Справочник по UEBA для Microsoft Sentinel
В этой справочной статье перечислены источники входных данных для службы "Аналитика поведения пользователей и сущностей" в Microsoft Sentinel. Здесь также описываются обогащения, которые UEBA добавляет к сущностям, предоставляя необходимый контекст для оповещений и инцидентов.
Внимание
Microsoft Sentinel общедоступен в единой платформе операций безопасности Майкрософт на портале Microsoft Defender. Для предварительной версии Microsoft Sentinel доступен на портале Defender без XDR Microsoft Defender или лицензии E5. Дополнительные сведения см . на портале Microsoft Defender в Microsoft Sentinel.
Источники данных UEBA
Это источники данных, из которых подсистема UEBA собирает и анализирует данные для обучения моделей машинного обучения и задания базовых показателей поведения для пользователей, устройств и других сущностей. Затем UEBA просматривает данные из этих источников, чтобы найти аномалии и получить аналитические сведения.
| Источник данных | События |
|---|---|
| Microsoft Entra ID Журналы входа |
Все |
| Microsoft Entra ID Журналы аудита |
ApplicationManagement DirectoryManagement GroupManagement Устройство RoleManagement UserManagementCategory |
| Журналы действий Azure | Авторизация AzureActiveDirectory Выставление счетов Службы вычислений Потребление Key Vault . Network Ресурсы Intune Логика SQL Хранилище |
| События безопасности Windows WindowsEvent или SecurityEvent |
4624: учетная запись успешно использована для входа в систему. 4625: учетную запись не удалось использовать для входа в систему. 4648: попытка входа с явными учетными данными. 4672: особые привилегии назначены новому сеансу входа. 4688: создан новый процесс. |
Обогащение данных UEBA
В этом разделе описываются обогащения, которые UEBA добавляет в сущности Microsoft Sentinel, а также приводятся все сведения о них. Это поможет вам сосредоточиться на расследованиях инцидентов безопасности и сделать их эффективнее. Эти обогащения отображаются на страницах сущностей. Посмотреть их можно в следующих таблицах Log Analytics, содержимое и схема которых перечислены ниже.
В таблице BehaviorAnalytics хранятся выходные данные UEBA.
Приведенные далее три динамических поля из таблицы BehaviorAnalytics описаны в разделе Динамические поля обогащения сущностей ниже.
Поля UsersInsights и DevicesInsights содержат сведения о сущностях из источников Active Directory / Microsoft Entra ID и Microsoft Threat Intelligence.
Поле ActivityInsights содержит сведения о сущности на основе профилей поведения, созданных службой аналитики поведения сущностей Microsoft Sentinel.
Действия пользователя анализируются по базовым показателям, которые динамически компилируется при каждом использовании. Каждое действие имеет определенный период ретроспективного обзора, на основе которого формируются динамические базовые показатели. Период ретроспективного обзора указывается в столбце Baseline (Базовые показатели) в этой таблице.
Таблица IdentityInfo — это место хранения сведений об удостоверениях, синхронизированных с UEBA из идентификатора Microsoft Entra ID (и из локальная служба Active Directory через Microsoft Defender для удостоверений).
Таблица BehaviorAnalytics
В следующей таблице описаны данные аналитики поведения, отображаемые на каждой странице сведений о сущности в Microsoft Sentinel.
| Поле | Тип | Описание |
|---|---|---|
| TenantId | строка | Уникальный идентификатор арендатора. |
| SourceRecordId | строка | Уникальный идентификатор события EBA. |
| TimeGenerated | datetime | Метка времени для вхождения действия. |
| TimeProcessed | datetime | Метка времени обработки действия ядром EBA. |
| ActivityType | строка | Категория действий высокого уровня. |
| ActionType | строка | Нормализованное имя действия. |
| UserName | строка | Имя пользователя, инициировавшего действие. |
| UserPrincipalName | строка | Полное имя пользователя, инициировавшего действие. |
| EventSource | строка | Источник данных, который предоставил исходное событие. |
| SourceIPAddress | строка | IP-адрес, с которого было инициировано действие. |
| SourceIPLocation | строка | Страна или регион, из которого была инициирована деятельность, обогащенная с IP-адреса. |
| SourceDevice | строка | Имя узла устройства, инициировавшего действие. |
| DestinationIPAddress | строка | IP-адрес целевого объекта действия. |
| НазначениеIPLocation | строка | Страна или регион целевого объекта действия, обогащенный с IP-адреса. |
| DestinationDevice | строка | Имя целевого устройства. |
| UsersInsights | по строкам | Контекстное обогащение затронутых пользователей (дополнительные сведения см. ниже). |
| DevicesInsights | по строкам | Контекстное обогащение затронутых устройств (дополнительные сведения см. ниже). |
| ActivityInsights | по строкам | Контекстный анализ действий на основе нашего профилирования (дополнительные сведения см. ниже). |
| InvestigationPriority | INT | Оценка аномалий, от 0-10 (0 = мягкое, 10 = сильно аномальное). |
Динамические поля обогащения сущностей
Примечание.
В столбце Имя обогащения в таблицах в этом разделе отображаются две строки информации.
- Первая строка, выделенная полужирным шрифтом, является понятным именем обогащения.
- Вторая строка (в круглых скобках и выделенная курсивом), является именем поля, которое хранится в таблице BehaviorAnalytics.
Поле UsersInsights
В следующей таблице описаны обогащения, доступные в динамическом поле UsersInsights в таблице BehaviorAnalytics.
| Имя обогащения | Description | Пример значения |
|---|---|---|
| Account display name (AccountDisplayName) |
Отображаемое имя учетной записи пользователя. | Admin, Hayden Cook |
| Домен учетной записи (AccountDomain) |
Доменное имя учетной записи пользователя. | |
| Account object ID (AccountObjectID) |
Идентификатор объекта учетной записи пользователя. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Blast radius (BlastRadius) |
Радиус взрыва вычисляется на основе нескольких факторов: положение пользователя в дереве организации, а также роли и разрешения Microsoft Entra пользователя. Пользователь должен иметь свойство Manager , заполненное в идентификаторе Microsoft Entra для вычисления BlastRadius . | Низкая, Средняя, Высокая |
| Is dormant account (IsDormantAccount) |
Учетная запись, которая не использовалась последние 180 дней. | True, False |
| Is local admin (IsLocalAdmin) |
Учетная запись имеет привилегии локального администратора. | True, False |
| Is new account (IsNewAccount) |
Учетная запись создана не более 30 дней назад. | True, False |
| On premises SID (OnPremisesSID) |
Локальный идентификатор безопасности пользователя, связанного с действием. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Поле DevicesInsights
В следующей таблице описаны обогащения, доступные в динамическом поле DevicesInsights в таблице BehaviorAnalytics.
| Имя обогащения | Description | Пример значения |
|---|---|---|
| Браузер (Browser) |
Браузер, использованный в действии. | Edge, Chrome |
| Семейство устройств (DeviceFamily) |
Семейство устройства, использованного в действии. | Windows |
| Тип устройства (DeviceType) |
Тип клиентского устройства, использованного в действии. | Персональный компьютер |
| ISP (ISP) |
Поставщик услуг Интернета, использованный в действии. | |
| Операционная система (OperatingSystem) |
Операционная система, использованная в действии. | Windows 10 |
| Threat intel indicator description (ThreatIntelIndicatorDescription) |
Описание наблюдаемого индикатора угрозы, разрешенного по IP-адресу, использованному в действии. | Узел является элементом ботнета: azorult |
| Threat intel indicator type (ThreatIntelIndicatorType) |
Тип индикатора угрозы, разрешенного по IP-адресу, использованного в действии. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Агент пользователя (UserAgent) |
Агент пользователя, использованный в действии. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| User agent family (UserAgentFamily) |
Семейство агента пользователя, использованного в действии. | Chrome, Edge, Firefox |
Поле ActivityInsights
В следующей таблице описаны обогащения, доступные в динамическом поле ActivityInsights в таблице BehaviorAnalytics.
Выполненное действие
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user performed action (FirstTimeUserPerformedAction) |
180 | Действие было выполнено пользователем впервые. | True, False |
| Action uncommonly performed by user (ActionUncommonlyPerformedByUser) |
10 | Это действие обычно не выполнялось пользователем. | True, False |
| Action uncommonly performed among peers (ActionUncommonlyPerformedAmongPeers) |
180 | Это действие обычно не выполнялось коллегами пользователя. | True, False |
| First time action performed in tenant (FirstTimeActionPerformedInTenant) |
180 | Действие было выполнено в первый раз кем-либо в организации. | True, False |
| Action uncommonly performed in tenant (ActionUncommonlyPerformedInTenant) |
180 | Это действие обычно не выполнялось в организации. | True, False |
Использованное приложение
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user used app (FirstTimeUserUsedApp) |
180 | Приложение было использовано пользователем в первый раз. | True, False |
| App uncommonly used by user (AppUncommonlyUsedByUser) |
10 | Приложение обычно не использовалось пользователем. | True, False |
| App uncommonly used among peers (AppUncommonlyUsedAmongPeers) |
180 | Приложение обычно не использовалось коллегами пользователя. | True, False |
| First time app observed in tenant (FirstTimeAppObservedInTenant) |
180 | Приложение впервые было выявлено в организации. | True, False |
| App uncommonly used in tenant (AppUncommonlyUsedInTenant) |
180 | Приложение обычно не использовалось в организации. | True, False |
Использованный браузер
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user connected via browser (FirstTimeUserConnectedViaBrowser) |
30 | Браузер был впервые обнаружен у пользователя. | True, False |
| Browser uncommonly used by user (BrowserUncommonlyUsedByUser) |
10 | Браузер обычно не использовался пользователем. | True, False |
| Browser uncommonly used among peers (BrowserUncommonlyUsedAmongPeers) |
30 | Браузер обычно не использовался коллегами пользователя. | True, False |
| First time browser observed in tenant (FirstTimeBrowserObservedInTenant) |
30 | Браузер впервые был обнаружен в организации. | True, False |
| Browser uncommonly used in tenant (BrowserUncommonlyUsedInTenant) |
30 | Браузер обычно не использовался в организации. | True, False |
Страна или регион, подключенный из
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user connected from country (FirstTimeUserConnectedFromCountry) |
90 | Подключение из географического расположения, разрешенного по IP-адресу, было впервые установлено пользователем. | True, False |
| Country uncommonly connected from by user (CountryUncommonlyConnectedFromByUser) |
10 | Подключения из географического расположения, разрешенного по IP-адресу, обычно не устанавливались пользователем. | True, False |
| Country uncommonly connected from among peers (CountryUncommonlyConnectedFromAmongPeers) |
90 | Подключения из географического расположения, разрешенного по IP-адресу, обычно не устанавливались коллегами пользователя. | True, False |
| First time connection from country observed in tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Страна или регион были подключены впервые кем-либо в организации. | True, False |
| Country uncommonly connected from in tenant (CountryUncommonlyConnectedFromInTenant) |
90 | Подключения из географического расположения, разрешенного по IP-адресу, обычно не устанавливались в организации. | True, False |
Устройство, использованное для подключения
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user connected from device (FirstTimeUserConnectedFromDevice) |
30 | Подключение с исходного устройства было впервые принято пользователем. | True, False |
| Device uncommonly used by user (DeviceUncommonlyUsedByUser) |
10 | Устройство обычно не использовалось пользователем. | True, False |
| Device uncommonly used among peers (DeviceUncommonlyUsedAmongPeers) |
180 | Устройство обычно не использовалось коллегами пользователя. | True, False |
| First time device observed in tenant (FirstTimeDeviceObservedInTenant) |
30 | Устройство впервые было выявлено в организации. | True, False |
| Device uncommonly used in tenant (DeviceUncommonlyUsedInTenant) |
180 | Устройство обычно не использовалось в организации. | True, False |
Дополнительные сведения об устройстве
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user logged on to device (FirstTimeUserLoggedOnToDevice) |
180 | Подключение к конечному устройству было установлено пользователем впервые. | True, False |
| Device family uncommonly used in tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | Семейство устройств обычно не использовалось в организации. | True, False |
Поставщик услуг Интернета, использованный для подключения
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user connected via ISP (FirstTimeUserConnectedViaISP) |
30 | Впервые было обнаружено, что пользователь использует этого поставщика услуг Интернета. | True, False |
| ISP uncommonly used by user (ISPUncommonlyUsedByUser) |
10 | Поставщик услуг Интернета обычно не использовался пользователем. | True, False |
| ISP uncommonly used among peers (ISPUncommonlyUsedAmongPeers) |
30 | Поставщик услуг Интернета обычно не использовался коллегами пользователя. | True, False |
| First time connection via ISP in tenant (FirstTimeConnectionViaISPInTenant) |
30 | Впервые было обнаружено, что организация использует этого поставщика услуг Интернета. | True, False |
| ISP uncommonly used in tenant (ISPUncommonlyUsedInTenant) |
30 | Поставщик услуг Интернета обычно не использовался в организации. | True, False |
Ресурс, к которому предоставляется доступ
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| First time user accessed resource (FirstTimeUserAccessedResource) |
180 | Доступ к ресурсу был осуществлен пользователем впервые. | True, False |
| Resource uncommonly accessed by user (ResourceUncommonlyAccessedByUser) |
10 | Доступ к ресурсу обычно не осуществлялся пользователем. | True, False |
| Resource uncommonly accessed among peers (ResourceUncommonlyAccessedAmongPeers) |
180 | К ресурсу обычно не обращались коллеги пользователя. | True, False |
| First time resource accessed in tenant (FirstTimeResourceAccessedInTenant) |
180 | Доступ к ресурсу впервые осуществлялся кем-либо в организации. | True, False |
| Resource uncommonly accessed in tenant (ResourceUncommonlyAccessedInTenant) |
180 | Доступ к ресурсу обычно не осуществлялся в организации. | True, False |
Прочие условия
| Имя обогащения | Базовые показатели (дн) | Description | Пример значения |
|---|---|---|---|
| Last time user performed action (LastTimeUserPerformedAction) |
180 | Время последнего выполнения этого действия пользователем. | <Timestamp> |
| Similar action wasn't performed in the past (SimilarActionWasn'tPerformedInThePast) |
30 | Пользователь не выполнял никаких действий в том же поставщике ресурсов. | True, False |
| Source IP location (SourceIPLocation) |
Н/Д | Страна или регион, разрешенный из исходного IP-адреса действия. | [Surrey, England] |
| Uncommon high volume of operations (UncommonHighVolumeOfOperations) |
7 | Пользователь выполнил множество аналогичных операций в одном поставщике. | True, False |
| Необычное число сбоев условного доступа Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Необычное число пользователей не прошло проверку подлинности из-за условного доступа. | True, False |
| Unusual number of devices added (UnusualNumberOfDevicesAdded) |
5 | Пользователь добавил необычное количество устройств. | True, False |
| Unusual number of devices deleted (UnusualNumberOfDevicesDeleted) |
5 | Пользователь удалил необычное количество устройств. | True, False |
| Unusual number of users added to group (UnusualNumberOfUsersAddedToGroup) |
5 | Пользователь добавил необычное число пользователей в группу. | True, False |
Таблица IdentityInfo
После включения UEBA для рабочей области Microsoft Sentinel данные из идентификатора Microsoft Entra синхронизируются с таблицей IdentityInfo в Log Analytics для использования в Microsoft Sentinel. Вы можете внедрить пользовательские данные, синхронизированные с идентификатором Microsoft Entra в правила аналитики, чтобы улучшить аналитику в соответствии с вариантами использования и уменьшить ложные срабатывания.
Хотя первоначальная синхронизация может занять несколько дней, после полной синхронизации данных:
Изменения, внесенные в профили пользователей, группы и роли в идентификаторе Microsoft Entra, обновляются в таблице IdentityInfo в течение 15–30 минут.
Каждые 14 дней Microsoft Sentinel повторно синхронизируется со всем идентификатором Microsoft Entra, чтобы убедиться, что устаревшие записи полностью обновляются.
Время хранения по умолчанию в таблице IdentityInfo составляет 30 дней.
Ограничения
В настоящее время поддерживаются только встроенные роли.
Данные об удаленных группах при удалении пользователя из группы в настоящее время не поддерживаются.
Версии таблицы IdentityInfo
На самом деле существует две версии таблицы IdentityInfo :
- Версия схемы Log Analytics обслуживает Microsoft Sentinel в портал Azure.
- Версия схемы расширенной охоты служит Microsoft Sentinel на портале Microsoft Defender через Microsoft Defender для удостоверений.
Обе версии этой таблицы передаются идентификатором Microsoft Entra ID, но версия Log Analytics добавила несколько полей.
Microsoft Sentinel на портале Microsoft Defender использует версию расширенной охоты этой таблицы. Чтобы свести к минимуму различия между двумя версиями таблицы, большинство уникальных полей в версии Log Analytics постепенно добавляются в версию расширенной охоты . Независимо от того, на каком портале вы используете Microsoft Sentinel, у вас будет почти все те же сведения, хотя между версиями может возникнуть небольшая задержка времени. Дополнительные сведения см. в документации по версии расширенной охоты этой таблицы.
В следующей таблице описаны данные удостоверения пользователя, включенные в таблицу IdentityInfo в Log Analytics в портал Azure. Четвертый столбец содержит соответствующие поля в версии таблицы Advanced Hunting , используемой Microsoft Sentinel на портале Defender. Имена полей в полужирном шрифте называются по-разному в схеме расширенной охоты , чем в версии Microsoft Sentinel Log Analytics.
| Имя поля в Схема Log Analytics |
Тип | Описание | Имя поля в Расширенная схема охоты |
|---|---|---|---|
| AccountCloudSID | строка | Идентификатор безопасности Microsoft Entra учетной записи. | CloudSid |
| AccountCreationTime | datetime | Дата создания учетной записи пользователя (в формате UTC). | CreatedDateTime |
| AccountDisplayName | строка | Отображаемое имя учетной записи пользователя. | AccountDisplayName |
| AccountDomain | строка | Доменное имя учетной записи пользователя. | AccountDomain |
| AccountName | строка | Имя пользователя в учетной записи пользователя. | AccountName |
| AccountObjectId | строка | Идентификатор объекта Microsoft Entra для учетной записи пользователя. | AccountObjectId |
| AccountSID | строка | Локальный идентификатор безопасности для учетной записи пользователя. | AccountSID |
| AccountTenantId | строка | Идентификатор клиента Microsoft Entra учетной записи пользователя. | -- |
| AccountUPN | строка | Имя субъекта-пользователя для учетной записи пользователя. | AccountUPN |
| AdditionalMailAddresses | по строкам | Дополнительные адреса электронной почты пользователя. | -- |
| AssignedRoles | по строкам | Роли Microsoft Entra, которым назначена учетная запись пользователя. | AssignedRoles |
| BlastRadius | строка | Вычисление на основе положения пользователя в дереве организации и ролей и разрешений Пользователя Microsoft Entra. Возможные значения: Low, Medium, High |
-- |
| ChangeSource | строка | Источник последнего изменения сущности. Возможные значения: |
ChangeSource |
| CompanyName | Имя компании, к которой принадлежит пользователь. | -- | |
| Город | string | Город для учетной записи пользователя. | City |
| Страна/регион | string | Страна или регион учетной записи пользователя. | Страна/регион |
| DeletedDateTime | datetime | Дата и время удаления пользователя. | -- |
| Department | string | Отдел для учетной записи пользователя. | Отдел |
| GivenName | строка | Заданное имя для учетной записи пользователя. | GivenName |
| GroupMembership | по строкам | Группы Microsoft Entra, в которых учетная запись пользователя является членом. | -- |
| IsAccountEnabled | bool | Указывает, включена ли учетная запись пользователя в идентификаторе Microsoft Entra ID или нет. | IsAccountEnabled |
| JobTitle | строка | Название должности для учетной записи пользователя. | JobTitle |
| MailAddress | строка | Основной адрес электронной почты для учетной записи пользователя. | EmailAddress |
| Менеджер | строка | Псевдоним менеджера для учетной записи пользователя. | Manager |
| OnPremisesDistinguishedName | строка | Различающееся имя (DN) идентификатора Microsoft Entra. Различающееся имя — это последовательность относительных различающихся имен (RDN), соединенных запятыми. | Различающееся имя |
| Для телефонов | строка | Номер телефона для учетной записи пользователя. | Номер телефона |
| SourceSystem | строка | Система, в которой осуществляется управление пользователем. Возможные значения: |
SourceProvider |
| Штат | string | Географическое состояние учетной записи пользователя. | Штат |
| StreetAddress | строка | Почтовый адрес офиса для учетной записи пользователя. | Адрес |
| Фамилия | строка | Фамилия пользователя. учетная запись. | Surname |
| TenantId | строка | Идентификатор арендатора для пользователя. | -- |
| TimeGenerated | datetime | Время, когда было создано событие (в формате UTC). | Timestamp |
| Тип | строка | Название таблицы. | -- |
| UserAccountControl | по строкам | Атрибуты безопасности учетной записи пользователя в домене AD. Возможные значения (может содержать несколько): |
-- |
| Состояние пользователя | строка | Текущее состояние учетной записи пользователя в идентификаторе Microsoft Entra. Возможные значения: |
-- |
| UserStateChangedOn | datetime | Дата и время последнего изменения состояния учетной записи (в формате UTC). | -- |
| UserType | строка | Тип пользователя. | -- |
Следующие шаги
В этом документе описана схема таблицы аналитики поведения сущностей Microsoft Sentinel.
- Узнайте больше об аналитике поведения сущностей.
- Включение UEBA в Microsoft Sentinel.
- Используйте UEBA в своих исследованиях.