嵌從Microsoft Entra ID 同步處理的用戶數據,以增強分析以符合使用案例並減少誤判。

雖然初始同步處理可能需要幾天的時間,但一旦數據完全同步處理:

  • Microsoft Entra ID 中對使用者配置檔、群組和角色所做的變更會在 15-30 分鐘內在 IdentityInfo 數據表中更新。

  • 每隔 14 天,Microsoft Sentinel 會與整個Microsoft Entra 標識符重新同步處理,以確保過期的記錄已完整更新。

  • IdentityInfo 數據表中的預設保留時間是 30 天。

限制

  • 目前僅支援內建角色。

  • 目前不支援已刪除群組的相關數據,其中使用者已從群組中移除。

IdentityInfo 數據表的版本

IdentityInfo 數據表實際上有兩個版本:

  • Log Analytics 架構版本會在 Azure 入口網站 中提供Microsoft Sentinel。
  • 階搜捕架構版本會透過 適用於身分識別的 Microsoft Defender,在 Microsoft Defender 入口網站中提供 sentinel Microsoft。

此數據表的這兩個版本都會由 Microsoft Entra ID 提供,但 Log Analytics 版本新增了幾個字段。

Microsoft Microsoft Defender 入口網站中的 Sentinel 會使用 此數據表的進階搜捕 版本。 為了將數據表兩個版本之間的差異降到最低,Log Analytics 版本中大部分的唯一字段也會逐漸新增至進 階搜捕 版本。 無論您使用哪一個入口網站Microsoft Sentinel,您都可以存取幾乎所有相同的信息,不過版本之間的同步處理可能會有一小段時間的延遲。 如需詳細資訊,請參閱此數據表進階搜捕版本檔。

下表描述 log Analytics Azure 入口網站 中 IdentityInfo 數據表中包含的使用者身分識別數據。 第四個數據行會顯示數據表進 階搜捕 版本中對應的欄位,Microsoft Sentinel 在 Defender 入口網站中使用的欄位。 粗體中的功能變數名稱在進階搜捕架構中會以不同於Microsoft Sentinel Log Analytics 版本命名。

中的功能變數名稱
Log Analytics 架構
類型 描述 中的功能變數名稱
進階搜捕 架構
AccountCloudSID 字串 帳戶的 Microsoft Entra 安全性識別碼。 CloudSid
AccountCreationTime Datetime 用戶帳戶建立的日期(UTC)。 CreatedDateTime
AccountDisplayName 字串 用戶帳戶的顯示名稱。 AccountDisplayName
AccountDomain 字串 用戶帳戶的功能變數名稱。 AccountDomain
AccountName 字串 用戶帳戶的用戶名稱。 AccountName
AccountObjectId 字串 用戶帳戶Microsoft Entra 對象標識碼。 AccountObjectId
AccountSID 字串 用戶帳戶的內部部署安全性標識碼。 AccountSID
AccountTenantId 字串 用戶帳戶Microsoft Entra 租用戶標識碼。 --
AccountUPN 字串 用戶帳戶的用戶主體名稱。 AccountUPN
AdditionalMailAddresses dynamic 使用者的其他電子郵件位址。 --
AssignedRoles dynamic 用戶帳戶指派給Microsoft Entra 角色。 AssignedRoles
BlastRadius 字串 根據使用者在組織樹狀結構中的位置和使用者Microsoft Entra 角色和許可權的計算。
可能的值: 低、中、高
--
ChangeSource 字串 實體最新變更的來源。
可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • 關注清單
  • FullSync
  • ChangeSource
    CompanyName 用戶所屬的公司名稱。 --
    市/鎮 字串 用戶帳戶的城市。 縣/市
    國家/地區 字串 用戶帳戶的國家/地區。 Country
    DeletedDateTime Datetime 刪除使用者的日期和時間。 --
    部門 字串 用戶帳戶的部門。 部門
    GivenName 字串 用戶帳戶的指定名稱。 GivenName
    GroupMembership dynamic Microsoft用戶帳戶為成員的 Entra 群組。 --
    IsAccountEnabled bool 指出用戶帳戶是否在 Microsoft Entra ID 中啟用。 IsAccountEnabled
    JobTitle 字串 用戶帳戶的職稱。 JobTitle
    MailAddress 字串 用戶帳戶的主要電子郵件位址。 EmailAddress
    經理 字串 用戶帳戶的管理員別名。 經理
    OnPremisesDistinguishedName 字串 Microsoft Entra ID 辨別名稱 (DN)。 辨別名稱是一連串的相對辨別名稱(RDN),由逗號連接。 DistinguishedName
    手機 字串 用戶帳戶的電話號碼。 電話
    SourceSystem 字串 管理用戶的系統。
    可能的值:
  • AzureActiveDirectory
  • ActiveDirectory
  • 混合式
  • SourceProvider
    州 (縣/市) 字串 用戶帳戶的地理狀態。 州/省
    StreetAddress 字串 用戶帳戶的辦公室街道位址。 地址
    字串 使用者的姓氏。 account。 Surname
    TenantId 字串 使用者的租用戶標識碼。 --
    TimeGenerated Datetime 產生事件的時間(UTC)。 Timestamp
    型別 字串 資料表的名稱。 --
    UserAccountControl dynamic AD 網域中用戶帳戶的安全性屬性。
    可能的值(可能包含多個值):
  • AccountDisabled
  • HomedirRequired
  • AccountLocked
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • NormalAccount
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegationNotAllowed
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • PasswordExpired
  • TrustedToAuthenticationForDelegation
  • PartialSecretsAccount
  • UseAesKeys
  • --
    UserState 字串 Microsoft Entra ID 中用戶帳戶的目前狀態。
    可能的值:
  • 使用中
  • 停用
  • 睡眠狀態的
  • 閉廠
  • --
    UserStateChangedOn Datetime 上次帳戶狀態變更的日期(UTC)。 --
    UserType 字串 用戶類型。 --

    下一步

    本文件說明 sentinel 實體行為分析數據表架構Microsoft。