Naslag voor Microsoft Sentinel UEBA-verrijkingen
Notitie
Azure Sentinel heet nu Microsoft Sentinel en we zullen deze pagina's in de komende weken bijwerken. Meer informatie over recente beveiligingsverbeteringen van Microsoft.
In dit artikel wordt de Microsoft Sentinel BehaviorAnalytics-tabel beschreven die in logboeken wordt gevonden en vermeld op de pagina's met entiteitsdetails, en worden de details beschreven van de entiteitsverrijkingsvelden in die tabel, waarvan u de inhoud kunt gebruiken om uw onderzoek naar beveiligingsincidenten te verbeteren.
De volgende drie dynamische velden uit de tabel BehaviorAnalytics worden beschreven in de onderstaande tabellen.
De velden UsersInsights en DevicesInsights bevatten entiteitsgegevens uit active directory-/Azure AD- en Microsoft Threat Intelligence-bronnen.
Het veld ActivityInsights bevat entiteitsinformatie op basis van de gedragsprofielen die zijn gebouwd door de entiteitsgedragsanalyse van Microsoft Sentinel.
Gebruikersactiviteiten worden geanalyseerd op basis van een basislijn die dynamisch wordt gecompileerd telkens als deze wordt gebruikt. Elke activiteit heeft een gedefinieerde lookback-periode van waaruit de dynamische basislijn wordt afgeleid. De lookback-periode wordt opgegeven in de kolom Basislijn in deze tabel.
Notitie
In de kolom Verrijkingsnaam in alle tabellen met entiteitsverrijkingsveld worden twee rijen met informatie weergegeven.
- De eerste, vetgedrukt, is de 'vriendelijke naam' van de verrijking.
- De tweede (tussen haakjes) is de veldnaam van de verrijking, zoals opgeslagen in de tabel Behavior Analytics.
Belangrijk
Genoteerde functies zijn momenteel beschikbaar als preview-versie. De Aanvullende voorwaarden voor Azure-previews omvatten aanvullende juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta of preview zijn of die anders nog niet algemeen beschikbaar zijn.
BehaviorAnalytics-tabel
In de volgende tabel worden de gedragsanalysegegevens beschreven die worden weergegeven op elke pagina met entiteitsdetails in Microsoft Sentinel.
| Veld | Type | Beschrijving |
|---|---|---|
| Tenant-ID | tekenreeks | Het unieke id-nummer van de tenant. |
| SourceRecordId | tekenreeks | Het unieke id-nummer van de EBA-gebeurtenis. |
| TimeGenerated | datum/tijd | Het tijdstempel van de gebeurtenis van de activiteit. |
| TimeProcessed | datum/tijd | De tijdstempel van de verwerking van de activiteit door de EBA-engine. |
| ActivityType | tekenreeks | De categorie op hoog niveau van de activiteit. |
| ActionType | tekenreeks | De genormaliseerde naam van de activiteit. |
| Gebruikersnaam | tekenreeks | De gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| UserPrincipalName | tekenreeks | De volledige gebruikersnaam van de gebruiker die de activiteit heeft gestart. |
| EventSource | tekenreeks | De gegevensbron die de oorspronkelijke gebeurtenis heeft opgegeven. |
| SourceIPAddress | tekenreeks | Het IP-adres van waaruit de activiteit is gestart. |
| SourceIPLocation | tekenreeks | Het land van waaruit de activiteit is gestart, verrijkt van het IP-adres. |
| SourceDevice | tekenreeks | De hostnaam van het apparaat dat de activiteit heeft gestart. |
| DestinationIPAddress | tekenreeks | Het IP-adres van het doel van de activiteit. |
| DestinationIPLocation | tekenreeks | Het land van het doel van de activiteit, verrijkt van IP-adres. |
| DestinationDevice | tekenreeks | De naam van het doelapparaat. |
| UsersInsights | dynamisch | De contextuele verrijkingen van betrokken gebruikers(details hieronder). |
| DevicesInsights | dynamisch | De contextuele verrijkingen van betrokken apparaten(details hieronder). |
| ActivityInsights | dynamisch | De contextuele analyse van activiteiten op basis van onze profilering(details hieronder). |
| InvestigationPriority | int | De anomaliescore, tussen 0-10 (0= goedaardig, 10 = zeer afwijkende). |
Dynamische velden voor verrijkingen van entiteiten
Veld UsersInsights
In de volgende tabel worden de verrijkingen beschreven die worden aanbevolen in het dynamische veld UsersInsights in de tabel BehaviorAnalytics:
| Verrijkingsnaam | Beschrijving | Voorbeeldwaarde |
|---|---|---|
| Weergavenaam van account (AccountDisplayName) |
De weergavenaam van het account van de gebruiker. | Beheerder, Adminden Cook |
| Accountdomein (AccountDomain) |
De accountdomeinnaam van de gebruiker. | |
| Accountobject-id (AccountObjectID) |
De object-id van het account van de gebruiker. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Radius van Radius (Hadoradius) |
De radius van de organisatie wordt berekend op basis van verschillende factoren: de positie van de gebruiker in de organisatiestructuur en de Azure Active Directory en machtigingen van de gebruiker. | Laag, Gemiddeld, Hoog |
| Is niet-inactief account (IsDormantAccount) |
Het account is de afgelopen 180 dagen niet gebruikt. | Waar, Onwaar |
| Is een lokale beheerder (IsLocalAdmin) |
Het account heeft lokale beheerdersbevoegdheden. | Waar, Onwaar |
| Is nieuw account (IsNewAccount) |
Het account is gemaakt in de afgelopen 30 dagen. | Waar, Onwaar |
| On-premises SID (OnPremisesSID) |
De on-premises SID van de gebruiker die is gerelateerd aan de actie. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Het veld DevicesInsights
In de volgende tabel worden de verrijkingen beschreven die worden aanbevolen in het dynamische veld DevicesInsights in de tabel BehaviorAnalytics:
| Verrijkingsnaam | Beschrijving | Voorbeeldwaarde |
|---|---|---|
| Browser (Browser) |
De browser die wordt gebruikt in de actie. | Edge, Chrome |
| Apparaatfamilie (DeviceFamily) |
De apparaatfamilie die in de actie wordt gebruikt. | Windows |
| Apparaattype (DeviceType) |
Het type clientapparaat dat in de actie wordt gebruikt | Desktop |
| ISP (ISP) |
De internetprovider die in de actie wordt gebruikt. | |
| Besturingssysteem (OperatingSystem) |
Het besturingssysteem dat in de actie wordt gebruikt. | Windows 10 |
| Beschrijving van bedreigings-informatie-indicator (ThreatIntelIndicatorDescription) |
Beschrijving van de waargenomen bedreigingsindicator die is opgelost op het IP-adres dat in de actie wordt gebruikt. | Host is lid van botnet: azorult |
| Type bedreigings-intel-indicator (ThreatIntelIndicatorType) |
Het type bedreigingsindicator dat is opgelost op het IP-adres dat in de actie wordt gebruikt. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Gebruikersagent (UserAgent) |
De gebruikersagent die in de actie wordt gebruikt. | Microsoft Azure Graph ClientBibliotheek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Gebruikersagentfamilie (UserAgentFamily) |
De gebruikersagentfamilie die in de actie wordt gebruikt. | Chrome, Edge, Firefox |
Het veld ActivityInsights
In de volgende tabellen worden de verrijkingen beschreven die worden aanbevolen in het dynamische veld ActivityInsights in de tabel BehaviorAnalytics:
Uitgevoerde actie
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| De eerste keer dat de gebruiker een actie heeft uitgevoerd (FirstTimeUserPerformedAction) |
180 | De actie is voor het eerst uitgevoerd door de gebruiker. | Waar, Onwaar |
| Actie die ongebruikelijk wordt uitgevoerd door de gebruiker (ActionUncommonlyPerformedByUser) |
10 | De actie wordt doorgaans niet uitgevoerd door de gebruiker. | Waar, Onwaar |
| Actie die ongebruikelijk wordt uitgevoerd onder peers (ActionUncommonlyPerformedAmongPeers) |
180 | De actie wordt niet vaak uitgevoerd tussen de peers van de gebruiker. | Waar, Onwaar |
| Eerste actie uitgevoerd in tenant (FirstTimeActionPerformedInTenant) |
180 | De actie is voor het eerst uitgevoerd door iemand in de organisatie. | Waar, Onwaar |
| Actie die ongebruikelijk wordt uitgevoerd in de tenant (ActionUncommonlyPerformedInTenant) |
180 | De actie wordt doorgaans niet uitgevoerd in de organisatie. | Waar, Onwaar |
Gebruikte app
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker de app gebruikt (FirstTimeUserUsedApp) |
180 | De app is voor het eerst gebruikt door de gebruiker. | Waar, Onwaar |
| App wordt zelden gebruikt door de gebruiker (AppUncommonlyUsedByUser) |
10 | De app wordt niet vaak gebruikt door de gebruiker. | Waar, Onwaar |
| App wordt zelden gebruikt tussen peers (AppUncommonlyUsedAmongPeers) |
180 | De app wordt niet vaak gebruikt onder peers van gebruikers. | Waar, Onwaar |
| Eerste keer dat een app wordt geobserveerd in de tenant (FirstTimeAppObservedInTenant) |
180 | De app is voor het eerst waargenomen in de organisatie. | Waar, Onwaar |
| App wordt zelden gebruikt in tenant (AppUncommonlyUsedInTenant) |
180 | De app wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Browser gebruikt
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker verbinding heeft via een browser (FirstTimeUserConnectedViaBrowser) |
30 | De browser is voor het eerst waargenomen door de gebruiker. | Waar, Onwaar |
| Browser wordt zelden gebruikt door de gebruiker (BrowserUncommonlyUsedByUser) |
10 | De browser wordt niet vaak gebruikt door de gebruiker. | Waar, Onwaar |
| Browser wordt zelden gebruikt tussen peers (BrowserUncommonlyUsedAmongPeers) |
30 | De browser wordt niet vaak gebruikt onder peers van gebruikers. | Waar, Onwaar |
| Eerste browser waargenomen in tenant (FirstTimeBrowserObservedInTenant) |
30 | De browser is voor het eerst waargenomen in de organisatie. | Waar, Onwaar |
| Browser wordt zelden gebruikt in tenant (BrowserUncommonlyUsedInTenant) |
30 | De browser wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Land dat is verbonden vanuit
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker verbinding heeft vanuit het land (FirstTimeUserConnectedFromCountry) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, is voor de eerste keer verbonden door de gebruiker. | Waar, Onwaar |
| Land dat ongebruikelijk is verbonden door de gebruiker (CountryUncommonlyConnectedFromByUser) |
10 | De geografische locatie, zoals opgelost vanaf het IP-adres, wordt doorgaans niet door de gebruiker verbonden. | Waar, Onwaar |
| Country uncommonly connected from among peers (Land ongebruikelijk verbonden vanuit peers) (CountryUncommonlyConnectedFromAmongPeers) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, wordt doorgaans niet verbonden vanuit een van de peers van de gebruiker. | Waar, Onwaar |
| Eerste verbinding vanuit het land dat is waargenomen in de tenant (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Het land is voor het eerst verbonden vanuit door iemand in de organisatie. | Waar, Onwaar |
| Land dat ongebruikelijk is verbonden vanuit in de tenant (CountryUncommonlyConnectedFromInTenant) |
90 | De geografische locatie, zoals opgelost vanaf het IP-adres, wordt doorgaans niet verbonden vanuit de organisatie. | Waar, Onwaar |
Apparaat dat wordt gebruikt om verbinding te maken
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker verbinding heeft met een apparaat (FirstTimeUserConnectedFromDevice) |
30 | Het bronapparaat is voor het eerst verbonden door de gebruiker. | Waar, Onwaar |
| Apparaat wordt zelden gebruikt door de gebruiker (DeviceUncommonlyUsedByUser) |
10 | Het apparaat wordt niet vaak gebruikt door de gebruiker. | Waar, Onwaar |
| Apparaat wordt zelden gebruikt tussen peers (DeviceUncommonlyUsedAmongPeers) |
180 | Het apparaat wordt niet vaak gebruikt onder peers van gebruikers. | Waar, Onwaar |
| Eerste keer apparaat waargenomen in tenant (FirstTimeDeviceObservedInTenant) |
30 | Het apparaat is voor het eerst waargenomen in de organisatie. | Waar, Onwaar |
| Apparaat wordt zelden gebruikt in de tenant (DeviceUncommonlyUsedInTenant) |
180 | Het apparaat wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Andere apparaatgerelateerde
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker is aangemeld op het apparaat (FirstTimeUserLoggedOnToDevice) |
180 | Het doelapparaat is voor het eerst verbonden door de gebruiker. | Waar, Onwaar |
| Apparaatfamilie wordt zelden gebruikt in de tenant (DeviceFamilyUncommonlyUsedInTenant) |
30 | De apparaatfamilie wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Internetserviceprovider die wordt gebruikt om verbinding te maken
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat een gebruiker verbinding heeft met een internetprovider (FirstTimeUserConnectedViaISP) |
30 | De isp is voor het eerst waargenomen door de gebruiker. | Waar, Onwaar |
| ISP wordt zelden gebruikt door de gebruiker (ISPUncommonlyUsedByUser) |
10 | De ISP wordt niet vaak gebruikt door de gebruiker. | Waar, Onwaar |
| ISP wordt zelden gebruikt onder peers (ISPUncommonlyUsedAmongPeers) |
30 | De ISP wordt niet vaak gebruikt bij peers van gebruikers. | Waar, Onwaar |
| Eerste verbinding via ISP in tenant (FirstTimeConnectionViaISPInTenant) |
30 | De ISP is voor het eerst waargenomen in de organisatie. | Waar, Onwaar |
| ISP wordt zelden gebruikt in de tenant (ISPUncommonlyUsedInTenant) |
30 | De ISP wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Toegang tot bronnen
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Eerste keer dat de gebruiker toegang tot resource heeft gehad (FirstTimeUserAccessedResource) |
180 | De resource is voor het eerst door de gebruiker gebruikt. | Waar, Onwaar |
| Resource die zelden wordt gebruikt door de gebruiker (ResourceUncommonlyAccessedByUser) |
10 | De resource wordt niet vaak gebruikt door de gebruiker. | Waar, Onwaar |
| Resource die zelden wordt gebruikt door peers (ResourceUncommonlyAccessedAmongPeers) |
180 | De resource wordt niet vaak gebruikt door peers van gebruikers. | Waar, Onwaar |
| Eerste keer dat een resource wordt gebruikt in de tenant (FirstTimeResourceAccessedInTenant) |
180 | De resource is voor het eerst door iedereen in de organisatie gebruikt. | Waar, Onwaar |
| Resource die zelden wordt gebruikt in de tenant (ResourceUncommonlyAccessedInTenant) |
180 | De resource wordt niet vaak gebruikt in de organisatie. | Waar, Onwaar |
Diversen
| Verrijkingsnaam | Basislijn (dagen) | Beschrijving | Voorbeeldwaarde |
|---|---|---|---|
| Laatste keer dat de gebruiker de actie heeft uitgevoerd (LastTimeUserPerformedAction) |
180 | De laatste keer dat de gebruiker dezelfde actie heeft uitgevoerd. | <Timestamp> |
| Vergelijkbare actie is in het verleden niet uitgevoerd (SimilarActionWasn'tPerformedInThePast) |
30 | Er is geen actie uitgevoerd in dezelfde resourceprovider door de gebruiker. | Waar, Onwaar |
| Bron-IP-locatie (SourceIPLocation) |
N.v.t. | Het land dat is opgelost via het bron-IP-adres van de actie. | [Surrey, Engeland] |
| Ongebruikelijk groot aantal bewerkingen (UncommonHighVolumeOfOperations) |
7 | Een gebruiker heeft een burst van vergelijkbare bewerkingen uitgevoerd binnen dezelfde provider | Waar, Onwaar |
| Ongebruikelijk aantal voorwaardelijke toegangsfouten in Azure AD (UnusualNumberOfAADConditionalAccessFailures) |
5 | Een ongebruikelijk aantal gebruikers kan niet worden geverifieerd vanwege voorwaardelijke toegang | Waar, Onwaar |
| Ongebruikelijk aantal apparaten toegevoegd (UnusualNumberOfDevicesAdded) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten toegevoegd. | Waar, Onwaar |
| Ongebruikelijk aantal apparaten dat is verwijderd (UnusualNumberOfDevicesDeleted) |
5 | Een gebruiker heeft een ongebruikelijk aantal apparaten verwijderd. | Waar, Onwaar |
| Ongebruikelijk aantal gebruikers toegevoegd aan groep (UnusualNumberOfUsersAddedToGroup) |
5 | Een gebruiker heeft een ongebruikelijk aantal gebruikers toegevoegd aan een groep. | Waar, Onwaar |
Tabel IdentityInfo (openbare preview)
Nadat u UEBA hebt ingeschakeld voor uw Microsoft Sentinel-werkruimte, worden de gegevens van uw Azure Active Directory gesynchroniseerd met de tabel IdentityInfo in Log Analytics voor gebruik in Microsoft Sentinel. U kunt gebruikersgegevens die vanuit Uw Azure AD zijn gesynchroniseerd vanuit de in uw analyseregels insluiten om uw analyses te verbeteren zodat ze in uw gebruiksgevallen passen en fout-positieven verminderen.
De initiële synchronisatie kan enkele dagen duren, maar zodra de gegevens volledig zijn gesynchroniseerd:
Wijzigingen in uw gebruikersprofielen in Azure AD worden binnen 15 minuten bijgewerkt in de tabel IdentityInfo.
Groeps- en rolgegevens worden dagelijks gesynchroniseerd tussen de tabel IdentityInfo en Azure AD.
Microsoft Sentinel wordt elke 21 dagen opnieuw gesynchroniseerd met uw hele Azure AD om ervoor te zorgen dat verouderde records volledig worden bijgewerkt.
De standaardretentietijd in de tabel IdentityInfo is 30 dagen.
Notitie
Momenteel worden alleen ingebouwde rollen ondersteund.
Gegevens over verwijderde groepen, waarbij een gebruiker uit een groep is verwijderd, worden momenteel niet ondersteund.
In de volgende tabel worden de gebruikersidentiteitsgegevens beschreven die zijn opgenomen in de tabel IdentityInfo in Log Analytics.
| Veld | Type | Description |
|---|---|---|
| AccountCloudSID | tekenreeks | De Azure AD-beveiligings-id van het account. |
| AccountCreationTime | datum/tijd | De datum waarop het gebruikersaccount is gemaakt (UTC). |
| AccountDisplayName | tekenreeks | De weergavenaam van het gebruikersaccount. |
| AccountDomain | tekenreeks | De domeinnaam van het gebruikersaccount. |
| AccountName | tekenreeks | De gebruikersnaam van het gebruikersaccount. |
| AccountObjectId | tekenreeks | De Azure Active Directory-object-id voor het gebruikersaccount. |
| AccountSID | tekenreeks | De on-premises beveiligings-id van het gebruikersaccount. |
| AccountTenantId | tekenreeks | De Azure Active Directory tenant-id van het gebruikersaccount. |
| AccountUPN | tekenreeks | De user principal name van het gebruikersaccount. |
| AdditionalMailAddresses | dynamisch | De extra e-mailadressen van de gebruiker. |
| AssignedRoles | dynamisch | De Azure AD-rollen waar het gebruikersaccount aan is toegewezen. |
| Plaats | tekenreeks | De plaats van het gebruikersaccount. |
| Land | tekenreeks | Het land van het gebruikersaccount. |
| DeletedDateTime | datum/tijd | De datum en tijd waarop de gebruiker is verwijderd. |
| Afdeling | tekenreeks | De afdeling van het gebruikersaccount. |
| GivenName | tekenreeks | De opgegeven naam van het gebruikersaccount. |
| GroupMembership | dynamisch | Azure AD-groepen waarbij het gebruikersaccount lid is. |
| IsAccountEnabled | booleaans | Een indicatie of het gebruikersaccount al dan niet is ingeschakeld in Azure AD. |
| JobTitle | tekenreeks | De functie van het gebruikersaccount. |
| Mailadres | tekenreeks | Het primaire e-mailadres van het gebruikersaccount. |
| Manager | tekenreeks | De manageralias van het gebruikersaccount. |
| OnPremisesDistinguishedName | tekenreeks | De DN (Distinguished Name) van Azure AD. Een DN-naam is een reeks relatieve DN-namen (Relative Distinguished Names), verbonden door komma's. |
| Telefoon | tekenreeks | Het telefoonnummer van het gebruikersaccount. |
| SourceSystem | tekenreeks | Het systeem waar de gebruikersgegevens vandaan komen. |
| Status | tekenreeks | De geografische status van het gebruikersaccount. |
| StreetAddress | tekenreeks | Het adres van het kantoor van het gebruikersaccount. |
| Achternaam | tekenreeks | De achternaam van de gebruiker. Account. |
| Tenant-ID | tekenreeks | De tenant-id van de gebruiker. |
| TimeGenerated | datum/tijd | Het tijdstip waarop de gebeurtenis is gegenereerd (UTC). |
| Type | tekenreeks | De naam van de tabel. |
| UserState | tekenreeks | De huidige status van het gebruikersaccount in Azure AD (Actief/Uitgeschakeld/Inactief/Vergrendeling). |
| UserStateChangedOn | datum/tijd | De datum van de laatste keer dat de accounttoestand is gewijzigd (UTC). |
| UserType | tekenreeks | Het gebruikerstype. |
Volgende stappen
In dit document wordt het tabelschema voor entiteitsgedraganalyse van Microsoft Sentinel beschreven.
- Meer informatie over entiteitsgedraganalyse.
- UEBA gebruiken in uw onderzoek.