Referens för Microsoft Sentinel UEBA-berikande
Anteckning
Azure Sentinel heter nu Microsoft Sentinel och vi kommer att uppdatera dessa sidor under de kommande veckorna. Läs mer om de senaste säkerhetsförbättringarna från Microsoft.
Den här artikeln beskriver Microsoft Sentinel BehaviorAnalytics-tabellen som finns i Loggar och som nämns på entitetsinformationssidorna ochinnehåller information om entitetsberikningsfälten i tabellen, vars innehåll du kan använda för att fokusera och förbättra dina säkerhetsincidentundersökningar.
Följande tre dynamiska fält från tabellen BehaviorAnalytics beskrivs i tabellerna nedan.
Fälten UsersInsights och DevicesInsights innehåller entitetsinformation från källorna Active Directory/Azure AD och Microsoft Threat Intelligence.
Fältet ActivityInsights innehåller entitetsinformation baserat på de beteendeprofiler som skapats av Microsoft Sentinel-analys för entitetsbeteende.
Användaraktiviteter analyseras mot en baslinje som kompileras dynamiskt varje gång den används. Varje aktivitet har sin definierade lookback-period som den dynamiska baslinjen härleds från. Lookback-perioden anges i kolumnen Baslinje i den här tabellen.
Anteckning
Kolumnen Berikande namn i alla entitetsberikande fälttabeller visar två rader med information.
- Det första, i fetstil, är det "egna namnet" för berikande.
- Det andra (inom italik och parentes) är fältnamnet för berikande som lagras i tabellen Beteendeanalys.
Viktigt
Antecknade funktioner finns för närvarande i FÖRHANDSVERSION. Tilläggsvillkor för Azure-förhandsversionen innehåller ytterligare juridiska villkor som gäller för Azure-funktioner som är i betaversion, förhandsversion eller som ännu inte har släppts i allmän tillgänglighet.
BehaviorAnalytics-tabell
I följande tabell beskrivs beteendeanalysdata som visas på varje sida med entitetsinformation i Microsoft Sentinel.
| Fält | Typ | Description |
|---|---|---|
| TenantId | sträng | Klientens unika ID-nummer. |
| SourceRecordId | sträng | DET unika ID-numret för EBA-händelsen. |
| TimeGenerated | datetime | Tidsstämpeln för aktivitetens förekomst. |
| TimeProcessed | datetime | Tidsstämpeln för aktivitetens bearbetning av EBA-motorn. |
| ActivityType | sträng | Högnivåkategorin för aktiviteten. |
| ActionType | sträng | Det normaliserade namnet på aktiviteten. |
| Användarnamn | sträng | Användarnamnet för den användare som initierade aktiviteten. |
| UserPrincipalName | sträng | Det fullständiga användarnamnet för den användare som initierade aktiviteten. |
| EventSource | sträng | Datakällan som tillhandahöll den ursprungliga händelsen. |
| SourceIPAddress | sträng | IP-adressen som aktiviteten initierades från. |
| SourceIPLocation | sträng | Det land som aktiviteten initierades från, berikat med IP-adress. |
| SourceDevice | sträng | Värdnamnet för den enhet som initierade aktiviteten. |
| DestinationIPAddress | sträng | IP-adressen för aktivitetens mål. |
| DestinationIPLocation | sträng | Landet för aktivitetens mål, berikat med IP-adress. |
| DestinationDevice | sträng | Namnet på målenheten. |
| UsersInsights | dynamisk | Sammanhangsberoende berikande av berörda användare(information nedan). |
| DevicesInsights | dynamisk | Sammanhangsbaserade berikanden av berörda enheter(information nedan). |
| ActivityInsights | dynamisk | Kontextuell analys av aktivitet baserat på vår profilering (information nedan). |
| InvestigationPriority | int | Avvikelsepoängen, mellan 0–10 (0 =godartad, 10 =mycket avvikande). |
Dynamiska fält för entitetsberikningar
Fältet UsersInsights
I följande tabell beskrivs berikarna i det dynamiska fältet UsersInsights i tabellen BehaviorAnalytics:
| Berikande namn | Description | Exempelvärde |
|---|---|---|
| Kontots visningsnamn (AccountDisplayName) |
Användarens visningsnamn för kontot. | Admin, Dockden Cook |
| Kontodomän (AccountDomain) |
Användarens kontodomännamn. | |
| Kontoobjekt-ID (AccountObjectID) |
Användarens kontoobjekts-ID. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Radius för Radius (IosRadius) |
Radien beräknas baserat på flera faktorer: användarens position i organisationsträdet och användarens Azure Active Directory roller och behörigheter. | Låg, Medel, Hög |
| Är vilande konto (IsDormantAccount) |
Kontot har inte använts under de senaste 180 dagarna. | Sant, Falskt |
| Är lokal administratör (IsLocalAdmin) |
Kontot har lokal administratörsbehörighet. | Sant, Falskt |
| Är nytt konto (IsNewAccount) |
Kontot har skapats inom de senaste 30 dagarna. | Sant, Falskt |
| Lokalt SID (OnPremisesSID) |
Lokalt SID för användaren som är relaterad till åtgärden. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
Fältet DevicesInsights
I följande tabell beskrivs berikarna i det dynamiska fältet DevicesInsights i tabellen BehaviorAnalytics:
| Berikningsnamn | Description | Exempelvärde |
|---|---|---|
| Webbläsare (Webbläsare) |
Webbläsaren som används i åtgärden. | Edge, Chrome |
| Enhetsfamilj (DeviceFamily) |
Enhetsfamiljen som används i åtgärden. | Windows |
| Enhetstyp (DeviceType) |
Klientenhetstypen som används i åtgärden | Skrivbord |
| ISP (Internetleverantör) |
Den Internetleverantör som användes i åtgärden. | |
| Operativsystem (Operativsystem) |
Operativsystemet som används i åtgärden. | Windows 10 |
| Beskrivning av hotbildsindikator (ThreatIntelIndicatorDescription) |
Beskrivning av den observerade hotindikatorn som lösts från IP-adressen som används i åtgärden. | Värden är medlem i botnet: azorult |
| Hotbildsindikator (ThreatIntelIndicatorType) |
Den typ av hotindikator som lösts från IP-adressen som används i åtgärden. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
| Användaragent (UserAgent) |
Användaragenten som används i åtgärden. | Microsoft Azure Graph Client Library 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Användaragentfamilj (UserAgentFamily) |
Användaragentfamiljen som används i åtgärden. | Chrome, Edge, Firefox |
Fältet ActivityInsights
Följande tabeller beskriver berikandena i det dynamiska fältet ActivityInsights i tabellen BehaviorAnalytics:
Utförd åtgärd
| Berikningsnamn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren utförde åtgärden (FirstTimeUserPerformedAction) |
180 | Åtgärden utfördes för första gången av användaren. | Sant, Falskt |
| En åtgärd som utförts ovanligt av användaren (ActionUncommonlyPerformedByUser) |
10 | Åtgärden utförs vanligtvis inte av användaren. | Sant, Falskt |
| Åtgärden utfördes ovanligt bland peer-peers (ActionUncommonlyPerformedAmongPeers) |
180 | Åtgärden utförs inte ofta bland användarens peer-användare. | Sant, Falskt |
| Första gången åtgärden utfördes i klientorganisationen (FirstTimeActionPerformedInTenant) |
180 | Åtgärden utfördes för första gången av någon i organisationen. | Sant, Falskt |
| Åtgärden utfördes ovanligt i klientorganisationen (ActionUncommonlyPerformedInTenant) |
180 | Åtgärden utförs inte ofta i organisationen. | Sant, Falskt |
App som används
| Berikningsnamn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren använde appen (FirstTimeUserUsedApp) |
180 | Appen användes för första gången av användaren. | Sant, Falskt |
| Appen används sällan av användaren (AppUncommonlyUsedByUser) |
10 | Appen används inte ofta av användaren. | Sant, Falskt |
| App som används ovanligt bland peer-peers (AppUncommonlyUsedAmongPeers) |
180 | Appen används inte ofta bland användarnas peer-användare. | Sant, Falskt |
| Första gången appen observeras i klientorganisationen (FirstTimeAppObservedInTenant) |
180 | Appen observerades för första gången i organisationen. | Sant, Falskt |
| App som används ovanligt i klientorganisationen (AppUncommonlyUsedInTenant) |
180 | Appen används inte ofta i organisationen. | Sant, Falskt |
Webbläsare som används
| Berikningsnamn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren är ansluten via webbläsare (FirstTimeUserConnectedViaBrowser) |
30 | Webbläsaren observerades för första gången av användaren. | Sant, Falskt |
| Webbläsare som används ovanligt av användaren (BrowserUncommonlyUsedByUser) |
10 | Webbläsaren används inte ofta av användaren. | Sant, Falskt |
| Webbläsare som används ovanligt bland peer-peers (BrowserUncommonlyUsedAmongPeers) |
30 | Webbläsaren används inte ofta bland användarens peer-användare. | Sant, Falskt |
| Första gången webbläsaren observeras i klientorganisationen (FirstTimeBrowserObservedInTenant) |
30 | Webbläsaren observerades för första gången i organisationen. | Sant, Falskt |
| Webbläsare som används ovanligt i klientorganisationen (BrowserUncommonlyUsedInTenant) |
30 | Webbläsaren används inte ofta i organisationen. | Sant, Falskt |
Landet som är anslutet från
| Berikningsnamn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren är ansluten från landet (FirstTimeUserConnectedFromCountry) |
90 | Geoplatsen, som matchas från IP-adressen, anslöts från för första gången av användaren. | Sant, Falskt |
| Land som är ovanligt anslutet från en användare (CountryUncommonlyConnectedFromByUser) |
10 | Geoplatsen, som den matchas från IP-adressen, är vanligtvis inte ansluten från användaren. | Sant, Falskt |
| Land som är ovanligt anslutet bland peer-enheter (CountryUncommonlyConnectedFromAmongPeers) |
90 | Den geografiska platsen, som den matchas från IP-adressen, är inte ofta ansluten mellan användarens peer-enheter. | Sant, Falskt |
| Första gången anslutningen från land observeras i klientorganisationen (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Landet anslöts från för första gången av någon i organisationen. | Sant, Falskt |
| Land som är ovanligt anslutet från i klientorganisationen (CountryUncommonlyConnectedFromInTenant) |
90 | Den geografiska platsen, som den matchas från IP-adressen, är vanligtvis inte ansluten från i organisationen. | Sant, Falskt |
Enhet som används för att ansluta
| Berikningsnamn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren är ansluten från enheten (FirstTimeUserConnectedFromDevice) |
30 | Källenheten anslöts från för första gången av användaren. | Sant, Falskt |
| Enheten används sällan av användaren (DeviceUncommonlyUsedByUser) |
10 | Enheten används inte ofta av användaren. | Sant, Falskt |
| Enheten används ovanligt bland peer-enheter (DeviceUncommonlyUsedAmongPeers) |
180 | Enheten används inte ofta bland användarnas peer-enheter. | Sant, Falskt |
| Första gången enheten observeras i klientorganisationen (FirstTimeDeviceObservedInTenant) |
30 | Enheten observerades för första gången i organisationen. | Sant, Falskt |
| Enheten används sällan i klientorganisationen (DeviceUncommonlyUsedInTenant) |
180 | Enheten används inte ofta i organisationen. | Sant, Falskt |
Andra enhetsrelaterade
| Berikande namn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren är inloggad på enheten (FirstTimeUserLoggedOnToDevice) |
180 | Målenheten anslöts till för första gången av användaren. | Sant, Falskt |
| Enhetsfamiljen används sällan i klientorganisationen (DeviceFamilyUncommonlyUsedInTenant) |
30 | Enhetsfamiljen används inte ofta i organisationen. | Sant, Falskt |
Internetleverantör som används för att ansluta
| Berikande namn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren är ansluten via Internetleverantören (FirstTimeUserConnectedViaISP) |
30 | Internetleverantören observerades för första gången av användaren. | Sant, Falskt |
| Internetleverantören används sällan av användaren (ISPUncommonlyUsedByUser) |
10 | Internetleverantören används inte ofta av användaren. | Sant, Falskt |
| Internetleverantören används sällan bland peer-peers (ISPUncommonlyUsedAmongPeers) |
30 | Internetleverantören används inte ofta bland användarens peer-användare. | Sant, Falskt |
| Första gången anslutningen via Internetleverantören i klientorganisationen (FirstTimeConnectionViaISPInTenant) |
30 | Internetleverantören observerades för första gången i organisationen. | Sant, Falskt |
| Internetleverantören används sällan i klientorganisationen (ISPUncommonlyUsedInTenant) |
30 | Internetleverantören används inte ofta i organisationen. | Sant, Falskt |
Resurs som används
| Berikande namn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Första gången användaren använder resursen (FirstTimeUserAccessedResource) |
180 | Användaren fick åtkomst till resursen för första gången. | Sant, Falskt |
| Resurs som används sällan av användaren (ResourceUncommonlyAccessedByUser) |
10 | Resursen används inte ofta av användaren. | Sant, Falskt |
| Resurs som sällan nås bland peer-användare (ResourceUncommonlyAccessedAmongPeers) |
180 | Resursen används inte ofta bland användarens peer-användare. | Sant, Falskt |
| Första gången resursen nås i klientorganisationen (FirstTimeResourceAccessedInTenant) |
180 | Alla i organisationen fick åtkomst till resursen för första gången. | Sant, Falskt |
| Resurs som sällan nås i klientorganisationen (ResourceUncommonlyAccessedInTenant) |
180 | Resursen används inte ofta i organisationen. | Sant, Falskt |
Övriga farliga ämnen
| Berikande namn | Baslinje (dagar) | Description | Exempelvärde |
|---|---|---|---|
| Senaste gången användaren utförde åtgärden (LastTimeUserPerformedAction) |
180 | Senaste gången användaren utförde samma åtgärd. | <Timestamp> |
| Liknande åtgärd utfördes inte tidigare (SimilarActionWasn'tPerformedInThePast) |
30 | Ingen åtgärd i samma resursprovider utfördes av användaren. | Sant, Falskt |
| Källans IP-plats (SourceIPLocation) |
Ej tillämpligt | Landet som lösts från käll-IP-adressen för åtgärden. | [Moderey, England] |
| Ovanligt hög mängd åtgärder (UncommonHighVolumeOfOperations) |
7 | En användare utförde en burst med liknande åtgärder inom samma provider | Sant, Falskt |
| Ovanligt antal misslyckade villkorsstyrd åtkomst i Azure AD (UnusualNumberOfAADConditionalAccessFailures) |
5 | Ett ovanligt antal användare kunde inte autentiseras på grund av villkorlig åtkomst | Sant, Falskt |
| Ovanligt antal enheter som har lagts till (UnusualNumberOfDevicesAdded) |
5 | En användare har lagt till ett ovanligt antal enheter. | Sant, Falskt |
| Ovanligt antal borttagna enheter (UnusualNumberOfDevicesDeleted) |
5 | En användare har tagit bort ett ovanligt antal enheter. | Sant, Falskt |
| Ovanligt antal användare som lagts till i gruppen (UnusualNumberOfUsersAddedToGroup) |
5 | En användare har lagt till ett ovanligt antal användare i en grupp. | Sant, Falskt |
IdentityInfo-tabell (offentlig förhandsversion)
När du aktiverar UEBA för Microsoft Sentinel-arbetsytan synkroniseras data från din Azure Active Directory till IdentityInfo-tabellen i Log Analytics för användning i Microsoft Sentinel. Du kan bädda in användardata som synkroniseras från Azure AD från i dina analysregler för att förbättra dina analyser så att de passar dina användningsfall och minska falska positiva resultat.
Den första synkroniseringen kan ta några dagar, när data är helt synkroniserade:
Ändringar som görs i dina användarprofiler i Azure AD uppdateras i tabellen IdentityInfo inom 15 minuter.
Grupp- och rollinformation synkroniseras mellan IdentityInfo-tabellen och Azure AD dagligen.
Var 21:e dag synkroniserar Microsoft Sentinel om med hela Azure AD för att säkerställa att inaktuella poster uppdateras fullständigt.
Standardtid för kvarhållning i identityInfo-tabellen är 30 dagar.
Anteckning
För närvarande stöds endast inbyggda roller.
Data om borttagna grupper, där en användare har tagits bort från en grupp, stöds inte för närvarande.
I följande tabell beskrivs de användaridentitetsdata som ingår i IdentityInfo-tabellen i Log Analytics.
| Fält | Typ | Description |
|---|---|---|
| AccountCloudSID | sträng | Azure AD-säkerhetsidentifieraren för kontot. |
| AccountCreationTime | datetime | Det datum då användarkontot skapades (UTC). |
| AccountDisplayName | sträng | Visningsnamnet för användarkontot. |
| AccountDomain | sträng | Användarkontot domännamn. |
| AccountName | sträng | Användarnamnet för användarkontot. |
| AccountObjectId | sträng | Det Azure Active Directory objekt-ID:t för användarkontot. |
| AccountSID | sträng | Det lokala säkerhets-ID:t för användarkontot. |
| AccountTenantId | sträng | Den Azure Active Directory klientorganisations-ID för användarkontot. |
| AccountUPN | sträng | Användarens huvudnamn för användarkontot. |
| AdditionalMailAddresses | dynamisk | Användarens ytterligare e-postadresser. |
| AssignedRoles | dynamisk | De Azure AD-roller som användarkontot har tilldelats. |
| City | sträng | Användarens stad. |
| Land | sträng | Land för användarkontot. |
| DeletedDateTime | datetime | Datum och tid då användaren togs bort. |
| Avdelning | sträng | Användarkontos avdelning. |
| GivenName | sträng | Användarkontot förnamn. |
| GroupMembership | dynamisk | Azure AD-grupper där användarkontot är medlem. |
| IsAccountEnabled | boolesk | En indikation om användarkontot är aktiverat i Azure AD eller inte. |
| JobTitle | sträng | Befattningen för användarkontot. |
| MailAddress | sträng | Den primära e-postadressen för användarkontot. |
| Ansvarig | sträng | Chefsalias för användarkontot. |
| OnPremisesDistinguishedName | sträng | Unikt Azure AD-namn (DN). Ett unikt namn är en sekvens med relativa unika namn (RDN) som är anslutna med kommatecken. |
| Telefon | sträng | Användarkontot telefonnummer. |
| SourceSystem | sträng | Det system där användardata kommer från. |
| Tillstånd | sträng | Användarkontot geografiska tillstånd. |
| StreetAddress | sträng | Användarkontot på kontorets gatuadress. |
| Efternamn | sträng | Användarens efternamn. Konto. |
| TenantId | sträng | Användarens klientorganisations-ID. |
| TimeGenerated | datetime | Den tid då händelsen genererades (UTC). |
| Typ | sträng | Namnet på tabellen. |
| UserState | sträng | Det aktuella tillståndet för användarkontot i Azure AD (aktiv/inaktiverad/vilande/utelåsning). |
| UserStateChangedOn | datetime | Datum för den senaste gången kontotillståndet ändrades (UTC). |
| UserType | sträng | Användartypen. |
Nästa steg
I det här dokumentet beskrivs tabellschemat för Microsoft Sentinel-entitetsbeteendeanalys.
- Läs mer om entitetsbeteendeanalys.
- Använd UEBA i dina undersökningar.