Referenční informace k jazyku UEBA pro Microsoft Sentinel
Tento referenční článek obsahuje seznam vstupních zdrojů dat pro službu Analýza chování uživatelů a entit v Microsoft Sentinelu. Popisuje také rozšiřování, které UEBA přidává k entitám, a poskytuje potřebný kontext pro výstrahy a incidenty.
Důležité
Microsoft Sentinel je teď obecně dostupný na portálu Microsoft Defenderu na sjednocené platformě operací zabezpečení Microsoftu. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.
Zdroje dat UEBA
Jedná se o zdroje dat, ze kterých modul UEBA shromažďuje a analyzuje data za účelem trénování modelů ML a nastavení standardních hodnot chování pro uživatele, zařízení a další entity. UEBA pak prohlédne data z těchto zdrojů a vyhledá anomálie a gleanské přehledy.
| Zdroj dat | Události |
|---|---|
| Microsoft Entra ID Protokoly přihlašování |
Všechny |
| Microsoft Entra ID Protokoly auditu |
ApplicationManagement DirectoryManagement GroupManagement Zařízení RoleManagement UserManagementCategory |
| Protokoly aktivit Azure | Autorizace AzureActiveDirectory Fakturace Compute Využití KeyVault Zařízení Síť Zdroje informací Intune Logika Sql Úložiště |
| Zabezpečení Windows události WindowsEvent nebo SecurityEvent |
4624: Účet byl úspěšně přihlášen 4625: Účet se nepodařilo přihlásit 4648: Došlo k pokusu o přihlášení pomocí explicitních přihlašovacích údajů 4672: Zvláštní oprávnění přiřazená k novému přihlášení 4688: Byl vytvořen nový proces |
Rozšiřování UEBA
Tato část popisuje rozšíření UEBA přidává do entit Microsoft Sentinelu spolu se všemi jejich podrobnostmi, které můžete použít k zaměření a zostření vyšetřování incidentů zabezpečení. Tyto rozšiřování se zobrazují na stránkách entit a najdete je v následujících tabulkách Log Analytics, jejich obsah a schéma jsou uvedené níže:
V tabulce BehaviorAnalytics se ukládají výstupní informace jazyka UEBA.
Následující tři dynamická pole z tabulky BehaviorAnalytics jsou popsána v části o rozšiřování dynamických polí entity níže.
Pole UsersInsights a DevicesInsights obsahují informace o entitách ze služby Active Directory / Microsoft Entra ID a zdrojů Microsoft Threat Intelligence.
Pole ActivityInsights obsahuje informace o entitách na základě profilů chování vytvořených analýzou chování entit služby Microsoft Sentinel.
Aktivity uživatelů se analyzují podle směrného plánu, který se dynamicky kompiluje při každém použití. Každá aktivita má definované období zpětného vyhledávání, ze kterého se odvozuje dynamický směrný plán. Období zpětného vyhledávání je zadané ve sloupci Směrný plán v této tabulce.
V tabulce IdentityInfo se ukládají informace o identitě synchronizované s UEBA z ID Microsoft Entra (a z místní Active Directory přes Microsoft Defender for Identity).
Tabulka BehaviorAnalytics
Následující tabulka popisuje data analýzy chování zobrazená na každé stránce podrobností entity v Microsoft Sentinelu.
| Pole | Typ | Popis |
|---|---|---|
| Id tenanta | string | Jedinečný počet ID tenanta. |
| SourceRecordId | string | Jedinečné identifikační číslo události EBA. |
| TimeGenerated | datetime | Časové razítko výskytu aktivity. |
| TimeProcessed | datetime | Časové razítko zpracování činnosti modulem EBA. |
| ActivityType | string | Kategorie aktivity vysoké úrovně. |
| ActionType | string | Normalizovaný název aktivity. |
| UserName | string | Uživatelské jméno uživatele, který aktivitu inicioval. |
| UserPrincipalName | string | Úplné uživatelské jméno uživatele, který aktivitu zahájil. |
| EventSource | string | Zdroj dat, který poskytl původní událost. |
| SourceIPAddress | string | IP adresa, ze které byla aktivita zahájena. |
| SourceIPLocation | string | Země, ze které byla aktivita zahájena, rozšířená z IP adresy. |
| SourceDevice | string | Název hostitele zařízení, které aktivitu iniciovalo. |
| DestinationIPAddress | string | IP adresa cíle aktivity. |
| DestinationIPLocation | string | Země cíle aktivity rozšířená z IP adresy. |
| DestinationDevice | string | Název cílového zařízení. |
| UsersInsights | dynamic | Kontextové rozšiřování zahrnutých uživatelů (podrobnosti najdete níže). |
| DevicesInsights | dynamic | Kontextové rozšiřování zahrnutých zařízení (podrobnosti najdete níže). |
| ActivityInsights | dynamic | Kontextová analýza aktivity na základě naší profilace (podrobnosti níže). |
| InvestigationPriority | int | Skóre anomálií v rozmezí od 0 do 10 (0=neškodné, 10=velmi neobvyklé). |
Rozšíření entit – dynamická pole
Poznámka:
Sloupec Název rozšiřování v tabulkách v této části zobrazuje dva řádky informací.
- První, tučným písmem, je "popisný název" rozšiřování.
- Druhá (kurzíva a závorky) je název pole rozšiřování, které je uložené v tabulce Behavior Analytics.
Pole UsersInsights
Následující tabulka popisuje rozšíření doporučená v dynamickém poli UsersInsights v tabulce BehaviorAnalytics:
| Název rozšiřování | Popis | Ukázková hodnota |
|---|---|---|
| Zobrazovaný název účtu (AccountDisplayName) |
Zobrazovaný název účtu uživatele. | Admin, Hayden Cook |
| Doména účtu (AccountDomain) |
Název domény účtu uživatele. | |
| ID objektu účtu (AccountObjectID) |
ID objektu účtu uživatele. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Poloměr výbuchu (BlastRadius) |
Poloměr výbuchu se počítá na základě několika faktorů: pozice uživatele ve stromu organizace a role a oprávnění uživatele Microsoft Entra. Aby se mohl vypočítat, musí mít uživatel vlastnost Manager vyplněnou v Microsoft Entra ID pro BlastRadius . | Nízká, Střední, Vysoká |
| Je neaktivní účet (IsDormantAccount) |
Účet se během posledních 180 dnů nepoužil. | True, False |
| Je místní správce (IsLocalAdmin) |
Účet má oprávnění místního správce. | True, False |
| Je nový účet (IsNewAccount) |
Účet byl vytvořen během posledních 30 dnů. | True, False |
| Místní identifikátor SID (OnPremisesSID) |
Místní identifikátor SID uživatele související s akcí. | S-1-5-21-1112946627-1321165628-243734228-1103 |
Pole DevicesInsights
Následující tabulka popisuje rozšíření doporučená v dynamickém poli DevicesInsights v tabulce BehaviorAnalytics:
| Název rozšiřování | Popis | Ukázková hodnota |
|---|---|---|
| Prohlížeč (Prohlížeč) |
Prohlížeč použitý v akci. | Edge, Chrome |
| Řada zařízení (DeviceFamily) |
Řada zařízení použitá v akci. | Windows |
| Typ zařízení (DeviceType) |
Typ klientského zařízení použitý v akci | Desktop |
| ISP (ISP) |
Poskytovatel internetových služeb použitý v akci. | |
| Operační systém (OperatingSystem) |
Operační systém použitý v akci. | Windows 10 |
| Popis indikátoru informací o hrozbě (ThreatIntelIndicatorDescription) |
Popis zjištěného indikátoru hrozby vyřešeného z IP adresy použité v akci. | Hostitel je členem botnetu: azorult |
| Typ ukazatele intel hrozby (ThreatIntelIndicatorType) |
Typ indikátoru hrozby vyřešený z IP adresy použité v akci. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Uživatelský agent (UserAgent) |
Uživatelský agent použitý v akci. | Klientská knihovna Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Řada uživatelských agentů (UserAgentFamily) |
Řada uživatelských agentů použitá v akci. | Chrome, Edge, Firefox |
Pole ActivityInsights
Následující tabulky popisují rozšíření doporučená v dynamickém poli ActivityInsights v tabulce BehaviorAnalytics:
Provedená akce
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Akce provedená uživatelem při prvním spuštění (FirstTimeUserPerformedAction) |
180 | Akce byla provedena poprvé uživatelem. | True, False |
| Méně časté akce prováděné uživatelem (ActionUncommonlyPerformedByUser) |
10 | Uživatel tuto akci běžně neprovádí. | True, False |
| Méně časté akce prováděné mezi partnerskými účastníky (ActionUncommonlyPerformedAmongPeers) |
180 | Tato akce se běžně neprovádí mezi partnerskými vztahy uživatelů. | True, False |
| První akce provedená v tenantovi (FirstTimeActionPerformedInTenant) |
180 | Akce byla provedena poprvé kýmkoli v organizaci. | True, False |
| Méně časté akce prováděné v tenantovi (ActionUncommonlyPerformedInTenant) |
180 | Akce se v organizaci běžně neprovádí. | True, False |
Použitá aplikace
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| První použití aplikace uživatelem (FirstTimeUserUsedApp) |
180 | Aplikace byla poprvé použita uživatelem. | True, False |
| Méně časté používání aplikace uživatelem (AppUncommonlyUsedByUser) |
10 | Uživatel aplikaci běžně nepoužívá. | True, False |
| Aplikace se mezi partnerskými partnery běžně používá (AppUncommonlyUsedAmongPeers) |
180 | Aplikace se běžně nepoužívá mezi partnerskými vztahy uživatelů. | True, False |
| První zjištěná aplikace v tenantovi (FirstTimeAppObservedInTenant) |
180 | Aplikace byla pozorována poprvé v organizaci. | True, False |
| Aplikace se v tenantovi běžně používá (AppUncommonlyUsedInTenant) |
180 | Aplikace se v organizaci běžně nepoužívá. | True, False |
Použitý prohlížeč
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním připojení uživatele přes prohlížeč (FirstTimeUserConnectedViaBrowser) |
30 | Prohlížeč poprvé zaznamenal uživatel. | True, False |
| Prohlížeč běžně používaný uživatelem (BrowserUncommonlyUsedByUser) |
10 | Uživatel prohlížeč běžně nepoužívá. | True, False |
| Prohlížeč se mezi partnerskými partnery běžně používá (BrowserUncommonlyUsedAmongPeers) |
30 | Prohlížeč se běžně nepoužívá mezi partnerskými vztahy uživatelů. | True, False |
| První zobrazení prohlížeče v tenantovi (FirstTimeBrowserObservedInTenant) |
30 | Prohlížeč byl pozorován poprvé v organizaci. | True, False |
| Prohlížeč se v tenantovi běžně používá (BrowserUncommonlyUsedInTenant) |
30 | Prohlížeč se v organizaci běžně nepoužívá. | True, False |
Země připojená z
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním připojení uživatele ze země (FirstTimeUserConnectedFromCountry) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, bylo poprvé připojeno uživatelem. | True, False |
| Země méně časté spojení od uživatele (CountryUncommonlyConnectedFromByUser) |
10 | Geografické umístění, jak je vyřešeno z IP adresy, není běžně připojeno uživatelem. | True, False |
| Země neobvykle propojená z partnerských vztahů (CountryUncommonlyConnectedFromAmongPeers) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, se běžně nepřipojí mezi partnerskými vztahy uživatelů. | True, False |
| První připojení ze země zjištěné v tenantovi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Země byla poprvé propojena kýmkoli v organizaci. | True, False |
| Země méně často připojená z tenanta (CountryUncommonlyConnectedFromInTenant) |
90 | Geografické umístění, jak je vyřešeno z IP adresy, se v organizaci běžně nepřipojí. | True, False |
Zařízení používané k připojení
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním připojení uživatele ze zařízení (FirstTimeUserConnectedFromDevice) |
30 | Zdrojové zařízení bylo poprvé připojeno uživatelem. | True, False |
| Zařízení, které uživatel používá méně často (DeviceUncommonlyUsedByUser) |
10 | Zařízení běžně nepoužívá uživatel. | True, False |
| Zařízení se běžně používá mezi partnerskými vztahy (DeviceUncommonlyUsedAmongPeers) |
180 | Zařízení se běžně nepoužívá mezi partnerskými vztahy uživatelů. | True, False |
| První pozorování zařízení v tenantovi (FirstTimeDeviceObservedInTenant) |
30 | Zařízení bylo pozorováno poprvé v organizaci. | True, False |
| Méně časté použití zařízení v tenantovi (DeviceUncommonlyUsedInTenant) |
180 | Zařízení se v organizaci běžně nepoužívá. | True, False |
Jiné zařízení
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním přihlášení uživatele k zařízení (FirstTimeUserLoggedOnToDevice) |
180 | Cílové zařízení bylo poprvé připojeno uživatelem. | True, False |
| Řada zařízení se v tenantovi běžně používá (DeviceFamilyUncommonlyUsedInTenant) |
30 | Řada zařízení se v organizaci běžně nepoužívá. | True, False |
Poskytovatel internetových služeb používaný k připojení
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním připojení uživatele přes isP (FirstTimeUserConnectedViaISP) |
30 | IsP byl poprvé zjištěn uživatelem. | True, False |
| IsP uncommonly used by user (ISPUncommonlyUsedByUser) |
10 | IsP není běžně používán uživatelem. | True, False |
| IsP se mezi partnerskými partnery běžně používá (ISPUncommonlyUsedAmongPeers) |
30 | IsP se mezi partnerskými vztahy uživatelů běžně nepoužívá. | True, False |
| První připojení přes isP v tenantovi (FirstTimeConnectionViaISPInTenant) |
30 | IsP byl poprvé pozorován v organizaci. | True, False |
| IsP se v tenantovi běžně používá (ISPUncommonlyUsedInTenant) |
30 | IsP se v organizaci běžně nepoužívá. | True, False |
Byl získán přístup k prostředku.
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Při prvním přístupu uživatele k prostředku (FirstTimeUserAccessedResource) |
180 | K prostředku se uživatel poprvé dostal. | True, False |
| Prostředek, ke který uživatel přistupuje méně často (ResourceUncommonlyAccessedByUser) |
10 | K prostředku obvykle nemá uživatel přístup. | True, False |
| Méně časté přístupy k prostředkům mezi partnerskými partnery (ResourceUncommonlyAccessedAmongPeers) |
180 | K prostředku se běžně nepřistupuje mezi partnerskými vztahy uživatelů. | True, False |
| Při prvním přístupu k prostředku v tenantovi (FirstTimeResourceAccessedInTenant) |
180 | K prostředku se poprvé dostal někdo z organizace. | True, False |
| Méně často přístupný prostředek v tenantovi (ResourceUncommonlyAccessedInTenant) |
180 | Prostředek není v organizaci běžně přístupný. | True, False |
Různé
| Název rozšiřování | Směrný plán (dny) | Popis | Ukázková hodnota |
|---|---|---|---|
| Čas, kdy uživatel naposledy provedl akci (LastTimeUserPerformedAction) |
180 | Čas, kdy uživatel naposledy provedl stejnou akci | <Timestamp> |
| Podobná akce nebyla provedena v minulosti. (SimilarActionWasn'tPerformedInThePast) |
30 | Uživatel neprováděl žádnou akci ve stejném poskytovateli prostředků. | True, False |
| Umístění zdrojové IP adresy (SourceIPLocation) |
– | Země se přeložila ze zdrojové IP adresy akce. | [Surrey, Anglie] |
| Méně časté velké objemy operací (UncommonHighVolumeOfOperations) |
7 | Uživatel provedl nárůst podobných operací v rámci stejného poskytovatele. | True, False |
| Neobvyklý počet selhání podmíněného přístupu Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Neobvyklý počet uživatelů se nepodařilo ověřit kvůli podmíněnému přístupu. | True, False |
| Neobvyklý počet přidaných zařízení (UnusualNumberOfDevicesAdded) |
5 | Uživatel přidal neobvyklý počet zařízení. | True, False |
| Neobvyklý počet odstraněných zařízení (UnusualNumberOfDevicesDeleted) |
5 | Uživatel odstranil neobvyklý počet zařízení. | True, False |
| Neobvyklý počet uživatelů přidaných do skupiny (UnusualNumberOfUsersAddedToGroup) |
5 | Uživatel přidal do skupiny neobvyklý počet uživatelů. | True, False |
Tabulka IdentityInfo
Po povolení UEBA pro pracovní prostor Microsoft Sentinel se data z vašeho ID Microsoft Entra synchronizují do tabulky IdentityInfo v Log Analytics pro použití v Microsoft Sentinelu. Do analytických pravidel můžete vkládat uživatelská data synchronizovaná z VAŠEHO ID Microsoft Entra, abyste vylepšili analýzu tak, aby vyhovovala vašim případům použití a snížila falešně pozitivní výsledky.
I když počáteční synchronizace může trvat několik dní, po úplné synchronizaci dat:
Změny profilů uživatelů, skupin a rolí v ID Microsoft Entra se aktualizují v tabulce IdentityInfo během 15 až 30 minut.
Každých 14 dnů se Microsoft Sentinel znovu synchronizuje s celým ID Microsoft Entra, aby se zajistilo, že zastaralé záznamy budou plně aktualizovány.
Výchozí doba uchovávání v tabulce IdentityInfo je 30 dnů.
Omezení
V současné době se podporují jenom předdefinované role.
Data o odstraněných skupinách, ve kterých byl uživatel odebrán ze skupiny, se v současné době nepodporují.
Verze tabulky IdentityInfo
Ve skutečnosti existují dvě verze tabulky IdentityInfo :
- Verze schématu Log Analytics obsluhuje Microsoft Sentinel na webu Azure Portal.
- Verze rozšířeného schématu proaktivního vyhledávání slouží službě Microsoft Sentinel na portálu Microsoft Defenderu prostřednictvím programu Microsoft Defender for Identity.
Obě verze této tabulky se řídí ID Microsoft Entra, ale verze Log Analytics přidala několik polí.
Jednotná platforma operací zabezpečení, která je na portálu Defender, používá rozšířenou verzi této tabulky proaktivního vyhledávání . Aby se minimalizovaly rozdíly mezi dvěma verzemi tabulky, většina jedinečných polí ve verzi Log Analytics se postupně přidává také do verze rozšířeného vyhledávání . Bez ohledu na to, na kterém portálu používáte Microsoft Sentinel, budete mít přístup k téměř všem stejným informacím, i když mezi verzemi může docházet k malé prodlevě. Další informace najdete v dokumentaci k verzi rozšířeného proaktivního vyhledávání této tabulky.
Následující tabulka popisuje data identity uživatele zahrnutá v tabulce IdentityInfo v Log Analytics na webu Azure Portal. Čtvrtý sloupec zobrazuje odpovídající pole v rozšířené verzi tabulky proaktivního vyhledávání , která Microsoft Sentinel používá na portálu Defender. Názvy polí v tučném písmu se v rozšířeném schématu proaktivního vyhledávání označují odlišně než ve verzi Microsoft Sentinel Log Analytics.
| Název pole v Schéma Log Analytics |
Typ | Popis | Název pole v Pokročilé schéma proaktivního vyhledávání |
|---|---|---|---|
| AccountCloudSID | string | Identifikátor zabezpečení Microsoft Entra účtu. | CloudSid |
| AccountCreationTime | datetime | Datum vytvoření uživatelského účtu (UTC). | CreatedDateTime |
| AccountDisplayName | string | Zobrazované jméno uživatelského účtu. | AccountDisplayName |
| AccountDomain | string | Název domény uživatelského účtu. | AccountDomain |
| AccountName | string | Uživatelské jméno uživatelského účtu. | AccountName |
| AccountObjectId | string | ID objektu Microsoft Entra pro uživatelský účet. | AccountObjectId |
| AccountSID | string | Identifikátor místního zabezpečení uživatelského účtu. | AccountSID |
| AccountTenantId | string | ID tenanta Microsoft Entra uživatelského účtu. | -- |
| AccountUPN | string | Hlavní název uživatele uživatelského účtu. | AccountUPN |
| AdditionalMailAddresses | dynamic | Další e-mailové adresy uživatele | -- |
| Přiřazenérole | dynamic | Uživatelskému účtu se přiřadí role Microsoft Entra. | Přiřazenérole |
| BlastRadius | string | Výpočet na základě pozice uživatele ve stromu organizace a rolí a oprávnění Microsoft Entra uživatele. Možné hodnoty: Nízká, Střední, Vysoká |
-- |
| ChangeSource | string | Zdroj nejnovější změny entity. Možné hodnoty: |
ChangeSource |
| CompanyName | Název společnosti, do které uživatel patří. | -- | |
| Město | string | Město uživatelského účtu. | City |
| Země/oblast | string | Země uživatelského účtu. | Země |
| DeletedDateTime | datetime | Datum a čas odstranění uživatele | -- |
| Oddělení | string | Oddělení uživatelského účtu. | Oddělení |
| GivenName | string | Zadané jméno uživatelského účtu. | GivenName |
| GroupMembership | dynamic | Microsoft Entra groups where the user account is a member. | -- |
| IsAccountEnabled | bool | Údaj o tom, jestli je uživatelský účet povolený v MICROSOFT Entra ID, nebo ne. | IsAccountEnabled |
| JobTitle | string | Pracovní pozice uživatelského účtu. | Funkce |
| MailAddress | string | Primární e-mailová adresa uživatelského účtu. | EmailAddress |
| Manažer | string | Alias správce uživatelského účtu. | Manažer |
| OnPremisesDistinguishedName | string | Rozlišující název ID Microsoft Entra (DN). Rozlišující název je posloupnost relativních rozlišujících názvů (RDN), která je propojená čárkou. | DistinguishedName |
| Telefon | string | Telefonní číslo uživatelského účtu. | telefonní |
| SourceSystem | string | Systém, ve kterém je uživatel spravován. Možné hodnoty: |
SourceProvider |
| Kraj | string | Zeměpisný stav uživatelského účtu. | State |
| StreetAddress | string | Adresa poštovní ulice kanceláře uživatelského účtu. | Adresa |
| Příjmení | string | Přezdívka uživatele služby. | Surname |
| Id tenanta | string | ID tenanta uživatele. | -- |
| TimeGenerated | datetime | Čas vygenerování události (UTC). | Timestamp |
| Typ | string | Název tabulky. | -- |
| UserAccountControl | dynamic | Atributy zabezpečení uživatelského účtu v doméně AD. Možné hodnoty (mohou obsahovat více než jednu): |
-- |
| UserState | string | Aktuální stav uživatelského účtu v MICROSOFT Entra ID. Možné hodnoty: |
-- |
| UserStateChangedOn | datetime | Datum poslední změny stavu účtu (UTC). | -- |
| UserType | string | Typ uživatele. | -- |
Další kroky
Tento dokument popisuje schéma tabulky analýzy chování entit služby Microsoft Sentinel.
- Přečtěte si další informace o analýze chování entit.
- Povolte UEBA v Microsoft Sentinelu.
- Umístěte UEBA k použití ve vyšetřování.