Microsoft Sentinel UEBA 參考
本參考文章列出 Microsoft Sentinel 中使用者和實體行為分析服務的輸入數據源。 它也會描述 UEBA 新增至實體的擴充,以提供警示和事件所需的內容。
重要
Microsoft Sentinel 是 Microsoft Defender 入口網站中統一安全性作業平臺的一部分。 Defender 入口網站中的 Microsoft Sentinel 現在支持生產環境使用。 如需詳細資訊,請參閱 Microsoft Defender 入口網站中的 Microsoft Sentinel。
UEBA 數據源
這些是 UEBA 引擎收集和分析數據的數據源,用來定型 ML 模型,併為使用者、裝置和其他實體設定行為基準。 然後,UEBA 會查看來自這些來源的數據,以尋找異常和擷取見解。
| 資料來源 | 事件 |
|---|---|
| Microsoft Entra ID 登入記錄 |
全部 |
| Microsoft Entra ID 稽核記錄 |
ApplicationManagement DirectoryManagement GroupManagement 裝置 RoleManagement UserManagementCategory |
| Azure 活動記錄 | 授權 AzureActiveDirectory 計費 計算 耗用 KeyVault 裝置 網路 資源 Intune 邏輯 Sql 儲存體 |
| Windows 安全性事件 WindowsEvent 或 SecurityEvent |
4624:已成功登入帳戶 4625:帳戶無法登入 4648:嘗試使用明確認證登入 4672:指派給新登入的特殊許可權 4688:已建立新的程式 |
UEBA 擴充
本節說明 UEBA 新增至 Microsoft Sentinel 實體的擴充,以及其所有詳細數據,可讓您用來專注並強化安全性事件調查。 這些擴充會顯示在 實體頁面上 ,可以在下列Log Analytics資料表中找到,其內容和架構如下所列:
BehaviorAnalytics 數據表是 UEBA 輸出資訊的儲存位置。
下列來自 BehaviorAnalytics 數據表的三個動態欄位會在下列實體擴充動態欄位一節中說明。
UsersInsights 和 DevicesInsights 字段包含 Active Directory /Microsoft Entra ID 和 Microsoft Threat Intelligence 來源的實體資訊。
ActivityInsights 字段會根據 Microsoft Sentinel 實體行為分析所建立的行為配置檔,包含實體資訊。
用戶活動會根據每次使用時動態編譯的基準進行分析。 每個活動都有其定義的回溯期間,動態基準是從中衍生而來。 回溯期間是在下表的 [比較基準] 數據行中指定。
IdentityInfo 數據表是將身分識別資訊從 Microsoft Entra ID 同步處理至 UEBA 的位置(以及透過 適用於身分識別的 Microsoft Defender 從 內部部署的 Active Directory 進行儲存。
BehaviorAnalytics 數據表
下表描述 Microsoft Sentinel 中每個 實體詳細數據頁面上 顯示的行為分析數據。
| 欄位 | 類型 | 描述 |
|---|---|---|
| TenantId | 字串 | 租使用者的唯一標識碼。 |
| SourceRecordId | 字串 | EBA 事件的唯一標識碼。 |
| TimeGenerated | Datetime | 活動的發生時間戳。 |
| TimeProcessed | Datetime | EBA 引擎處理活動的時間戳。 |
| ActivityType | 字串 | 活動的高階類別。 |
| ActionType | 字串 | 活動的標準化名稱。 |
| 使用者名稱 | 字串 | 起始活動之用戶的用戶名稱。 |
| UserPrincipalName | 字串 | 起始活動之使用者的完整用戶名稱。 |
| EventSource | 字串 | 提供原始事件的數據源。 |
| SourceIPAddress | 字串 | 起始活動的IP位址。 |
| SourceIPLocation | 字串 | 從起始活動的國家/地區,從IP位址擴充。 |
| SourceDevice | 字串 | 起始活動的裝置主機名。 |
| DestinationIPAddress | 字串 | 活動的目標的IP位址。 |
| DestinationIPLocation | 字串 | 活動目標的國家/地區,從IP位址擴充。 |
| DestinationDevice | 字串 | 目標裝置的名稱。 |
| UsersInsights | dynamic | 相關使用者的內容擴充(詳細數據如下)。 |
| DevicesInsights | dynamic | 相關裝置的內容擴充(詳細數據如下)。 |
| ActivityInsights | dynamic | 根據我們的分析進行活動的內容分析(詳細數據如下)。 |
| InvestigationPriority | int | 異常分數,介於0-10之間(0=良性,10=高度異常)。 |
實體擴充動態欄位
UsersInsights 欄位
下表描述 BehaviorAnalytics 數據表中 UsersInsights 動態字段中精選的擴充:
| 擴充名稱 | 描述 | 範例值 |
|---|---|---|
| 帳戶顯示名稱 (AccountDisplayName) |
用戶的帳戶顯示名稱。 | 管理員,海登·庫克 |
| 帳戶網域 (AccountDomain) |
用戶的帳戶功能變數名稱。 | |
| 帳戶物件標識碼 (AccountObjectID) |
用戶的帳戶物件標識碼。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| 爆破半徑 (BlastRadius) |
爆炸半徑是根據數個因素來計算:用戶在組織樹狀結構中的位置,以及使用者的 Microsoft Entra 角色和許可權。 用戶必須在 Microsoft Entra ID 中填入 Manager 屬性,才能 計算 BlastRadius 。 | 低、中、高 |
| 是休眠帳戶 (IsDormantAccount) |
過去180天未使用帳戶。 | True、False |
| 這是本機系統管理員 (IsLocal 管理員) |
帳戶具有本機系統管理員許可權。 | True、False |
| 是新的帳戶 (IsNewAccount) |
帳戶是在過去30天內建立的。 | True、False |
| 內部部署 SID (OnPremisesSID) |
與動作相關的用戶內部部署 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 欄位
下表描述 BehaviorAnalytics 數據表中 DevicesInsights 動態字段中精選的擴充:
| 擴充名稱 | 描述 | 範例值 |
|---|---|---|
| 瀏覽器 (瀏覽器) |
動作中使用的瀏覽器。 | Edge、Chrome |
| 裝置系列 (DeviceFamily) |
動作中使用的裝置系列。 | Windows |
| 裝置類型: (DeviceType) |
動作中使用的用戶端裝置類型 | Desktop (電腦) |
| Isp (ISP) |
動作中使用的因特網服務提供者。 | |
| 作業系統 (OperatingSystem) |
動作中使用的作業系統。 | Windows 10 |
| 威脅 Intel 指標描述 (ThreatIntelIndicatorDescription) |
從動作中使用的IP位址解析之觀察到的威脅指標描述。 | 主機是 Botnet 的成員:azorult |
| 威脅 Intel 指標類型 (ThreatIntelIndicatorType) |
從動作中使用的IP位址解析的威脅指標類型。 | Botnet、C2、CryptoMining、Darknet、Ddos、MalwareUrl、Malware、Phishing、Proxy、PUA、Watchlist |
| 使用者代理程式 (UserAgent) |
動作中使用的使用者代理程式。 | Microsoft Azure Graph 用戶端連結庫 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| 使用者代理程式系列 (UserAgentFamily) |
動作中使用的使用者代理程式系列。 | Chrome、Edge、Firefox |
ActivityInsights 欄位
下表描述 BehaviorAnalytics 數據表中 ActivityInsights 動態字段中精選的擴充:
執行動作
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次執行動作 (FirstTimeUserPerformedAction) |
180 | 使用者第一次執行動作。 | True、False |
| 使用者不常執行的動作 (ActionUncommonlyPerformedByUser) |
10 | 使用者通常不會執行動作。 | True、False |
| 在對等之間不常執行的動作 (ActionUncommonlyPerformedAmongPeers) |
180 | 動作通常不會在使用者的對等之間執行。 | True、False |
| 第一次在租用戶中執行的動作 (FirstTimeActionPerformedInTenant) |
180 | 此動作是由組織中的任何人第一次執行。 | True、False |
| 租使用者中不常執行的動作 (ActionUncommonlyPerformedInTenant) |
180 | 此動作通常不會在組織中執行。 | True、False |
使用的應用程式
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次使用應用程式 (FirstTimeUserUsedApp) |
180 | 使用者第一次使用應用程式。 | True、False |
| 使用者不常使用的應用程式 (AppUncommonlyUsedByUser) |
10 | 使用者通常不會使用應用程式。 | True、False |
| 在對等之間不常使用的應用程式 (AppUncommonlyUsedAmongPeers) |
180 | 應用程式通常不會在使用者的對等之間使用。 | True、False |
| 第一次在租用戶中觀察到的應用程式 (FirstTimeAppObservedInTenant) |
180 | 第一次在組織中觀察到應用程式。 | True、False |
| 租用戶中經常使用的應用程式 (AppUncommonlyUsedInTenant) |
180 | 應用程式不常用於組織。 | True、False |
使用的瀏覽器
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次透過瀏覽器連線 (FirstTimeUser 連線 edViaBrowser) |
30 | 使用者第一次觀察到瀏覽器。 | True、False |
| 使用者不常使用的瀏覽器 (BrowserUncommonlyUsedByUser) |
10 | 使用者通常不會使用瀏覽器。 | True、False |
| 在對等之間不常使用瀏覽器 (BrowserUncommonlyUsedAmongPeers) |
30 | 瀏覽器通常不會在使用者的對等之間使用。 | True、False |
| 第一次在租用戶中觀察到瀏覽器 (FirstTimeBrowserObservedInTenant) |
30 | 第一次在組織中觀察到瀏覽器。 | True、False |
| 租用戶中經常使用的瀏覽器 (BrowserUncommonlyUsedInTenant) |
30 | 在組織中通常不會使用瀏覽器。 | True、False |
從連線的國家/地區
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次從國家/地區連線 (FirstTimeUser 連線 edFromCountry) |
90 | 從IP位址解析的地理位置第一次由用戶連線。 | True、False |
| 使用者不常從連線的國家/地區 (CountryUncommonly 連線 edFromByUser) |
10 | 從IP位址解析的地理位置通常不會由用戶連線。 | True、False |
| 國家/地區很少從同儕之間連線 (CountryUncommonly 連線 edFromAmongPeers) |
90 | 從IP位址解析的地理位置通常不會從使用者的對等之間連線。 | True、False |
| 第一次從租用戶中觀察到的國家/地區連線 (FirstTime 連線 ionFromCountryObservedInTenant) |
90 | 國家/地區第一次由組織中的任何人連接。 | True、False |
| 從租使用者中不常連線的國家/地區 (CountryUncommonly 連線 edFromInTenant) |
90 | 從IP位址解析的地理位置通常不會從組織中連線。 | True、False |
用來連線的裝置
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次從裝置連線 (FirstTimeUser 連線 edFromDevice) |
30 | 使用者第一次從連線來源裝置。 | True、False |
| 使用者不常使用的裝置 (DeviceUncommonlyUsedByUser) |
10 | 使用者通常不會使用裝置。 | True、False |
| 在對等之間不常使用的裝置 (DeviceUncommonlyUsedAmongPeers) |
180 | 裝置通常不會在使用者的對等之間使用。 | True、False |
| 第一次在租用戶中觀察到裝置 (FirstTimeDeviceObservedInTenant) |
30 | 裝置第一次在組織中觀察到。 | True、False |
| 租用戶中經常使用的裝置 (DeviceUncommonlyUsedInTenant) |
180 | 裝置不常用於組織。 | True、False |
其他裝置相關
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次登入裝置 (FirstTimeUserLoggedOnToDevice) |
180 | 使用者第一次連線到目的地裝置。 | True、False |
| 租用戶中經常使用的裝置系列 (DeviceFamilyUncommonlyUsedInTenant) |
30 | 裝置系列不常用於組織。 | True、False |
用來連線的因特網服務提供者
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 第一次透過 ISP 連線的使用者 (FirstTimeUser 連線 edViaISP) |
30 | 使用者第一次觀察到 ISP。 | True、False |
| 使用者很少使用 ISP (ISPUncommonlyUsedByUser) |
10 | 使用者通常不會使用 ISP。 | True、False |
| ISP 在對等之間很少使用 (ISPUncommonlyUsedAmongPeers) |
30 | ISP 通常不會在使用者的對等之間使用。 | True、False |
| 第一次透過租使用者中的 ISP 連線 (FirstTime 連線 ionViaISPInTenant) |
30 | ISP 第一次在組織中觀察到。 | True、False |
| 在租使用者中很少使用 ISP (ISPUncommonlyUsedInTenant) |
30 | ISP 不常用於組織。 | True、False |
資源已存取
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 使用者第一次存取資源 (FirstTimeUserAccessedResource) |
180 | 使用者第一次存取資源。 | True、False |
| 使用者不常存取的資源 (ResourceUncommonlyAccessedByUser) |
10 | 使用者通常不會存取資源。 | True、False |
| 在對等之間不常存取的資源 (ResourceUncommonlyAccessedAmongPeers) |
180 | 使用者對等之間通常不會存取資源。 | True、False |
| 第一次在租使用者中存取資源 (FirstTimeResourceAccessedInTenant) |
180 | 組織中的任何人第一次存取資源。 | True、False |
| 租用戶中經常存取的資源 (ResourceUncommonlyAccessedInTenant) |
180 | 組織通常不會存取資源。 | True、False |
其他
| 擴充名稱 | 比較基準 (天) | 描述 | 範例值 |
|---|---|---|---|
| 上次使用者執行動作的時間 (LastTimeUserPerformedAction) |
180 | 使用者上次執行相同動作的時間。 | <Timestamp> |
| 過去未執行類似的動作 (SimilarActionWasn'tPerformedInThePast) |
30 | 使用者未執行相同資源提供者中的動作。 | True、False |
| 來源IP位置 (SourceIPLocation) |
N/A | 從動作的來源IP解析的國家/地區。 | [英格蘭薩里] |
| 不常見的大量作業 (UncommonHighVolumeOfOperations) |
7 | 使用者在同一個提供者內執行了類似作業的高載 | True、False |
| 不尋常的 Microsoft Entra 條件式存取失敗數目 (UnusualNumberOfAADConditionalAccessFailures) |
5 | 由於條件式存取而無法驗證不尋常的用戶數目 | True、False |
| 新增的異常裝置數目 (UnusualNumberOfDevicesAdded) |
5 | 使用者新增了不尋常的裝置數目。 | True、False |
| 刪除的異常裝置數目 (UnusualNumberOfDevicesDeleted) |
5 | 用戶刪除了不尋常的裝置數目。 | True、False |
| 新增至群組的不尋常用戶數目 (UnusualNumberOfUsersAddedToGroup) |
5 | 使用者已將不尋常的用戶數目新增至群組。 | True、False |
IdentityInfo 數據表
為 Microsoft Sentinel 工作區啟用 UEBA 之後,Microsoft Entra ID 中的數據會同步處理至 Log Analytics 中的 IdentityInfo 數據表,以用於 Microsoft Sentinel。 您可以在分析規則中內嵌從 Microsoft Entra ID 同步處理的用戶數據,以增強分析以符合使用案例並減少誤判。
雖然初始同步處理可能需要幾天的時間,但一旦數據完全同步處理:
Microsoft Entra ID 中對使用者配置檔所做的變更會在 15 分鐘內在 IdentityInfo 數據表中更新。
群組和角色資訊會在 IdentityInfo 數據表與 Microsoft Entra ID 之間每日同步處理。
每 14 天,Microsoft Sentinel 會重新與您的整個 Microsoft Entra 標識符同步處理,以確保過時的記錄已完整更新。
IdentityInfo 數據表中的預設保留時間是 30 天。
注意
目前僅支援內建角色。
目前不支援已刪除群組的相關數據,其中使用者已從群組中移除。
IdentityInfo 數據表實際上有兩個版本:一個在Log Analytics架構中提供 Microsoft Sentinel,另一個則透過 適用於身分識別的 Microsoft Defender 提供 Microsoft Defender 入口網站,稱為進階搜捕架構。 這兩個數據表版本都由 Microsoft Entra ID 提供,但 Log Analytics 版本新增了幾個字段。
Defender 入口網站中的統一安全性作業平臺會使用此數據表的進階搜捕版本,因此,為了將數據表版本之間的差異降到最低,Log Analytics 版本中的大部分唯一字段也會逐漸新增至進階搜捕版本。 無論您在哪一個入口網站中使用 Microsoft Sentinel,您都可以存取幾乎相同的信息,不過版本之間的同步處理可能會有一小段時間的延遲。
下表描述 log Analytics Azure 入口網站 中 IdentityInfo 數據表中包含的使用者身分識別數據。 第四欄會顯示 Microsoft Sentinel 在 Defender 入口網站中使用的數據表進 階搜捕 版本中對應的欄位。 粗體中的功能變數名稱在進階搜捕架構中的名稱與 Microsoft Sentinel Log Analytics 版本中的名稱不同。
| 中的功能變數名稱 Log Analytics 架構 |
類型 | 描述 | 中的功能變數名稱 進階搜捕 架構 |
|---|---|---|---|
| AccountCloudSID | 字串 | 帳戶的 Microsoft Entra 安全性識別碼。 | CloudSid |
| AccountCreationTime | Datetime | 用戶帳戶建立的日期(UTC)。 | CreatedDateTime |
| AccountDisplayName | 字串 | 用戶帳戶的顯示名稱。 | AccountDisplayName |
| AccountDomain | 字串 | 用戶帳戶的功能變數名稱。 | AccountDomain |
| AccountName | 字串 | 用戶帳戶的用戶名稱。 | AccountName |
| AccountObjectId | 字串 | 用戶帳戶的 Microsoft Entra 物件識別碼。 | AccountObjectId |
| AccountSID | 字串 | 用戶帳戶的內部部署安全性標識碼。 | AccountSID |
| AccountTenantId | 字串 | 用戶帳戶的 Microsoft Entra 租使用者識別碼。 | -- |
| AccountUPN | 字串 | 用戶帳戶的用戶主體名稱。 | AccountUPN |
| AdditionalMailAddresses | dynamic | 使用者的其他電子郵件位址。 | -- |
| AssignedRoles | dynamic | 用戶帳戶指派給的 Microsoft Entra 角色。 | AssignedRoles |
| BlastRadius | 字串 | 根據使用者在組織樹狀結構中的位置和使用者的 Microsoft Entra 角色和許可權來計算。 可能的值: 低、中、高 |
-- |
| ChangeSource | 字串 | 實體最新變更的來源。 可能的值: |
ChangeSource |
| CompanyName | 用戶所屬的公司名稱。 | -- | |
| 市/鎮 | 字串 | 用戶帳戶的城市。 | 縣/市 |
| 國家/地區 | 字串 | 用戶帳戶的國家/地區。 | Country |
| DeletedDateTime | Datetime | 刪除使用者的日期和時間。 | -- |
| 部門 | 字串 | 用戶帳戶的部門。 | 部門 |
| GivenName | 字串 | 用戶帳戶的指定名稱。 | GivenName |
| GroupMembership | dynamic | 用戶帳戶為成員的 Microsoft Entra 群組。 | -- |
| IsAccountEnabled | bool | 指出是否在 Microsoft Entra ID 中啟用用戶帳戶。 | IsAccountEnabled |
| JobTitle | 字串 | 用戶帳戶的職稱。 | JobTitle |
| MailAddress | 字串 | 用戶帳戶的主要電子郵件位址。 | EmailAddress |
| 經理 | 字串 | 用戶帳戶的管理員別名。 | 經理 |
| OnPremisesDistinguishedName | 字串 | Microsoft Entra ID 辨別名稱 (DN)。 辨別名稱是一連串的相對辨別名稱(RDN),由逗號連接。 | DistinguishedName |
| 手機 | 字串 | 用戶帳戶的電話號碼。 | 手機 |
| SourceSystem | 字串 | 管理用戶的系統。 可能的值: |
SourceProvider |
| 州 (縣/市) | 字串 | 用戶帳戶的地理狀態。 | 州/省 |
| StreetAddress | 字串 | 用戶帳戶的辦公室街道位址。 | 地址 |
| 姓 | 字串 | 使用者的姓氏。 account。 | Surname |
| TenantId | 字串 | 使用者的租用戶標識碼。 | -- |
| TimeGenerated | Datetime | 產生事件的時間(UTC)。 | Timestamp |
| 型別 | 字串 | 資料表的名稱。 | -- |
| UserAccountControl | dynamic | AD 網域中用戶帳戶的安全性屬性。 可能的值(可能包含多個值): |
-- |
| UserState | 字串 | Microsoft Entra ID 中用戶帳戶的目前狀態。 可能的值: |
-- |
| UserStateChangedOn | Datetime | 上次帳戶狀態變更的日期(UTC)。 | -- |
| UserType | 字串 | 用戶類型。 | -- |
下一步
本文件說明 Microsoft Sentinel 實體行為分析數據表架構。
- 深入瞭解 實體行為分析。
- 在 Microsoft Sentinel 中啟用 UEBA。
- 將 UEBA 用於 您的調查。