Reference k rozšíření Microsoft Sentinel UEBA obohacení
Poznámka
Azure Sentinel se teď nazývá Microsoft Sentinel a tyto stránky budeme v nadcházejících týdnech aktualizovat. Přečtěte si další informace o nedávných vylepšeních zabezpečení od Microsoftu.
Tento článek popisuje tabulku Microsoft Sentinel BehaviorAnalytics , kterou najdete v protokolech a na stránkách s podrobnostmi o entitě, a poskytuje podrobnosti o polích rozšíření entit v této tabulce, o obsahu, který můžete použít k zaostření a zaostření vyšetřování incidentů zabezpečení.
Následující tři dynamická pole z tabulky BehaviorAnalytics jsou popsána v následujících tabulkách.
Pole UsersInsights a DevicesInsights obsahují informace o entitách ze služby Active Directory/Azure AD a zdrojů informací o hrozbách Microsoftu.
Pole ActivityInsights obsahuje informace o entitách na základě behaviorálních profilů sestavených analýzou chování entit společnosti Microsoft.
Aktivity uživatelů se analyzují na základě standardních hodnot, které se dynamicky zkompiluje při každém jejich použití. Každá aktivita má svou definovanou lookback dobu, ze které je odvozen dynamický směrný plán. Lookback období je zadáno ve sloupci směrného plánu v této tabulce.
Poznámka
Sloupec název obohacení ve všech tabulkách pole rozšíření entity zobrazuje dva řádky s informacemi.
- První, tučně, je popisný název rozšíření.
- Druhý (v kurzívách a závorkách) je název pole rozšíření, jak je uloženo v tabulce analýzy chování.
Důležité
Vyznačené funkce jsou aktuálně ve verzi PREVIEW. Doplňkové podmínky Azure Preview zahrnují další právní podmínky, které se vztahují na funkce Azure, které jsou ve verzi beta, Preview nebo jinak ještě nedostupné ve všeobecné dostupnosti.
Tabulka BehaviorAnalytics
Následující tabulka popisuje data analýzy chování zobrazená na každé stránce s podrobnostmi entity v Microsoft Sentinel.
| Pole | Typ | Description |
|---|---|---|
| TenantId | řetězec | Jedinečné identifikační číslo tenanta. |
| SourceRecordId | řetězec | Jedinečné číslo ID události EBA |
| TimeGenerated | datetime | Časové razítko výskytu aktivity |
| TimeProcessed | datetime | Časové razítko zpracování aktivity modulem EBA |
| ActivityType | řetězec | Kategorie nejvyšší úrovně aktivity |
| ActionType | řetězec | Normalizovaný název aktivity. |
| Jmen | řetězec | Uživatelské jméno uživatele, který aktivitu inicioval. |
| UserPrincipalName | řetězec | Úplné uživatelské jméno uživatele, který aktivitu inicioval. |
| EventSource | řetězec | Zdroj dat, který poskytl původní událost. |
| SourceIPAddress | řetězec | IP adresa, ze které byla zahájena aktivita. |
| SourceIPLocation | řetězec | Země, ze které byla aktivita zahájena, obohacena z IP adresy. |
| SourceDevice | řetězec | Název hostitele zařízení, které spustilo aktivitu. |
| DestinationIPAddress | řetězec | IP adresa cíle aktivity. |
| DestinationIPLocation | řetězec | Země cíle aktivity, obohaceno z IP adresy. |
| DestinationDevice | řetězec | Název cílového zařízení |
| UsersInsights | dynamic | Kontextové obohacení zúčastněných uživatelů (Podrobnosti najdete níže). |
| DevicesInsights | dynamic | Kontextové obohacení zúčastněných zařízení (Podrobnosti najdete níže). |
| ActivityInsights | dynamic | Kontextová analýza aktivity založená na našich profilech (Podrobnosti najdete níže). |
| InvestigationPriority | int | Skóre anomálií, mezi 0-10 (0 = neškodné, 10 = vysoce neobvyklé). |
Dynamická pole rozšíření entit
Pole UsersInsights
Následující tabulka popisuje rozšíření vybraná v dynamickém poli UsersInsights v tabulce BehaviorAnalytics:
| Název rozšíření | Description | Ukázková hodnota |
|---|---|---|
| Zobrazovaný název účtu (AccountDisplayName) |
Zobrazovaný název účtu uživatele | Správce, Hayden Cook |
| Doména účtu (AccountDomain) |
Název domény účtu uživatele | |
| ID objektu účtu (AccountObjectID) |
ID objektu účtu uživatele | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Poloměr vysokého využití (BlastRadius) |
poloměr je vypočítán na základě několika faktorů: pozice uživatele ve stromové struktuře org a role a oprávnění uživatele Azure Active Directory. | Nízká, střední, vysoká |
| Je neaktivní účet (IsDormantAccount) |
Účet se za posledních 180 dnů nepoužíl. | True, False |
| Je místní správce (IsLocalAdmin) |
Účet má oprávnění místního správce. | True, False |
| Je nový účet (IsNewAccount) |
Účet se vytvořil během posledních 30 dnů. | True, False |
| Místní SID (OnPremisesSID) |
Místní SID uživatele související s akcí. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Pole DevicesInsights
Následující tabulka popisuje rozšíření, která jsou v dynamickém poli DevicesInsights v tabulce BehaviorAnalytics:
| Název rozšíření | Description | Ukázková hodnota |
|---|---|---|
| Prohlížeč (Prohlížeč) |
Prohlížeč použitý v akci. | Edge, Chrome |
| Řada zařízení (DeviceFamily) |
Rodina zařízení použitá v akci | Windows |
| Typ zařízení (Typ zařízení) |
Typ klientského zařízení použitý v akci | Desktop |
| ISP (ISP) |
Poskytovatel internetových služeb použitý v akci. | |
| Operační systém (Operační systém) |
Operační systém použitý v akci. | Windows 10 |
| Popis indikátoru hrozeb (Popis threatIntelIndicator) |
Popis zjištěného indikátoru hrozeb vyřešený z IP adresy použité v akci | Hostitel je členem botnetu: azorult |
| Typ indikátoru hrozeb (ThreatIntelIndicatorType) |
Typ indikátoru hrozeb vyřešený z IP adresy použité v akci. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Uživatelský agent (Uživatelský agent) |
Uživatelský agent použitý v akci. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Rodina uživatelských agentů (UserAgentFamily) |
Rodina uživatelských agentů použitá v akci. | Chrome, Edge, Firefox |
Pole ActivityInsights
Následující tabulky popisují rozšíření popsaná v dynamickém poli ActivityInsights v tabulce BehaviorAnalytics:
Provedená akce
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| Poprvé, když uživatel provedl akci (FirstTimeUserPerformedAction) |
180 | Akci provedl uživatel poprvé. | True, False |
| Akce, kterou obvykle provádí uživatel (ActionUncommonlyPerformedByUser) |
10 | Uživatel obvykle akci neuvádí. | True, False |
| Akce, která se neobvykle provádí mezi partnerskými ami (ActionUncommonlyPerformedAmongPeers) |
180 | Akce se mezi partnerskými partnery uživatelů běžně nesvádí. | True, False |
| První akce provedená v tenantovi (FirstTimeActionPerformedInTenant) |
180 | Akci poprvé provedl kdokoli v organizaci. | True, False |
| Akce, která se v tenantovi prováděla neobvykle (ActionUncommonlyPerformedInTenant) |
180 | Akce se v organizaci obvykle nesvádí. | True, False |
Použitá aplikace
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| Aplikace poprvé použitá uživatelem (FirstTimeUserUsedApp) |
180 | Aplikaci použil uživatel poprvé. | True, False |
| Aplikace, kterou obvykle používá uživatel (AppUncommonlyUsedByUser) |
10 | Aplikace není běžně používána uživatelem. | True, False |
| Aplikace, která se v partnerských zařízeních používá méně často (AppUncommonlyUsedAmongPeers) |
180 | Aplikace se běžně používá mezi partnerskými ami uživateli. | True, False |
| První zjištěná aplikace v tenantovi (FirstTimeAppObservedInTenant) |
180 | Aplikace byla v organizaci poprvé zjištěna. | True, False |
| Aplikace, která se v tenantovi používá neobvykle (AppUncommonlyUsedInTenant) |
180 | Aplikace se v organizaci běžně používá. | True, False |
Použitý prohlížeč
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| První uživatel připojený přes prohlížeč (FirstTimeUserConnectedViaBrowser) |
30 | Prohlížeč poprvé pozoroval uživatel. | True, False |
| Prohlížeč, který obvykle používá uživatel (BrowserUncommonlyUsedByUser) |
10 | Prohlížeč běžně uživatel nevyuží. | True, False |
| Prohlížeč se v partnerských zařízeních používá neobvykle (BrowserUncommonlyUsedAmongPeers) |
30 | Prohlížeč se mezi partnerskými počítači uživatelů běžně nevyuží. | True, False |
| První prohlížeč zjištěný v tenantovi (FirstTimeBrowserObservedInTenant) |
30 | Prohlížeč se v organizaci poprvé zpozoroval. | True, False |
| Prohlížeč, který se v tenantovi používá jinak (BrowserUncommonlyUsedInTenant) |
30 | Prohlížeč se v organizaci běžně používá. | True, False |
Země připojená z
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| První připojení uživatele ze země (FirstTimeUserConnectedFromCountry) |
90 | Uživatel poprvé připojil geografickou polohu přeloženou z IP adresy. | True, False |
| Země, která je neobvykle připojená od uživatele (CountryUncommonlyConnectedFromByUser) |
10 | Geografické umístění, jak je přeloženo z IP adresy, není běžně připojeno od uživatele. | True, False |
| Země, která je neobvykle propojená mezi partnery (CountryUncommonlyConnectedFromAmongPeers) |
90 | Geografické umístění přeložené z IP adresy není běžně propojené z partnerských umístění uživatelů. | True, False |
| První připojení ze země zjištěné v tenantovi (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Zemi poprvé připojil kdokoli v organizaci. | True, False |
| Země, která je v tenantovi neobvykle připojená (CountryUncommonlyConnectedFromInTenant) |
90 | Geografické umístění přeložené z IP adresy není v organizaci běžně propojené. | True, False |
Zařízení používané k připojení
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| První připojení uživatele ze zařízení (FirstTimeUserConnectedFromDevice) |
30 | Uživatel se ze zdrojového zařízení poprvé připojil. | True, False |
| Zařízení, které uživatel používá jinak (DeviceUncommonlyUsedByUser) |
10 | Zařízení uživatel běžně nevyužít. | True, False |
| Zařízení, které se v partnerských zařízeních používá neobvykle (DeviceUncommonlyUsedAmongPeers) |
180 | Zařízení se běžně používá mezi partnerskými ami uživateli. | True, False |
| První pozorované zařízení v tenantovi (FirstTimeDeviceObservedInTenant) |
30 | Zařízení bylo v organizaci poprvé zjištěno. | True, False |
| Zařízení, které se v tenantovi používá neobvykle (DeviceUncommonlyUsedInTenant) |
180 | Zařízení se v organizaci běžně nevyuží se používá. | True, False |
Další související se zařízeními
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| První přihlášení uživatele k zařízení (FirstTimeUserLoggedOnToDevice) |
180 | Uživatel se k cílovému zařízení poprvé připojil. | True, False |
| Rodina zařízení, která se v tenantovi používá méně často (DeviceFamilyUncommonlyUsedInTenant) |
30 | Rodina zařízení se v organizaci běžně používá. | True, False |
Poskytovatel internetových služeb používaný k připojení
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| První uživatel připojený přes poskytovatele internetového připojení (FirstTimeUserConnectedViaISP) |
30 | Poskytovatele isp poprvé pozoroval uživatel. | True, False |
| Isp uncommonly used by user (ISPUncommonlyUsedByUser) |
10 | Tento poskytovatele služeb běžně používá uživatel. | True, False |
| Isp uncommonly used among peers (ISPUncommonlyUsedAmongPeers) |
30 | Tento isp se běžně používá mezi partnerskými ami uživateli. | True, False |
| První připojení přes poskytovatele internetového připojení v tenantovi (FirstTimeConnectionViaISPInTenant) |
30 | Poskytovatele isp se v organizaci poprvé zpozoroval. | True, False |
| IsP neobvykle používaný v tenantovi (ISPUncommonlyUsedInTenant) |
30 | Tento poskytovatele služeb se v organizaci běžně používá. | True, False |
Byl získán přístup k prostředku.
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| Prostředek s prvním přístupem uživatele (FirstTimeUserAccessedResource) |
180 | Uživatel k prostředku přistupoval poprvé. | True, False |
| Prostředek, ke kterým obvykle přistupuje uživatel (ResourceUncommonlyAccessedByUser) |
10 | Uživatel k prostředku běžně nepřistupuje. | True, False |
| Méně často přistupuje k prostředku mezi partnerskými partnery (ResourceUncommonlyAccessedAmongPeers) |
180 | K prostředku se běžně nepřistupuje mezi partnerskými skupině uživatelů. | True, False |
| První přístup k prostředku v tenantovi (FirstTimeResourceAccessedInTenant) |
180 | K prostředku přistupuje poprvé kdokoli v organizaci. | True, False |
| Méně často přistupuje k prostředku v tenantovi (ResourceUncommonlyAccessedInTenant) |
180 | K prostředku se v organizaci běžně nepřistupuje. | True, False |
Různé
| Název rozšíření | Směrný plán (dny) | Description | Ukázková hodnota |
|---|---|---|---|
| Čas posledního provedení akce uživatelem (LastTimeUserPerformedAction) |
180 | Čas posledního provedení stejné akce uživatelem | <Timestamp> |
| Podobná akce nebyla v minulosti provedena. (SimilarActionWasn'tPerformedInThePast) |
30 | Ve stejném poskytovateli prostředků nebyla provedena žádná akce uživatele. | True, False |
| Umístění zdrojové IP adresy (SourceIPLocation) |
– | Země se vyřešila ze zdrojové IP adresy akce. | [Předěl, Anglie] |
| Neobvyklý vysoký objem operací (UncommonHighVolumeOfOperations) |
7 | Uživatel provedl v rámci stejného poskytovatele shluk podobných operací. | True, False |
| Neobvyklý počet selhání podmíněného přístupu Azure AD (UnusualNumberOfAADConditionalAccessFailures) |
5 | Neobvyklý počet uživatelů se kvůli podmíněnému přístupu nepodařilo ověřit | True, False |
| Neobvyklý počet přidaných zařízení (UnusualNumberOfDevicesAdded) |
5 | Uživatel přidal neobvyklý počet zařízení. | True, False |
| Neobvyklý počet odstraněných zařízení (UnusualNumberOfDevicesDeleted) |
5 | Uživatel odstranil neobvyklý počet zařízení. | True, False |
| Neobvyklý počet uživatelů přidaných do skupiny (UnusualNumberOfUsersAddedToGroup) |
5 | Uživatel přidal do skupiny neobvyklý počet uživatelů. | True, False |
Tabulka IdentityInfo (Public Preview)
Po povolení UEBA pro pracovní prostor Microsoft Sentinelu se data z Azure Active Directory synchronizují do tabulky IdentityInfo v Log Analytics pro použití v Microsoft Sentinelu. Můžete vložit uživatelská data synchronizovaná z Azure AD z v analytických pravidlech a vylepšit tak analýzu tak, aby vyhovovala vašim případům použití a snížila počet falešně pozitivních výsledků.
Počáteční synchronizace může trvat několik dní, ale po úplné synchronizaci dat:
Změny provedené v profilech uživatelů v Azure AD se aktualizují v tabulce IdentityInfo během 15 minut.
Informace o skupině a roli se synchronizují mezi tabulkami IdentityInfo a Azure AD každý den.
Každých 21 dní se Microsoft Sentinel znovu synchronizuje s celou službou Azure AD, aby se zajistilo úplné aktualizace zastaralých záznamů.
Výchozí doba uchovávání v tabulce IdentityInfo je 30 dnů.
Poznámka
V současné době se podporují pouze předdefinované role.
Data o odstraněných skupinách, kde byl uživatel odebrán ze skupiny, se v současné době nepodporují.
Následující tabulka popisuje data identit uživatelů zahrnutá v tabulce IdentityInfo v Log Analytics.
| Pole | Typ | Description |
|---|---|---|
| AccountCloudSID | řetězec | Identifikátor zabezpečení účtu Azure AD. |
| AccountCreationTime | datetime | Datum vytvoření uživatelského účtu (UTC) |
| AccountDisplayName | řetězec | Zobrazovaný název uživatelského účtu. |
| Doména_účtu | řetězec | Název domény uživatelského účtu. |
| AccountName | řetězec | Uživatelské jméno uživatelského účtu. |
| ID objektu účtu | řetězec | ID Azure Active Directory objektu pro uživatelský účet. |
| ACCOUNTSID | řetězec | Místní identifikátor zabezpečení uživatelského účtu. |
| AccountTenantId | řetězec | Id Azure Active Directory tenanta uživatelského účtu. |
| Hlavní název účtu (AccountUPN) | řetězec | Hlavní název uživatele uživatelského účtu. |
| AdditionalMailAddresses | dynamic | Další e-mailové adresy uživatele. |
| Přiřazenérole | dynamic | Role Azure AD, ke které je uživatelský účet přiřazený. |
| City (Město) | řetězec | Město uživatelského účtu. |
| Země | řetězec | Země uživatelského účtu. |
| DeletedDateTime | datetime | Datum a čas odstranění uživatele |
| Oddělení | řetězec | Oddělení uživatelského účtu. |
| GivenName | řetězec | K danému názvu uživatelského účtu. |
| Členství ve skupině | dynamic | Skupiny Azure AD, ve kterých je uživatelský účet členem. |
| Vlastnost IsAccountEnabled | bool | Údaj o tom, jestli je uživatelský účet povolený v Azure AD nebo ne. |
| JobTitle | řetězec | Pracovní místo uživatelského účtu. |
| Mailaddress | řetězec | Primární e-mailová adresa uživatelského účtu. |
| Manažer | řetězec | Alias manažera uživatelského účtu. |
| OnPremisesDistinguishedName | řetězec | Rozlišující název (DN) Azure AD. Rozlišující název je posloupnost relativních rozlišující názvy (RDN) připojená čárkami. |
| Rozložení | řetězec | Telefonní číslo uživatelského účtu. |
| SourceSystem | řetězec | Systém, ze kterého pochází uživatelská data. |
| Stav | řetězec | Geografický stav uživatelského účtu. |
| Streetaddress | řetězec | Adresa kanceláře uživatelského účtu. |
| Příjmení | řetězec | Přezdívka uživatele Účet. |
| ID tenanta | řetězec | ID tenanta uživatele. |
| TimeGenerated | datetime | Čas vygenerování události (UTC) |
| Typ | řetězec | Název tabulky. |
| Userstate | řetězec | Aktuální stav uživatelského účtu ve službě Azure AD (aktivní/zakázáno/neaktivní/uzamknoucí). |
| UserStateChangedOn | datetime | Datum poslední změny stavu účtu (UTC). |
| Typ uživatele | řetězec | Typ uživatele. |
Další kroky
Tento dokument popisuje schéma tabulky analýzy chování entit Microsoft Sentinelu.
- Přečtěte si další informace o analýze chování entit.
- Využijte UEBA při vyšetřování.