Referência da UEBA do Microsoft Sentinel
Este artigo de referência lista as fontes de dados de entrada para o serviço de Análise de Comportamento de Usuário e Entidade no Microsoft Sentinel. Ele também descreve os enriquecimentos que a UEBA adiciona às entidades, fornecendo o contexto necessário para alertas e incidentes.
Importante
O Microsoft Sentinel está disponível como parte da visualização pública da plataforma de operações de segurança unificada no portal do Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.
Fontes de dados da UEBA
Essas são as fontes de dados das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA examina os dados dessas fontes para encontrar anomalias e obter insights glean.
| Fonte de dados | Eventos |
|---|---|
| Microsoft Entra ID Logs de entrada |
Tudo |
| Microsoft Entra ID Logs de auditoria |
ApplicationManagement DirectoryManagement GroupManagement Dispositivo RoleManagement UserManagementCategory |
| Logs de Atividades do Azure | Autorização AzureActiveDirectory Cobrança Computação Consumo KeyVault Dispositivos Rede Recursos Intune Lógica Sql Armazenamento |
| Eventos de segurança do Windows WindowsEvent ou SecurityEvent |
4624: logon de uma conta feito com êxito 4625: falha no logon de uma conta 4648: houve uma tentativa de logon usando credenciais explícitas 4672: privilégios especiais atribuídos a um novo logon 4688: foi criado um novo processo |
Enriquecimentos do UEBA
Esta seção descreve os enriquecimentos que a UEBA adiciona às entidades do Microsoft Sentinel, juntamente com todos os seus detalhes, que você pode usar para concentrar e aprimorar suas investigações de incidentes de segurança. Esses enriquecimentos são exibidos em páginas de entidade e podem ser encontrados nas seguintes tabelas do Log Analytics, o conteúdo e o esquema dos quais estão listados abaixo:
A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.
Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção de campos dinâmicos de enriquecimentos de entidade abaixo.
Os campos UsersInsights e DevicesInsights contêm informações de entidade do Active Directory/Microsoft Entra ID e fontes de inteligência contra ameaças da Microsoft.
O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise comportamental de entidade do Microsoft Azure Sentinel.
As atividades do usuário são analisadas em comparação com uma linha de base compilada dinamicamente cada vez que ela é usada. Cada atividade tem seu período retroativo definido do qual a linha de base dinâmica é derivada. Esse período retroativo é especificado na coluna Linha de base desta tabela.
A tabela IdentityInfo é o local em que as informações de identidade sincronizadas com o UEBA do Microsoft Entra ID (e do Active Directory local via Microsoft Defender para Identidade) são armazenadas.
Tabela BehaviorAnalytics
A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Azure Sentinel.
| Campo | Type | Descrição |
|---|---|---|
| TenantId | string | O número de ID exclusivo do locatário. |
| SourceRecordId | string | O número de ID exclusivo do evento do EBA. |
| TimeGenerated | DATETIME | O carimbo de data/hora da ocorrência da atividade. |
| TimeProcessed | DATETIME | O carimbo de data/hora do processamento da atividade pelo mecanismo do EBA. |
| ActivityType | string | A categoria de alto nível da atividade. |
| ActionType | string | O nome normalizado da atividade. |
| UserName | string | O nome de usuário de quem iniciou a atividade. |
| UserPrincipalName | string | O nome de usuário completo de quem iniciou a atividade. |
| EventSource | string | A fonte de dados que forneceu o evento original. |
| SourceIPAddress | string | O endereço IP em que a atividade foi iniciada. |
| SourceIPLocation | string | O país em que a atividade foi iniciada, com enriquecimento do endereço IP. |
| SourceDevice | string | O nome de host do dispositivo que iniciou a atividade. |
| DestinationIPAddress | string | O endereço IP do destino da atividade. |
| DestinationIPLocation | string | O país do destino da atividade, com enriquecimento do endereço IP. |
| DestinationDevice | string | O nome do dispositivo de destino. |
| UsersInsights | dinâmico | Os enriquecimentos contextuais de usuários envolvidos (detalhes abaixo). |
| DevicesInsights | dinâmico | Os enriquecimentos contextuais dos dispositivos envolvidos (detalhes abaixo). |
| ActivityInsights | dinâmico | A análise contextual de atividade baseada em nossa criação de perfil (detalhes abaixo). |
| InvestigationPriority | INT | A pontuação de anomalias, entre 0 e 10 (0 = benigno, 10 = altamente anormal). |
Campos dinâmicos de enriquecimentos de entidade
Observação
A coluna Nome do enriquecimento nas tabelas desta seção exibe duas linhas de informações.
- O primeiro, em negrito, é o "nome amigável" do enriquecimento.
- O segundo (em itálico e parênteses) é o nome do campo do enriquecimento como armazenado na tabela de análise de comportamento.
Campo UsersInsights
A tabela a seguir descreve os enriquecimentos em destaque no campo dinâmico UsersInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Descrição | Valor de exemplo |
|---|---|---|
| Nome para exibição da conta (AccountDisplayName) |
O nome para exibição da conta do usuário. | Administrador, Hayden Cook |
| Domínio da conta (AccountDomain) |
O nome de domínio da conta do usuário. | |
| ID de objeto da conta (AccountObjectID) |
A ID de objeto da conta do usuário. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Raio da explosão (BlastRadius) |
O raio da explosão é calculado com base em vários fatores: a posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário. O usuário deve ter a propriedade Manager preenchida no Microsoft Entra ID para que BlastRadius seja calculado. | Baixo, Médio, Alto |
| É conta inativa (IsDormantAccount) |
A conta não foi usada nos últimos 180 dias. | Verdadeiro, Falso |
| É administrador local (IsLocalAdmin) |
A conta tem privilégios de administrador local. | Verdadeiro, Falso |
| É nova conta (IsNewAccount) |
A conta foi criada nos últimos 30 dias. | Verdadeiro, Falso |
| SID local (OnPremisesSID) |
O SID local do usuário relacionado à ação. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Campo DevicesInsights
A tabela a seguir descreve os enriquecimentos em destaque no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:
| Nome do enriquecimento | Descrição | Valor de exemplo |
|---|---|---|
| Navegador (Browser) |
O navegador usado na ação. | Edge, Chrome |
| Família de dispositivos (DeviceFamily) |
A família de dispositivos usada na ação. | Windows |
| Tipo de dispositivo (DeviceType) |
O tipo de dispositivo do cliente usado na ação | Área de trabalho |
| ISP (ISP) |
O provedor de serviços de Internet usado na ação. | |
| Sistema operacional (OperatingSystem) |
O sistema operacional usado na ação. | Windows 10 |
| Descrição do indicador da Intel de ameaça (ThreatIntelIndicatorDescription) |
Descrição do indicador de ameaça observado resolvido do endereço IP usado na ação. | O host é membro de botnet: azorult |
| Tipo de indicador da Intel de ameaça (ThreatIntelIndicatorType) |
O tipo do indicador de ameaça resolvido do endereço IP usado na ação. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Agente do usuário (UserAgent) |
O agente do usuário usado na ação. | Biblioteca de clientes do Microsoft Azure Graph 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Família do agente do usuário (UserAgentFamily) |
A família do agente do usuário usada na ação. | Chrome, Edge, Firefox |
Campo ActivityInsights
As tabelas a seguir descrevem os enriquecimentos em destaque no campo dinâmico ActivityInsights na tabela BehaviorAnalytics:
Ação realizada
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o usuário realizou a ação (FirstTimeUserPerformedAction) |
180 | A ação foi realizada pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Ação executada de forma não comum pelo usuário (ActionUncommonlyPerformedByUser) |
10 | A ação normalmente não é executada pelo usuário. | Verdadeiro, Falso |
| Ação executada de forma não comum entre os colegas (ActionUncommonlyPerformedAmongPeers) |
180 | A ação não é normalmente executada entre os colegas do usuário. | Verdadeiro, Falso |
| Primeira ação executada no locatário (FirstTimeActionPerformedInTenant) |
180 | A ação foi realizada pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
| Ação executada de forma não comum no locatário (ActionUncommonlyPerformedInTenant) |
180 | A ação não é executada normalmente na organização. | Verdadeiro, Falso |
Aplicativo usado
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o aplicativo foi usado pelo usuário (FirstTimeUserUsedApp) |
180 | O aplicativo foi usado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Aplicativo usado de forma incomum pelo usuário (AppUncommonlyUsedByUser) |
10 | O aplicativo não é comumente usado pelo usuário. | Verdadeiro, Falso |
| Aplicativo usado de forma incomum entre os colegas (AppUncommonlyUsedAmongPeers) |
180 | O aplicativo não é comumente usado entre os colegas do usuário. | Verdadeiro, Falso |
| Aplicativo da primeira vez observado no locatário (FirstTimeAppObservedInTenant) |
180 | O aplicativo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
| Aplicativo usado de forma incomum no locatário (AppUncommonlyUsedInTenant) |
180 | O aplicativo não é normalmente usado na organização. | Verdadeiro, Falso |
Navegador usado
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o usuário se conectou via navegador (FirstTimeUserConnectedViaBrowser) |
30 | O navegador foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Navegador usado de forma incomum pelo usuário (BrowserUncommonlyUsedByUser) |
10 | O navegador não é comumente usado pelo usuário. | Verdadeiro, Falso |
| Navegador usado de forma incomum entre os colegas (BrowserUncommonlyUsedAmongPeers) |
30 | O navegador não é comumente usado entre os colegas do usuário. | Verdadeiro, Falso |
| Navegador observado pela primeira vez no locatário (FirstTimeBrowserObservedInTenant) |
30 | O navegador foi observado pela primeira vez na organização. | Verdadeiro, Falso |
| Navegador usado de forma incomum no locatário (BrowserUncommonlyUsedInTenant) |
30 | O navegador não é normalmente usado na organização. | Verdadeiro, Falso |
País conectado de
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| A primeira vez que o usuário se conectou do país (FirstTimeUserConnectedFromCountry) |
90 | A localização geográfica, como resolvida do endereço IP, foi conectada pela primeira vez pelo usuário. | Verdadeiro, Falso |
| País conectado de forma incomum do usuário (CountryUncommonlyConnectedFromByUser) |
10 | A localização geográfica, como resolvida do endereço IP, não é normalmente conectada pelo usuário. | Verdadeiro, Falso |
| País conectado de forma incomum entre pares (CountryUncommonlyConnectedFromAmongPeers) |
90 | A localização geográfica, como resolvida do endereço IP, não é normalmente conectada entre colegas do usuário. | Verdadeiro, Falso |
| Conexão pela primeira vez do país observado no locatário (FirstTimeConnectionFromCountryObservedInTenant) |
90 | O país foi conectado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
| País conectado de forma incomum do locatário (CountryUncommonlyConnectedFromInTenant) |
90 | A localização geográfica, como resolvida do endereço IP, não é normalmente conectada pela organização. | Verdadeiro, Falso |
Dispositivo usado para se conectar
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| A primeira vez que o usuário se conectou do dispositivo (FirstTimeUserConnectedFromDevice) |
30 | O dispositivo de origem foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Dispositivo usado de forma incomum pelo usuário (DeviceUncommonlyUsedByUser) |
10 | O dispositivo não é comumente usado pelo usuário. | Verdadeiro, Falso |
| Dispositivo usado de forma incomum entre os colegas (DeviceUncommonlyUsedAmongPeers) |
180 | O dispositivo não é comumente usado entre os colegas do usuário. | Verdadeiro, Falso |
| Primeira vez que o dispositivo é observado no locatário (FirstTimeDeviceObservedInTenant) |
30 | O dispositivo foi observado pela primeira vez na organização. | Verdadeiro, Falso |
| Dispositivo usado de forma incomum no locatário (DeviceUncommonlyUsedInTenant) |
180 | O dispositivo não é normalmente usado na organização. | Verdadeiro, Falso |
Outros relacionados ao dispositivo
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o usuário fez logon no dispositivo (FirstTimeUserLoggedOnToDevice) |
180 | O dispositivo de destino foi conectado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Família de dispositivos usada de forma incomum no locatário (DeviceFamilyUncommonlyUsedInTenant) |
30 | A família de dispositivos não é normalmente usada na organização. | Verdadeiro, Falso |
Provedor de serviços de Internet usado para se conectar
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o usuário se conectou via ISP (FirstTimeUserConnectedViaISP) |
30 | O ISP foi observado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| ISP usado de forma incomum pelo usuário (ISPUncommonlyUsedByUser) |
10 | O ISP não é comumente usado pelo usuário. | Verdadeiro, Falso |
| ISP usado de forma incomum entre os colegas (ISPUncommonlyUsedAmongPeers) |
30 | O ISP não é comumente usado entre os colegas do usuário. | Verdadeiro, Falso |
| Conexão pela primeira vez via ISP no locatário (FirstTimeConnectionViaISPInTenant) |
30 | O ISP foi observado pela primeira vez na organização. | Verdadeiro, Falso |
| ISP usado de forma incomum no locatário (ISPUncommonlyUsedInTenant) |
30 | O ISP não é normalmente usado na organização. | Verdadeiro, Falso |
Recurso acessado
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Primeira vez que o usuário acessou o recurso (FirstTimeUserAccessedResource) |
180 | O recurso foi acessado pela primeira vez pelo usuário. | Verdadeiro, Falso |
| Recurso acessado de forma incomum pelo usuário (ResourceUncommonlyAccessedByUser) |
10 | O recurso não é normalmente acessado pelo usuário. | Verdadeiro, Falso |
| Recurso acessado de forma incomum entre colegas (ResourceUncommonlyAccessedAmongPeers) |
180 | O recurso não é normalmente acessado entre os colegas do usuário. | Verdadeiro, Falso |
| A primeira vez que o recurso é acessado no locatário (FirstTimeResourceAccessedInTenant) |
180 | O recurso foi acessado pela primeira vez por qualquer pessoa na organização. | Verdadeiro, Falso |
| Recurso acessado de forma incomum pelo locatário (ResourceUncommonlyAccessedInTenant) |
180 | O recurso não é normalmente acessado na organização. | Verdadeiro, Falso |
Diversos
| Nome do enriquecimento | Linha de base (dias) | Descrição | Valor de exemplo |
|---|---|---|---|
| Última vez que o usuário realizou a ação (LastTimeUserPerformedAction) |
180 | Última vez que o usuário realizou a mesma ação. | <Timestamp> |
| Uma ação semelhante não foi executada no passado (SimilarActionWasn'tPerformedInThePast) |
30 | Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. | Verdadeiro, Falso |
| Local do IP de origem (SourceIPLocation) |
N/A | O país resolvido do IP de origem da ação. | [Surrey, Inglaterra] |
| Alto volume incomum de operações (UncommonHighVolumeOfOperations) |
7 | Um usuário realizou uma intermitência de operações semelhantes dentro do mesmo provedor | Verdadeiro, Falso |
| Número incomum de falhas de acesso condicional do Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Um número incomum de usuários não pôde se autenticar devido ao acesso condicional | Verdadeiro, Falso |
| Número incomum de dispositivos adicionados (UnusualNumberOfDevicesAdded) |
5 | Um usuário adicionou um número incomum de dispositivos. | Verdadeiro, Falso |
| Número incomum de dispositivos excluídos (UnusualNumberOfDevicesDeleted) |
5 | Um usuário excluiu um número incomum de dispositivos. | Verdadeiro, Falso |
| Número incomum de usuários adicionados ao grupo (UnusualNumberOfUsersAddedToGroup) |
5 | Um usuário adicionou um número incomum de usuários a um grupo. | Verdadeiro, Falso |
Tabela de IdentityInfo
Depois de habilitar o UEBA em seu workspace do Microsoft Sentinel, os dados do Microsoft Entra ID serão sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel. Insira dados de usuário sincronizados do Microsoft Entra ID em suas regras de análise a fim de aprimorar sua análise para ajustar aos seus casos de uso e reduzir falsos positivos.
Embora a sincronização inicial possa levar alguns dias, depois que os dados estiverem totalmente sincronizados:
As alterações feitas nos perfis de usuário no Microsoft Entra ID serão atualizadas na tabela IdentityInfo dentro de 15 minutos.
As informações de grupo e função serão sincronizadas entre a tabela IdentityInfo e o Microsoft Entra ID diariamente.
A cada 14 dias, o Microsoft Sentinel ressincroniza todo o Microsoft Entra ID para garantir que os registros antigos estejam totalmente atualizados.
O tempo de retenção padrão na tabela IdentityInfo é de 30 dias.
Observação
Atualmente, há suporte apenas para funções internas.
No momento, não há suporte para dados sobre grupos excluídos, em que um usuário foi removido de um grupo.
Na verdade, existem duas versões da tabela IdentityInfo: uma servindo o Microsoft Sentinel, no esquema do Log Analytics, a outra servindo o portal do Microsoft Defender por meio do Microsoft Defender for Identity, no que é conhecido como esquema de busca avançada. Ambas as versões desta tabela são alimentadas pelo Microsoft Entra ID, mas a versão do Log Analytics adicionou alguns campos.
A plataforma unificada de operações de segurança no portal do Defender usa a versão de busca avançada dessa tabela, portanto, para minimizar as diferenças entre as versões da tabela, a maioria dos campos exclusivos na versão do Log Analytics também está sendo adicionada gradualmente à versão de busca avançada. Independentemente de qual portal você estiver usando o Microsoft Sentinel, você terá acesso a quase todas as mesmas informações, embora possa haver um pequeno intervalo de tempo na sincronização entre as versões.
A tabela a seguir descreve os dados de identidade do usuário incluídos na tabela IdentityInfo no Log Analytics no portal do Azure. A quarta coluna mostra os campos correspondentes na versão de busca avançada da tabela, que o Microsoft Sentinel usa no portal do Defender. Os nomes de campo em negrito são nomeados de forma diferente no esquema de busca avançada do que na versão do Microsoft Sentinel Log Analytics.
| Nome do campo em Esquema do Log Analytics |
Tipo | Descrição | Nome do campo em Esquema de busca avançado |
|---|---|---|---|
| AccountCloudSID | string | O identificador de segurança do Microsoft Entra da conta. | CloudSid |
| AccountCreationTime | DATETIME | A data em que a conta de usuário foi criada (UTC). | CreatedDateTime |
| AccountDisplayName | string | O nome para exibição da conta de usuário. | AccountDisplayName |
| AccountDomain | string | O nome de domínio da conta de usuário. | AccountDomain |
| AccountName | string | O nome de usuário da conta de usuário. | AccountName |
| AccountObjectId | string | A ID de objeto do Microsoft Entra para a conta de usuário. | AccountObjectId |
| AccountSID | string | O identificador de segurança local da conta de usuário. | AccountSID |
| AccountTenantId | string | A ID do locatário do Microsoft Entra da conta de usuário. | -- |
| AccountUPN | string | O nome UPN da conta de usuário. | AccountUPN |
| AdditionalMailAddresses | dinâmico | Os endereços de e-mail adicionais do usuário. | -- |
| AssignedRoles | dinâmico | As funções do Microsoft Entra às quais a conta de usuário está atribuída. | AssignedRoles |
| BlastRadius | string | Um cálculo baseado na posição do usuário no organograma e as funções e as permissões do Microsoft Entra do usuário. Valores possíveis: Baixo, Médio, Alto |
-- |
| ChangeSource | string | A origem da última alteração na entidade. Valores possíveis: |
ChangeSource |
| CompanyName | O nome da empresa à qual o usuário pertence. | -- | |
| Cidade | string | A cidade da conta de usuário. | City |
| País/Região | string | O país da conta de usuário. | País/região |
| DeletedDateTime | DATETIME | A data e a hora em que o usuário foi excluído. | -- |
| Departamento | string | O departamento da conta de usuário. | department |
| GivenName | string | O nome da conta de usuário. | GivenName |
| GroupMembership | dinâmico | Grupos do Microsoft Entra em que a conta de usuário é membro. | -- |
| IsAccountEnabled | bool | Uma indicação da conta de usuário estar ou não habilitada no Microsoft Entra ID. | IsAccountEnabled |
| JobTitle | string | O cargo da conta de usuário. | JobTitle |
| MailAddress | string | Endereço de email principal da conta de usuário. | EmailAddress |
| Manager | string | O alias do gerente da conta de usuário. | Gerente |
| OnPremisesDistinguishedName | string | O DN (nome diferenciado) do Microsoft Entra ID. Um nome diferenciado é uma sequência de RDN (nomes diferenciados relativos), conectados por vírgulas. | DistinguishedName |
| Telefone | string | O número de telefone da conta de usuário. | o Telefone |
| SourceSystem | string | O sistema em que o usuário é gerenciado. Valores possíveis: |
SourceProvider |
| Estado | string | O estado geográfico da conta de usuário. | Estado |
| StreetAddress | string | O endereço comercial da conta de usuário. | Endereço |
| Surname | string | O sobrenome do usuário. conta. | Sobrenome |
| TenantId | string | A ID do locatário do usuário. | -- |
| TimeGenerated | DATETIME | A hora em que o evento foi gerado (UTC). | Timestamp |
| Tipo | string | O nome da tabela. | -- |
| UserAccountControl | dinâmico | Atributos de segurança da conta de usuário no domínio do AD. Valores possíveis (podem conter mais de um): |
-- |
| UserState | string | O estado atual da conta de usuário no Microsoft Entra ID. Valores possíveis: |
-- |
| UserStateChangedOn | DATETIME | A data da última vez em que o estado da conta foi alterado (UTC). | -- |
| UserType | string | O tipo de usuário. | -- |
Próximas etapas
Este documento descreveu o esquema da tabela da análise de comportamento de entidade do Microsoft Azure Sentinel.
- Saiba mais sobre a análise de comportamento de entidade.
- Habilitar a UEBA no Microsoft Sentinel.
- Utilize a UEBA (análise de comportamento de entidade do usuário) em suas investigações.