Microsoft Sentinel UEBA 參考
本參考文章列出 Sentinel Microsoft 中使用者和實體行為分析服務的輸入數據源。 它也會描述 UEBA 新增至實體的擴充,以提供警示和事件所需的內容。
重要
Microsoft Sentinel 在 Microsoft Defender 入口網站中,Microsoft的統一安全性作業平臺中正式推出。 如需預覽,Microsoft Sentinel 可在 Defender 入口網站中取得,而不需要 Microsoft Defender 全面偵測回應 或 E5 授權。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
UEBA 數據源
這些是 UEBA 引擎收集和分析數據的數據源,用來定型 ML 模型,併為使用者、裝置和其他實體設定行為基準。 然後,UEBA 會查看來自這些來源的數據,以尋找異常和擷取見解。
資料來源 | 事件 |
---|---|
Microsoft Entra ID 登入記錄 |
全部 |
Microsoft Entra ID 稽核記錄 |
ApplicationManagement DirectoryManagement GroupManagement 裝置 RoleManagement UserManagementCategory |
Azure 活動記錄 | 授權 AzureActiveDirectory 計費 計算 耗用 KeyVault 裝置 網路 資源 Intune 邏輯 Sql 儲存體 |
Windows 安全性事件 WindowsEvent 或 SecurityEvent |
4624:已成功登入帳戶 4625:帳戶無法登入 4648:嘗試使用明確認證登入 4672:指派給新登入的特殊許可權 4688:已建立新的程式 |
UEBA 擴充
本節說明 UEBA 新增至 Microsoft Sentinel 實體的擴充,以及其所有詳細數據,可讓您用來專注並強化安全性事件調查。 這些擴充會顯示在 實體頁面上 ,可以在下列Log Analytics資料表中找到,其內容和架構如下所列:
BehaviorAnalytics 數據表是 UEBA 輸出資訊的儲存位置。
下列來自 BehaviorAnalytics 數據表的三個動態欄位會在下列實體擴充動態欄位一節中說明。
UsersInsights 和 DevicesInsights 字段包含 Active Directory / Microsoft Entra ID 和 Microsoft Threat Intelligence 來源的實體資訊。
ActivityInsights 字段會根據 Sentinel 實體行為分析 Microsoft所建立的行為配置檔,包含實體資訊。
用戶活動會根據每次使用時動態編譯的基準進行分析。 每個活動都有其定義的回溯期間,動態基準是從中衍生而來。 回溯期間是在下表的 [比較基準] 數據行中指定。
IdentityInfo 數據表是將身分識別資訊從 Microsoft Entra ID 同步處理至 UEBA 的位置,而從 內部部署的 Active Directory 透過 適用於身分識別的 Microsoft Defender 儲存。
BehaviorAnalytics 數據表
下表描述Microsoft Sentinel 中每個 實體詳細數據頁面上 顯示的行為分析數據。
欄位 | 類型 | 描述 |
---|---|---|
TenantId | 字串 | 租使用者的唯一標識碼。 |
SourceRecordId | 字串 | EBA 事件的唯一標識碼。 |
TimeGenerated | Datetime | 活動的發生時間戳。 |
TimeProcessed | Datetime | EBA 引擎處理活動的時間戳。 |
ActivityType | 字串 | 活動的高階類別。 |
ActionType | 字串 | 活動的標準化名稱。 |
使用者名稱 | 字串 | 起始活動之用戶的用戶名稱。 |
UserPrincipalName | 字串 | 起始活動之使用者的完整用戶名稱。 |
EventSource | 字串 | 提供原始事件的數據源。 |
SourceIPAddress | 字串 | 起始活動的IP位址。 |
SourceIPLocation | 字串 | 從起始活動的國家/地區,從IP位址擴充。 |
SourceDevice | 字串 | 起始活動的裝置主機名。 |
DestinationIPAddress | 字串 | 活動的目標的IP位址。 |
DestinationIPLocation | 字串 | 活動目標的國家/地區,從IP位址擴充。 |
DestinationDevice | 字串 | 目標裝置的名稱。 |
UsersInsights | dynamic | 相關使用者的內容擴充(詳細數據如下)。 |
DevicesInsights | dynamic | 相關裝置的內容擴充(詳細數據如下)。 |
ActivityInsights | dynamic | 根據我們的分析進行活動的內容分析(詳細數據如下)。 |
InvestigationPriority | int | 異常分數,介於0-10之間(0=良性,10=高度異常)。 |
實體擴充動態欄位
UsersInsights 欄位
下表描述 BehaviorAnalytics 數據表中 UsersInsights 動態字段中精選的擴充:
擴充名稱 | 描述 | 範例值 |
---|---|---|
帳戶顯示名稱 (AccountDisplayName) |
用戶的帳戶顯示名稱。 | 管理員、海登·庫克 |
帳戶網域 (AccountDomain) |
用戶的帳戶功能變數名稱。 | |
帳戶物件標識碼 (AccountObjectID) |
用戶的帳戶物件標識碼。 | aaaaaaaa-0000-1111-2222-bbbbbbbb |
爆破半徑 (BlastRadius) |
爆炸半徑是根據數個因素來計算:用戶在組織樹狀結構中的位置,以及使用者的Microsoft Entra 角色和許可權。 用戶必須在 Microsoft Entra ID 中填入 Manager 屬性,才能 計算 BlastRadius 。 | 低、中、高 |
是休眠帳戶 (IsDormantAccount) |
過去180天未使用帳戶。 | True、False |
這是本機系統管理員 (IsLocalAdmin) |
帳戶具有本機系統管理員許可權。 | True、False |
是新的帳戶 (IsNewAccount) |
帳戶是在過去30天內建立的。 | True、False |
內部部署 SID (OnPremisesSID) |
與動作相關的用戶內部部署 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 欄位
下表描述 BehaviorAnalytics 數據表中 DevicesInsights 動態字段中精選的擴充:
擴充名稱 | 描述 | 範例值 |
---|---|---|
瀏覽器 (瀏覽器) |
動作中使用的瀏覽器。 | Edge、Chrome |
裝置系列 (DeviceFamily) |
動作中使用的裝置系列。 | Windows |
裝置類型: (DeviceType) |
動作中使用的用戶端裝置類型 | 桌面 |
ISP (ISP) |
動作中使用的因特網服務提供者。 | |
作業系統 (OperatingSystem) |
動作中使用的作業系統。 | Windows 10 |
威脅 Intel 指標描述 (ThreatIntelIndicatorDescription) |
從動作中使用的IP位址解析之觀察到的威脅指標描述。 | 主機是 Botnet 的成員:azorult |
威脅 Intel 指標類型 (ThreatIntelIndicatorType) |
從動作中使用的IP位址解析的威脅指標類型。 | Botnet、C2、CryptoMining、Darknet、Ddos、MalwareUrl、Malware、Phishing、Proxy、PUA、Watchlist |
使用者代理程式 (UserAgent) |
動作中使用的使用者代理程式。 | Microsoft Azure Graph 用戶端連結庫 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
使用者代理程式系列 (UserAgentFamily) |
動作中使用的使用者代理程式系列。 | Chrome、Edge、Firefox |
ActivityInsights 欄位
下表描述 BehaviorAnalytics 數據表中 ActivityInsights 動態字段中精選的擴充:
執行動作
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次執行動作 (FirstTimeUserPerformedAction) |
180 | 使用者第一次執行動作。 | True、False |
使用者不常執行的動作 (ActionUncommonlyPerformedByUser) |
10 | 使用者通常不會執行動作。 | True、False |
在對等之間不常執行的動作 (ActionUncommonlyPerformedAmongPeers) |
180 | 動作通常不會在使用者的對等之間執行。 | True、False |
第一次在租用戶中執行的動作 (FirstTimeActionPerformedInTenant) |
180 | 此動作是由組織中的任何人第一次執行。 | True、False |
租使用者中不常執行的動作 (ActionUncommonlyPerformedInTenant) |
180 | 此動作通常不會在組織中執行。 | True、False |
使用的應用程式
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次使用應用程式 (FirstTimeUserUsedApp) |
180 | 使用者第一次使用應用程式。 | True、False |
使用者不常使用的應用程式 (AppUncommonlyUsedByUser) |
10 | 使用者通常不會使用應用程式。 | True、False |
在對等之間不常使用的應用程式 (AppUncommonlyUsedAmongPeers) |
180 | 應用程式通常不會在使用者的對等之間使用。 | True、False |
第一次在租用戶中觀察到的應用程式 (FirstTimeAppObservedInTenant) |
180 | 第一次在組織中觀察到應用程式。 | True、False |
租用戶中經常使用的應用程式 (AppUncommonlyUsedInTenant) |
180 | 應用程式不常用於組織。 | True、False |
使用的瀏覽器
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次透過瀏覽器連線 (FirstTimeUserConnectedViaBrowser) |
30 | 使用者第一次觀察到瀏覽器。 | True、False |
使用者不常使用的瀏覽器 (BrowserUncommonlyUsedByUser) |
10 | 使用者通常不會使用瀏覽器。 | True、False |
在對等之間不常使用瀏覽器 (BrowserUncommonlyUsedAmongPeers) |
30 | 瀏覽器通常不會在使用者的對等之間使用。 | True、False |
第一次在租用戶中觀察到瀏覽器 (FirstTimeBrowserObservedInTenant) |
30 | 第一次在組織中觀察到瀏覽器。 | True、False |
租用戶中經常使用的瀏覽器 (BrowserUncommonlyUsedInTenant) |
30 | 在組織中通常不會使用瀏覽器。 | True、False |
從連線的國家/地區
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次從國家/地區連線 (FirstTimeUserConnectedFromCountry) |
90 | 從IP位址解析的地理位置第一次由用戶連線。 | True、False |
使用者不常從連線的國家/地區 (CountryUncommonlyConnectedFromByUser) |
10 | 從IP位址解析的地理位置通常不會由用戶連線。 | True、False |
國家/地區很少從同儕之間連線 (CountryUncommonlyConnectedFromAmongPeers) |
90 | 從IP位址解析的地理位置通常不會從使用者的對等之間連線。 | True、False |
第一次從租用戶中觀察到的國家/地區連線 (FirstTimeConnectionFromCountryObservedInTenant) |
90 | 國家/地區第一次由組織中的任何人連線。 | True、False |
從租使用者中不常連線的國家/地區 (CountryUncommonlyConnectedFromInTenant) |
90 | 從IP位址解析的地理位置通常不會從組織中連線。 | True、False |
用來連線的裝置
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次從裝置連線 (FirstTimeUserConnectedFromDevice) |
30 | 使用者第一次從連線來源裝置。 | True、False |
使用者不常使用的裝置 (DeviceUncommonlyUsedByUser) |
10 | 使用者通常不會使用裝置。 | True、False |
在對等之間不常使用的裝置 (DeviceUncommonlyUsedAmongPeers) |
180 | 裝置通常不會在使用者的對等之間使用。 | True、False |
第一次在租用戶中觀察到裝置 (FirstTimeDeviceObservedInTenant) |
30 | 裝置第一次在組織中觀察到。 | True、False |
租用戶中經常使用的裝置 (DeviceUncommonlyUsedInTenant) |
180 | 裝置不常用於組織。 | True、False |
其他裝置相關
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次登入裝置 (FirstTimeUserLoggedOnToDevice) |
180 | 使用者第一次連線到目的地裝置。 | True、False |
租用戶中經常使用的裝置系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 裝置系列不常用於組織。 | True、False |
用來連線的因特網服務提供者
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
第一次透過 ISP 連線的使用者 (FirstTimeUserConnectedViaISP) |
30 | 使用者第一次觀察到 ISP。 | True、False |
使用者很少使用 ISP (ISPUncommonlyUsedByUser) |
10 | 使用者通常不會使用 ISP。 | True、False |
ISP 在對等之間很少使用 (ISPUncommonlyUsedAmongPeers) |
30 | ISP 通常不會在使用者的對等之間使用。 | True、False |
第一次透過租使用者中的 ISP 連線 (FirstTimeConnectionViaISPInTenant) |
30 | ISP 第一次在組織中觀察到。 | True、False |
在租使用者中很少使用 ISP (ISPUncommonlyUsedInTenant) |
30 | ISP 不常用於組織。 | True、False |
資源已存取
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
使用者第一次存取資源 (FirstTimeUserAccessedResource) |
180 | 使用者第一次存取資源。 | True、False |
使用者不常存取的資源 (ResourceUncommonlyAccessedByUser) |
10 | 使用者通常不會存取資源。 | True、False |
在對等之間不常存取的資源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 使用者對等之間通常不會存取資源。 | True、False |
第一次在租使用者中存取資源 (FirstTimeResourceAccessedInTenant) |
180 | 組織中的任何人第一次存取資源。 | True、False |
租用戶中經常存取的資源 (ResourceUncommonlyAccessedInTenant) |
180 | 組織通常不會存取資源。 | True、False |
其他
擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
---|---|---|---|
上次使用者執行動作的時間 (LastTimeUserPerformedAction) |
180 | 使用者上次執行相同動作的時間。 | <Timestamp> |
過去未執行類似的動作 (SimilarActionWasn'tPerformedInThePast) |
30 | 使用者未執行相同資源提供者中的動作。 | True、False |
來源IP位置 (SourceIPLocation) |
N/A | 從動作的來源IP解析的國家/地區。 | [英格蘭薩里] |
不常見的大量作業 (UncommonHighVolumeOfOperations) |
7 | 使用者在同一個提供者內執行了類似作業的高載 | True、False |
不尋常的Microsoft項目條件式存取失敗數目 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由於條件式存取而無法驗證不尋常的用戶數目 | True、False |
新增的異常裝置數目 (UnusualNumberOfDevicesAdded) |
5 | 使用者新增了不尋常的裝置數目。 | True、False |
刪除的異常裝置數目 (UnusualNumberOfDevicesDeleted) |
5 | 用戶刪除了不尋常的裝置數目。 | True、False |
新增至群組的不尋常用戶數目 (UnusualNumberOfUsersAddedToGroup) |
5 | 使用者已將不尋常的用戶數目新增至群組。 | True、False |
IdentityInfo 數據表
為 Microsoft Sentinel 工作區啟用 UEBA 之後,來自您Microsoft Entra ID 的數據會同步處理至 Log Analytics 中的 IdentityInfo 數據表,以用於 Microsoft Sentinel。 您可以在分析規則中內嵌從Microsoft Entra ID 同步處理的用戶數據,以增強分析以符合使用案例並減少誤判。
雖然初始同步處理可能需要幾天的時間,但一旦數據完全同步處理:
Microsoft Entra ID 中對使用者配置檔、群組和角色所做的變更會在 15-30 分鐘內在 IdentityInfo 數據表中更新。
每隔 14 天,Microsoft Sentinel 會與整個Microsoft Entra 標識符重新同步處理,以確保過期的記錄已完整更新。
IdentityInfo 數據表中的預設保留時間是 30 天。
限制
目前僅支援內建角色。
目前不支援已刪除群組的相關數據,其中使用者已從群組中移除。
IdentityInfo 數據表的版本
IdentityInfo 數據表實際上有兩個版本:
- Log Analytics 架構版本會在 Azure 入口網站 中提供Microsoft Sentinel。
- 進階搜捕架構版本會透過 適用於身分識別的 Microsoft Defender 在 Microsoft Defender 入口網站中提供Microsoft Sentinel。
此數據表的這兩個版本都會由 Microsoft Entra ID 提供,但 Log Analytics 版本新增了幾個字段。
Microsoft Microsoft Defender 入口網站中的 Sentinel 會使用 此數據表的進階搜捕 版本。 為了將數據表兩個版本之間的差異降到最低,Log Analytics 版本中大部分的唯一字段也會逐漸新增至進 階搜捕 版本。 無論您使用哪一個入口網站Microsoft Sentinel,您都可以存取幾乎所有相同的信息,不過版本之間的同步處理可能會有一小段時間的延遲。 如需詳細資訊,請參閱此數據表的進階搜捕版本檔。
下表說明 log Analytics Azure 入口網站 中 IdentityInfo 數據表中包含的使用者身分識別數據。 第四個數據行會顯示數據表進 階搜捕 版本中對應的欄位,Microsoft Sentinel 在 Defender 入口網站中使用的欄位。 粗體中的功能變數名稱在進階搜捕架構中會以不同於Microsoft Sentinel Log Analytics 版本命名。
中的功能變數名稱 Log Analytics 架構 |
類型 | 描述 | 中的功能變數名稱 進階搜捕 架構 |
---|---|---|---|
AccountCloudSID | 字串 | 帳戶的 Microsoft Entra 安全性識別碼。 | CloudSid |
AccountCreationTime | Datetime | 用戶帳戶建立的日期(UTC)。 | CreatedDateTime |
AccountDisplayName | 字串 | 用戶帳戶的顯示名稱。 | AccountDisplayName |
AccountDomain | 字串 | 用戶帳戶的功能變數名稱。 | AccountDomain |
AccountName | 字串 | 用戶帳戶的用戶名稱。 | AccountName |
AccountObjectId | 字串 | 用戶帳戶Microsoft Entra 對象標識碼。 | AccountObjectId |
AccountSID | 字串 | 用戶帳戶的內部部署安全性標識碼。 | AccountSID |
AccountTenantId | 字串 | 用戶帳戶Microsoft Entra 租用戶標識碼。 | -- |
AccountUPN | 字串 | 用戶帳戶的用戶主體名稱。 | AccountUPN |
AdditionalMailAddresses | dynamic | 使用者的其他電子郵件位址。 | -- |
AssignedRoles | dynamic | 用戶帳戶指派給Microsoft Entra 角色。 | AssignedRoles |
BlastRadius | 字串 | 根據使用者在組織樹狀結構中的位置和使用者Microsoft Entra 角色和許可權的計算。 可能的值: 低、中、高 |
-- |
ChangeSource | 字串 | 實體最新變更的來源。 可能的值: |
ChangeSource |
CompanyName | 用戶所屬的公司名稱。 | -- | |
市/鎮 | 字串 | 用戶帳戶的城市。 | 縣/市 |
國家/地區 | 字串 | 用戶帳戶的國家/地區。 | Country |
DeletedDateTime | Datetime | 刪除使用者的日期和時間。 | -- |
部門 | 字串 | 用戶帳戶的部門。 | 部門 |
GivenName | 字串 | 用戶帳戶的指定名稱。 | GivenName |
GroupMembership | dynamic | Microsoft用戶帳戶為成員的 Entra 群組。 | -- |
IsAccountEnabled | bool | 指出用戶帳戶是否在 Microsoft Entra ID 中啟用。 | IsAccountEnabled |
JobTitle | 字串 | 用戶帳戶的職稱。 | JobTitle |
MailAddress | 字串 | 用戶帳戶的主要電子郵件位址。 | EmailAddress |
經理 | 字串 | 用戶帳戶的管理員別名。 | 經理 |
OnPremisesDistinguishedName | 字串 | Microsoft Entra ID 辨別名稱 (DN)。 辨別名稱是一連串的相對辨別名稱(RDN),由逗號連接。 | DistinguishedName |
手機 | 字串 | 用戶帳戶的電話號碼。 | 電話 |
SourceSystem | 字串 | 管理用戶的系統。 可能的值: |
SourceProvider |
州 (縣/市) | 字串 | 用戶帳戶的地理狀態。 | 州/省 |
StreetAddress | 字串 | 用戶帳戶的辦公室街道位址。 | 地址 |
姓 | 字串 | 使用者的姓氏。 account。 | Surname |
TenantId | 字串 | 使用者的租用戶標識碼。 | -- |
TimeGenerated | Datetime | 產生事件的時間(UTC)。 | Timestamp |
型別 | 字串 | 資料表的名稱。 | -- |
UserAccountControl | dynamic | AD 網域中用戶帳戶的安全性屬性。 可能的值(可能包含多個值): |
-- |
UserState | 字串 | Microsoft Entra ID 中用戶帳戶的目前狀態。 可能的值: |
-- |
UserStateChangedOn | Datetime | 上次帳戶狀態變更的日期(UTC)。 | -- |
UserType | 字串 | 用戶類型。 | -- |
下一步
本文件說明 sentinel 實體行為分析數據表架構Microsoft。
- 深入瞭解 實體行為分析。
- 在 Microsoft Sentinel 中啟用 UEBA。
- 將 UEBA 用於 您的調查。