Microsoft Sentinel ueba zenginleştirmeleri başvurusu
Not
Azure Sentinel artık Microsoft Sentinel olarak anılmıştır ve önümüzdeki haftalarda bu sayfaları güncelleştiriyor olacağız. En son Microsoft güvenlik geliştirmeleri hakkında daha fazla bilgi.
Bu makalede, günlüklerde bulunan ve varlık ayrıntıları sayfalarındabahsedilen Microsoft Sentinel BehaviorAnalytics tablosu açıklanır ve güvenlik olay araştırmalarınızı odaklamak ve keskinleştirmek için kullanabileceğiniz içerikler, bu tablodaki varlık zenginleştirme alanlarının ayrıntılarını sağlar.
BehaviorAnalytics tablosundan aşağıdaki üç dinamik alan aşağıdaki tablolardaaçıklanmıştır.
Usersinsights ve devicesınsights ALANLARı Active Directory/Azure AD ve Microsoft Threat Intelligence kaynaklarından varlık bilgilerini içerir.
Activityınsights alanı, Microsoft Sentinel 'in varlık davranışı Analizi tarafından oluşturulan davranış profillerine dayalı varlık bilgilerini içerir.
Kullanıcı Etkinlikleri, her kullanıldığı her seferinde dinamik olarak derlenen bir taban çizgisine göre çözümlenir. Her etkinliğin, dinamik taban çizgisinin türetildiği, tanımladığı geri dönüş dönemi vardır. Geriye doğru dönme süresi bu tablodaki taban çizgisi sütununda belirtilir.
Not
Tüm varlık zenginleştirme alanı tablolarında zenginleştirme adı sütunu iki satırlık bilgi görüntüler.
- İlki, kalın olan, zenginleştirme 'nin "kolay adıdır".
- İkincisi (italik ve parantezler) , davranış analizi tablosundadepolanan zenginleştirme alan adıdır.
Önemli
Belirtilen özellikler Şu anda ÖNIZLEME aşamasındadır. Azure önizleme ek koşulları , Beta, önizleme veya henüz genel kullanıma sunulmayan Azure özelliklerine uygulanan ek yasal koşulları içerir.
BehaviorAnalytics tablosu
Aşağıdaki tabloda Microsoft Sentinel içindeki her bir varlık ayrıntıları sayfasında görünen davranış analizi verileri açıklanmaktadır.
| Alan | Tür | Description |
|---|---|---|
| Değerine | string | Kiracının benzersiz KIMLIK numarası. |
| Sourcerkaydedilmiş DID | string | EBA olayının benzersiz KIMLIK numarası. |
| TimeGenerated | datetime | Etkinliğin oluşum zaman damgası. |
| Timeişlendi | datetime | EBA altyapısının etkinliğin işleme zaman damgası. |
| ActivityType | string | Etkinliğin üst düzey kategorisi. |
| EylemTürü | string | Etkinliğin normalleştirilmiş adı. |
| Nitelen | string | Etkinliği başlatan kullanıcının Kullanıcı adı. |
| UserPrincipalName | string | Etkinliği başlatan kullanıcının tam Kullanıcı adı. |
| EventSource | string | Özgün olayı sağlayan veri kaynağı. |
| Sourceıpaddress | string | Etkinliğin başlatıldığı IP adresi. |
| SourceIPLocation | string | Etkinliğin başlatıldığı ülke, IP adresinden zenginleştirilmiş. |
| SourceDevice | string | Etkinliği Başlatan cihazın ana bilgisayar adı. |
| Destinationıpaddress | string | Etkinliğin hedefinin IP adresi. |
| DestinationIPLocation | string | Etkinlik hedefinin, IP adresinden zenginleştirilmiş ülkesi. |
| Hedef cihaz | string | Hedef cihazın adı. |
| Usersinsıghts | dynamic | Dahil edilen kullanıcıların bağlamsal zenginler (Ayrıntılar aşağıdaverilmiştir). |
| Devicesınsights | dynamic | Dahil edilen cihazların bağlamsal zenginleri (Ayrıntılar aşağıdaverilmiştir). |
| Activityınsights | dynamic | Profil oluşturma etkinliğimize dayalı etkinliğin bağlamsal Analizi (Ayrıntılar aşağıdaverilmiştir). |
| InvestigationPriority | int | Anomali puanı, 0-10 arasında (0 = benign, 10 = yüksek düzeyde anormal). |
Varlık zenginleştirme dinamik alanları
Usersinsıghts alanı
Aşağıdaki tabloda, BehaviorAnalytics tablosundaki Usersinsıghts Dynamic alanında öne çıkan zenginler açıklanmaktadır:
| Zenginleştirme adı | Description | Örnek değer |
|---|---|---|
| Hesap görünen adı (AccountDisplayName) |
Kullanıcının hesap görünen adı. | Yönetici, Hayden Cook |
| Hesap etki alanı (AccountDomain) |
Kullanıcının hesap etki alanı adı. | |
| Hesap nesnesi KIMLIĞI (Accountobjectıd) |
Kullanıcının hesap nesne KIMLIĞI. | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| Bir yarıçapı Bomb (Blastraus) |
elde eden yarıçap çeşitli faktörlere göre hesaplanır: kullanıcının kuruluş ağacındaki konumu ve kullanıcı Azure Active Directory rolleri ve izinleri. | Düşük, orta, yüksek |
| Etkin değil hesabı (Ibağlantı noktası sayısı) |
Hesap son 180 gün boyunca kullanılmadı. | True, False |
| Yerel yönetici mi? (IsLocalAdmin) |
Hesabın yerel yönetici ayrıcalıkları vardır. | True, False |
| Yeni hesap mı? (IsNewAccount) |
Hesap son 30 gün içinde oluşturulmuştur. | True, False |
| Şirket içi SID (OnPremisesSID) |
Eylemle ilgili kullanıcının şirket içi SID'si. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights alanı
Aşağıdaki tabloda BehaviorAnalytics tablosunda DevicesInsights dinamik alanında öne çıkan zenginleştirmeler açıkmektedir:
| Zenginleştirme adı | Description | Örnek değer |
|---|---|---|
| Tarayıcı (Tarayıcı) |
Eylemde kullanılan tarayıcı. | Edge, Chrome |
| Cihaz ailesi (DeviceFamily) |
Eylemde kullanılan cihaz ailesi. | Windows |
| Cihaz Türü (DeviceType) |
Eylemde kullanılan istemci cihaz türü | Masaüstü |
| ISS (ISS) |
Eylemde kullanılan İnternet hizmet sağlayıcısı. | |
| İşletim sistemi (OperatingSystem) |
Eylemde kullanılan işletim sistemi. | Windows 10 |
| Tehdit bilgileri gösterge açıklaması (ThreatIntelIndicatorDescription) |
Eylemde kullanılan IP adresiyle çözümlenen gözlemlenen tehdit göstergesinin açıklaması. | Konak botnet'in üyesi: azorult |
| Tehdit bilgileri gösterge türü (ThreatIntelIndicatorType) |
Eylemde kullanılan IP adresiyle çözümlenen tehdit göstergesinin türü. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Kötü Amaçlı Yazılım, Kimlik Avı, Ara Sunucu, PUA, İzleme Listesi |
| Kullanıcı aracısı (UserAgent) |
Eylemde kullanılan kullanıcı aracısı. | Microsoft Azure Graph İstemci Kitaplığı 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
| Kullanıcı aracısı ailesi (UserAgentFamily) |
Eylemde kullanılan kullanıcı aracısı ailesi. | Chrome, Edge, Firefox |
ActivityInsights alanı
Aşağıdaki tablolar BehaviorAnalytics tablosunda ActivityInsights dinamik alanında öne çıkan zenginleştirmeleri açıklar:
Gerçekleştirilen eylem
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
| Kullanıcı ilk kez eylem gerçekleştirdi (FirstTimeUserPerformedAction) |
180 | Eylem kullanıcı tarafından ilk kez gerçekleştirildi. | True, False |
| Kullanıcı tarafından nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedByUser) |
10 | Eylem genellikle kullanıcı tarafından gerçekleştirlanmaz. | True, False |
| Eşler arasında nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedAmongPeers) |
180 | Eylem, kullanıcının eşleri arasında yaygın olarak gerçekleştirlanmaz. | True, False |
| Kiracıda ilk kez gerçekleştirilen eylem (FirstTimeActionPerformedInTenant) |
180 | Eylem, kuruluşta herkes tarafından ilk kez gerçekleştirildi. | True, False |
| Kiracıda nadiren gerçekleştirilen eylem (ActionUncommonlyPerformedInTenant) |
180 | Eylem kuruluşta yaygın olarak gerçekleştirlanmaz. | True, False |
Kullanılan uygulama
| Zenginleştirme adı | Temel (gün) | Description | Örnek değer |
|---|---|---|---|
| Kullanıcı uygulamayı ilk kez kullandığında (FirstTimeUserUsedApp) |
180 | Uygulama kullanıcı tarafından ilk kez kullanılmıştır. | True, False |
| Kullanıcı tarafından yaygın olarak kullanılan uygulama (AppUncommonlyUsedByUser) |
10 | Uygulama, Kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, yanlış |
| Eşler arasında yaygın olarak kullanılmayan uygulama (Appuncommonlyusedadmongpeers) |
180 | Uygulama, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, yanlış |
| Kiracıda uygulama ilk kez gözlemlendi (FirstTimeAppObservedInTenant) |
180 | Uygulama, kuruluşta ilk kez gözlemlendi. | Doğru, yanlış |
| Kiracıda yaygın olarak kullanılan uygulama (AppUncommonlyUsedInTenant) |
180 | Uygulama, kuruluşta yaygın olarak kullanılmaz. | Doğru, yanlış |
Kullanılan tarayıcı
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| Kullanıcı tarayıcı ile ilk kez bağlandı (FirstTimeUserConnectedViaBrowser) |
30 | Tarayıcı, Kullanıcı tarafından ilk kez gözlemlendi. | Doğru, yanlış |
| Kullanıcı tarafından yaygın olarak kullanılan tarayıcı (BrowserUncommonlyUsedByUser) |
10 | Tarayıcı Kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, yanlış |
| Eşler arasında yaygın olarak kullanılmayan tarayıcı (Browseruncommonlyusedadmongpeers) |
30 | Tarayıcı, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, yanlış |
| Kiracıda ilk tarayıcıda bir kez gözlemlendi (FirstTimeBrowserObservedInTenant) |
30 | Tarayıcı, kuruluşta ilk kez gözlemlendi. | Doğru, yanlış |
| Kiracıda yaygın olarak kullanılmayan tarayıcı (BrowserUncommonlyUsedInTenant) |
30 | Tarayıcı kuruluşta yaygın olarak kullanılmaz. | Doğru, yanlış |
Ülke bağlı
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| İlk kez Kullanıcı ülkeden bağlanır (FirstTimeUserConnectedFromCountry) |
90 | IP adresinden çözülen coğrafi konum, Kullanıcı tarafından ilk kez bağlandı. | Doğru, yanlış |
| Kullanıcı tarafından yaygın olarak bağlanan ülke (CountryUncommonlyConnectedFromByUser) |
10 | IP adresinden çözülen coğrafi konum, genellikle kullanıcı tarafından bağlı değildir. | Doğru, yanlış |
| Eşler arasında yaygın olarak bağlanan ülke (CountryUncommonlyConnectedFromAmongPeers) |
90 | IP adresinden çözülen coğrafi konum, genellikle kullanıcının eşleri arasında bağlı değildir. | Doğru, yanlış |
| Kiracıdan gözlenen ülkeden ilk kez bağlantı (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Ülke, kuruluştaki herkes tarafından ilk kez bağlandı. | Doğru, yanlış |
| Kiracıdan yaygın olarak bağlanan ülke (CountryUncommonlyConnectedFromInTenant) |
90 | IP adresinden çözümlenen şekilde coğrafi konum, genellikle kuruluştan bağlı değildir. | Doğru, yanlış |
Bağlanmak için kullanılan cihaz
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| Cihazdan ilk kez kullanıcı bağlandığında (FirstTimeUserConnectedFromDevice) |
30 | Kaynak cihaz, Kullanıcı tarafından ilk kez bağlandı. | Doğru, yanlış |
| Kullanıcı tarafından yaygın olarak kullanılmayan cihaz (DeviceUncommonlyUsedByUser) |
10 | Cihaz, Kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, yanlış |
| Eşler arasında yaygın olarak kullanılmayan cihaz (Deviceuncommonlyusedadmongpeers) |
180 | Cihaz, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, yanlış |
| Kiracıda cihaz ilk kez gözlemlendi (FirstTimeDeviceObservedInTenant) |
30 | Cihaz, kuruluşta ilk kez gözlemlendi. | Doğru, yanlış |
| Kiracıda yaygın olarak kullanılmayan cihaz (DeviceUncommonlyUsedInTenant) |
180 | Cihaz kuruluşta yaygın olarak kullanılmaz. | Doğru, yanlış |
Cihazla ilgili diğer
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| İlk kez Kullanıcı cihazda oturum açtı (FirstTimeUserLoggedOnToDevice) |
180 | Hedef cihaz, Kullanıcı tarafından ilk kez bağlandı. | Doğru, yanlış |
| Kiracı içinde yaygın olarak kullanılmayan cihaz ailesi (DeviceFamilyUncommonlyUsedInTenant) |
30 | Cihaz ailesi kuruluşunuzda yaygın olarak kullanılmaz. | Doğru, yanlış |
Bağlanmak için kullanılan Internet hizmeti sağlayıcısı
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| İlk kez Kullanıcı ISS aracılığıyla bağlanır (Firsttimeuserconnectedviaıss) |
30 | ISS, Kullanıcı tarafından ilk kez gözlemlendi. | Doğru, yanlış |
| Kullanıcı tarafından yaygın olarak kullanılmayan ISS (Ipuncommonlyusedbyuser) |
10 | ISS, Kullanıcı tarafından yaygın olarak kullanılmaz. | Doğru, yanlış |
| Eşler arasında yaygın olarak kullanılmayan ISS (Ispuncommonlyusedadmongpeers) |
30 | ISS, kullanıcının eşleri arasında yaygın olarak kullanılmaz. | Doğru, yanlış |
| Kiracıda ISS aracılığıyla ilk kez bağlantı (FirstTimeConnectionViaISPInTenant) |
30 | ISS, kuruluşun ilk saatinde gözlemlendi. | Doğru, yanlış |
| Kiracı içinde yaygın olarak kullanılmayan ISS (Ipuncommonlyusedintenant) |
30 | ISP, kuruluşta yaygın olarak kullanılmaz. | Doğru, yanlış |
Erişilen kaynak
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| İlk kez Kullanıcı kaynağa erişti (FirstTimeUserAccessedResource) |
180 | Kaynağa Kullanıcı tarafından ilk kez erişildi. | Doğru, yanlış |
| Kullanıcı tarafından yaygın olarak erişilemeyen kaynak (ResourceUncommonlyAccessedByUser) |
10 | Kaynak, Kullanıcı tarafından yaygın olarak erişilmez. | Doğru, yanlış |
| Eşler arasında yaygın olarak erişilemeyen kaynak (Resourceuncommonlyaccessenemongpeers) |
180 | Kaynağa, kullanıcının eşleri arasında genel olarak erişilemez. | Doğru, yanlış |
| Kiracıda ilk kez kaynak erişildiği (FirstTimeResourceAccessedInTenant) |
180 | Kaynağa, kuruluştaki herkes tarafından ilk kez erişildi. | Doğru, yanlış |
| Kiracıda genel olarak erişilemeyen kaynak (ResourceUncommonlyAccessedInTenant) |
180 | Kaynak, kuruluşta yaygın olarak erişilmez. | Doğru, yanlış |
Çeşitli
| Zenginleştirme adı | Taban çizgisi (gün) | Description | Örnek değer |
|---|---|---|---|
| Kullanıcı eylemi son gerçekleştirmedi (Lasttimeuserperformedadction) |
180 | Kullanıcının aynı eylemi gerçekleştirdiği son zaman. | <Timestamp> |
| Benzer eylem geçmişte gerçekleştirilmedi (SimilarActionWasn'tPerformedInThePast) |
30 | Kullanıcı tarafından aynı kaynak sağlayıcıda hiçbir eylem gerçekleştirilmedi. | Doğru, yanlış |
| Kaynak IP konumu (SourceIPLocation) |
Yok | Ülke, eylemin kaynak IP 'sinden çözüldü. | [Surey, England] |
| Yaygın olmayan yüksek işlem hacmi (UncommonHighVolumeOfOperations) |
7 | Kullanıcı aynı sağlayıcı içinde benzer işlemler için bir veri bloğu gerçekleştirdi | Doğru, yanlış |
| Olağandışı sayıda Azure AD koşullu erişim başarısızlığı (Unusualnumberofaadconditionalaccessarızaları) |
5 | Koşullu erişim nedeniyle olağan dışı sayıda kullanıcı kimlik doğrulaması başarısız oldu | Doğru, yanlış |
| Olağan dışı sayıda cihaz eklendi (UnusualNumberOfDevicesAdded) |
5 | Kullanıcı olağan dışı sayıda cihaz ekledi. | Doğru, yanlış |
| Olağan dışı sayıda cihaz silindi (UnusualNumberOfDevicesDeleted) |
5 | Kullanıcı olağan dışı sayıda cihazı sildi. | Doğru, yanlış |
| Gruba eklenen olağan dışı sayıda Kullanıcı (UnusualNumberOfUsersAddedToGroup) |
5 | Kullanıcı bir gruba olağan dışı sayıda kullanıcı ekledi. | Doğru, yanlış |
Identityınfo tablosu (Genel Önizleme)
microsoft sentinel çalışma alanınız için ueba 'yı etkinleştirdikten sonra, Azure Active Directory verileri microsoft sentinel 'de kullanılmak üzere Log Analytics ıdentityınfo tablosuyla eşitlenir. Analizlerinizin kullanım örneklerine uyacak ve hatalı pozitif sonuçları azaltmanıza olanak sağlamak için Azure AD 'den eşitlenen Kullanıcı verilerini analiz kurallarınızın içinden ekleyebilirsiniz.
İlk eşitleme birkaç gün sürebilir, veriler tamamen eşitlendikten sonra:
Azure AD 'de Kullanıcı profilinizde yapılan değişiklikler, 15 dakika içinde ıdentityınfo tablosunda güncelleştirilir.
Grup ve rol bilgileri, ıdentityınfo tablosu Ile Azure AD arasında her gün eşitlenir.
Tüm 21 günde Microsoft, eski kayıtların tam olarak güncelleştirilmesini sağlamak için tüm Azure AD ile yeniden eşitler.
Identityınfo tablosundaki varsayılan saklama süresi 30 gündür.
Not
Şu anda yalnızca yerleşik roller desteklenir.
Bir kullanıcının bir gruptan kaldırıldığı silinen gruplar hakkındaki veriler şu anda desteklenmemektedir.
Aşağıdaki tabloda, Log Analytics ' deki ıdentityınfo tablosuna eklenen Kullanıcı kimliği verileri açıklanmaktadır.
| Alan | Tür | Description |
|---|---|---|
| AccountCloudSID | string | Hesabın Azure AD güvenlik tanımlayıcısı. |
| AccountCreationTime | datetime | Kullanıcı hesabının oluşturulduğu tarih (UTC). |
| AccountDisplayName | string | Kullanıcı hesabının görünen adı. |
| AccountDomain | string | Kullanıcı hesabının etki alanı adı. |
| AccountName | string | Kullanıcı hesabının Kullanıcı adı. |
| Accountobjectıd | string | kullanıcı hesabının Azure Active Directory nesne kimliği. |
| AccountSID | string | Kullanıcı hesabının şirket içi güvenlik tanımlayıcısı. |
| Accounttenantıd | string | kullanıcı hesabının Azure Active Directory kiracı kimliği. |
| AccountUPN | string | Kullanıcı hesabının kullanıcı asıl adı. |
| Adtionalmaılaadresleri | dynamic | Kullanıcının ek e-posta adresleri. |
| Atanan | dynamic | Kullanıcı hesabının atandığı Azure AD rolleri. |
| Şehir | string | Kullanıcı hesabının şehri. |
| Ülke | string | Kullanıcı hesabının ülkesi. |
| DeletedDateTime | datetime | Kullanıcının silindiği tarih ve saat. |
| Departman | string | Kullanıcı hesabının Departmanı. |
| GivenName | string | Kullanıcı hesabının verilen adı. |
| GroupMembership | dynamic | Kullanıcı hesabının üye olduğu Azure AD grupları. |
| IsAccountEnabled | bool | Kullanıcı hesabının Azure AD 'de etkinleştirilip etkinleştirilmediğini belirten bir gösterge. |
| JobTitle | string | Kullanıcı hesabının iş unvanı. |
| Mapostaadresi | string | Kullanıcı hesabının birincil e-posta adresi. |
| Yönetici | string | Kullanıcı hesabının yönetici diğer adı. |
| OnPremisesDistinguishedName | string | Azure AD ayırt edici adı (DN). Ayırt edici ad, virgülle bağlanmış göreli ayırt edici adlar (RDN) dizisidir. |
| Telefon | string | Kullanıcı hesabının telefon numarası. |
| SourceSystem | string | Kullanıcı verisi kaynağı olan sistem. |
| Durum | string | Kullanıcı hesabının coğrafi durumu. |
| Streetaddress | string | Kullanıcı hesabının ofis adresi. |
| Soyadı | string | Kullanıcının soyadı. Hesabı. |
| TenantId | string | Kullanıcının kiracı kimliği. |
| TimeGenerated | datetime | Olayın oluşturulma zamanı (UTC). |
| Tür | string | Tablonun adı. |
| UserState | string | Azure AD'de kullanıcı hesabının geçerli durumu (Etkin/Devre Dışı/Devre Dışı/Kilitleme). |
| UserStateChangedOn | datetime | Hesap durumunun son değiştir tarihi (UTC). |
| Usertype | string | Kullanıcı türü. |
Sonraki adımlar
Bu belgede Microsoft Sentinel varlık davranışı analizi tablo şeması açıklanmıştır.
- Varlık davranışı analizi hakkında daha fazla bilgi edinin.
- Araştırmalarda kullanmak üzere UEBA'yı kullanın.