Azure Sentinel webinar:Enabling User and Entity Behavior Analytics (UEBA)
什么是用户和实体行为分析 (UEBA)?
识别组织内的威胁及其潜在影响(无论是被入侵的实体还是恶意内部因素)始终是一个耗时耗力的过程。 筛选警报、连接各点和主动搜寻都需要大量的时间和精力,却只有极少回报,而复杂的潜在威胁却很难发现。 特别难以发现的威胁(如零日威胁、针对性威胁和高级持久性威胁)对组织来说是最危险的,因此能够检测这些威胁则变得更加重要。

安全驱动的分析
受 Gartner 的 UEBA 解决方案范例的启发,Microsoft Sentinel 根据 3 个参考框架提供了一种“由外而内”的方法:
用例:MITRE ATT&CK 策略、技术和分解技术框架将各种实体作为受害者、作恶者或枢轴点放入杀伤链中,Microsoft Sentinel 根据按照此框架开展的安全性研究对相关攻击途径和方案划分优先级,从而特别专注于每个数据源可以提供的最有价值的日志。数据源:尽管首要支持 Azure 数据源,但出于周全性考虑,Microsoft Sentinel 选择第三方数据源来提供与我们的威胁方案相匹配的数据。分析:Microsoft Sentinel 使用各种机器学习 (ML) 算法来识别异常活动,并以上下文信息丰富的形式清晰、准确地呈现证据,相关示例如下所示。
Microsoft Sentinel 提供的项目可帮助安全分析师结合上下文并通过对比用户的基线概况来清楚地了解环境中的异常活动。 用户(或主机、地址)执行的操作在上下文中进行评估,“true”结果则表示发现异常:
跨地理位置、设备和环境。跨时间和频率(与用户自己的历史记录相比)。与对等方的行为进行比较。与组织的行为进行比较。

计分
每个活动都使用“调查优先级评分”进行评分,该评分根据对用户及其对等方的行为学习来确定特定用户执行特定活动的概率。 被识别为最不正常的活动会获得最高分(分数范围为 0-10 分)。
时间线
规则模版
https://docs.microsoft.com/zh-cn/azure/sentinel/watchlist-schemas
高价值资产
“高价值资产”监视列表列出组织中具有重要价值的设备、资源和其他资产,此监视列表包括以下字段:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| 资产类型 | 字符串 | Device, Azure resource, AWS resource, URL, SPO, File share, Other | 必需 |
| 资产 ID | 字符串,视资产类型而定 | /subscriptions/d1d8779d-38d7-4f06-91db-9cbc8de0176f/resourceGroups/SOC-Purview/providers/Microsoft.Storage/storageAccounts/purviewadls | 必需 |
| 资产名称 | 字符串 | Microsoft.Storage/storageAccounts/purviewadls | 可选 |
| 资产 FQDN | FQDN | Finance-SRv.local.microsoft.com | 必需 |
| IP 地址 | IP | 1.1.1.1 | 可选 |
| 标记 | 列出 | [“SAW user”,”Blue Ocean team”] | 可选 |
VIP 用户
“VIP 用户”监视列表列出组织中影响力较高的员工的用户帐户,此监视列表包括以下值:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| 用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 | 可选 |
| 用户 AAD 对象 ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e | 可选 |
| 用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 | 可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja | 必需 |
| 标记 | 列出 | [“SAW user”,”Blue Ocean team”] | 可选 |
网络映射
“网络映射”监视列表列出 IP 子网及其各自的组织上下文,此监视列表包括以下字段:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| IP 子网 | 子网范围 | 198.51.100.0/24 - 198……/22 | 必需 |
| 范围名 | 字符串 | DMZ | 可选 |
| 标记 | 列出 | [“Example”,”Example”] | 可选 |
离职的员工
“离职的员工”监视列表列出已离职或即将离职的员工的用户帐户,此监视列表包括以下字段:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| 用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 | 可选 |
| 用户 AAD 对象 ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e | 可选 |
| 用户本地 SID | SID | S-1-12-1-4141952679-1282074057-123 | 可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja | 必需 |
| UserState | 字符串 | ||
| 建议使用 Notified 或 Terminated | Terminated | 必需 | |
| 通知日期 | 时间戳 - 具体日期 | 01.12.20 | 可选 |
| 终止日期 | 时间戳 - 具体日期 | 01.01.21 | 必需 |
| 标记 | 列出 | [“SAW user”,”Amba Wolfs team”] | 可选 |
标识相关
“标识相关”监视列表列出属于同一人员的相关用户帐户,此监视列表包括以下字段:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| 用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 | 可选 |
| 用户 AAD 对象 ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e | 可选 |
| 用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 | 可选 |
| 用户主体名称 | UPN | JeffL@seccxp.ninja | 必需 |
| 员工 ID | 字符串 | 8234123 | 可选 |
| 电子邮件 | JeffL@seccxp.ninja | 可选 | |
| 关联的特权帐户 ID | UID/SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 | 可选 |
| 关联的特权帐户 | UPN | Admin@seccxp.ninja | 可选 |
| 标记 | 列出 | [“SAW user”,”Amba Wolfs team”] | 可选 |
服务帐户
“服务帐户”监视列表列出服务帐户及其所有者,此监视列表包括以下字段:
| 字段名称 | 格式 | 示例 | 必需/可选 |
|---|---|---|---|
| 服务标识符 | UID | 1111-112123-12312312-123123123 | 可选 |
| 服务 AAD 对象 ID | SID | 11123-123123-123123-123123 | 可选 |
| 服务本地 SID | SID | S-1-12-1-3123123-123213123-12312312-2916039507 | 可选 |
| 服务主体名称 | UPN | myserviceprin@contoso.com | 必需 |
| 所有者用户标识符 | UID | 52322ec8-6ebf-11eb-9439-0242ac130002 | 可选 |
| 所有者用户 AAD 对象 ID | SID | 03fa4b4e-dc26-426f-87b7-98e0c9e2955e | 可选 |
| 所有者用户本地 SID | SID | S-1-12-1-4141952679-1282074057-627758481-2916039507 | 可选 |
| 所有者用户主体名称 | UPN | JeffL@seccxp.ninja | 必需 |
| 标记 | 列出 | [“Automation Account”,”GitHub Account”] | 可选 |
https://docs.microsoft.com/zh-cn/azure/sentinel/ueba-enrichments
BehaviorAnalytics 表
下表说明了 Microsoft Sentinel 中每个实体详细信息页上显示的行为分析数据。
| 字段 | 类型 | 说明 |
|---|---|---|
| TenantId | string | 租户的唯一 ID 编号。 |
| SourceRecordId | 字符串 | EBA 事件的唯一 ID 编号。 |
| TimeGenerated | datetime | 活动发生时的时间戳。 |
| TimeProcessed | datetime | EBA 引擎处理活动时的时间戳。 |
| ActivityType | 字符串 | 活动的高级类别。 |
| ActionType | 字符串 | 活动的规范化名称。 |
| UserName | 字符串 | 发起活动的用户的用户名。 |
| UserPrincipalName | 字符串 | 发起活动的用户的完整用户名。 |
| EventSource | 字符串 | 提供原始事件的数据源。 |
| SourceIPAddress | 字符串 | 发起活动的 IP 地址。 |
| SourceIPLocation | 字符串 | 发起活动的国家/地区,从 IP 地址进行扩充。 |
| SourceDevice | 字符串 | 发起活动的设备的主机名。 |
| DestinationIPAddress | 字符串 | 活动目标的 IP 地址。 |
| DestinationIPLocation | 字符串 | 活动目标所在国家/地区,从 IP 地址进行扩充。 |
| DestinationDevice | 字符串 | 目标设备的名称。 |
| UsersInsights | 动态 | 相关用户的上下文扩充(详细信息如下)。 |
| DevicesInsights | 动态 | 相关设备的上下文扩充(详细信息如下)。 |
| ActivityInsights | 动态 | 基于我们的分析的活动的上下文分析(详细信息如下)。 |
| InvestigationPriority | int | 异常分数,介于 0-10(0=良性,10=高度异常)。 |
实体扩充动态字段
UsersInsights 字段
下表说明了 BehaviorAnalytics 表中 UsersInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
| 帐户显示名称 | ||
| (AccountDisplayName) | 用户的帐户显示名称。 | Admin、Hayden Cook |
| 帐户域 | ||
| (AccountDomain) | 用户的帐户域名。 | 帐户对象 ID |
| (AccountObjectID) | 用户的帐户对象 ID。 | a58df659-5cab-446c-9dd0-5a3af20ce1c2 |
| 冲击半径 | ||
| (BlastRadius) | 冲击半径根据多个因素来计算:用户在组织树中的位置,以及用户的 Azure Active Directory 角色和权限。 | 低、中、高 |
| 休眠帐户 | ||
| (IsDormantAccount) | 此帐户在过去 180 天内未使用。 | True、False |
| 本地管理员 | ||
| (IsLocalAdmin) | 此帐户具有本地管理员权限。 | True、False |
| 新帐户 | ||
| (IsNewAccount) | 此帐户是在过去 30 天内创建的。 | True、False |
| 本地 SID | ||
| (OnPremisesSID) | 与该操作相关的用户的本地 SID。 | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights 字段
下表说明了 BehaviorAnalytics 表中 DevicesInsights 动态字段中提供的扩充:
| 扩充名称 | 说明 | 示例值 |
|---|---|---|
| 浏览器 | ||
| (Browser) | 操作中使用的浏览器。 | Edge、Chrome |
| 设备系列 | ||
| (DeviceFamily) | 操作中使用的设备系列。 | Windows |
| 设备类型 | ||
| (DeviceType) | 操作中使用的客户端设备类型 | 桌面 |
| ISP | ||
| (ISP) | 操作中使用的 Internet 服务提供商。 | |
| 操作系统 | ||
| (OperatingSystem) | 操作中使用的操作系统。 | Windows 10 |
| 威胁 intel 指标说明 | ||
| (ThreatIntelIndicatorDescription) | 从操作中使用的 IP 地址解析的观察到的威胁指标的说明。 | 主机是僵尸网络的成员:azorult |
| 威胁 intel 指标类型 | ||
| (ThreatIntelIndicatorType) | 从操作中使用的 IP 地址解析的威胁指标的类型。 | 僵尸网络、C2、CryptoMining、Darknet、Ddos、MaliciousUrl、恶意软件、仿冒、代理、PUA、播放列表 |
| 用户代理 | ||
| (UserAgent) | 操作中使用的用户代理。 | Microsoft Azure Graph Client Library 1.0、 |
| Swagger-Codegen/1.4.0.0/csharp, | ||
| EvoSTS | ||
| 用户代理系列 | ||
| (UserAgentFamily) | 操作中使用的用户代理系列。 | Chrome、Edge、Firefox |
ActivityInsights 字段
下表说明了 BehaviorAnalytics 表中 ActivityInsights 动态字段中提供的扩充:
已执行的操作
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次执行的操作 | |||
| (FirstTimeUserPerformedAction) | 180 | 用户首次执行此操作。 | True、False |
| 用户不常执行的操作 | |||
| (ActionUncommonlyPerformedByUser) | 10 | 用户不常执行此操作。 | True、False |
| 对等机之间不常执行的操作 | |||
| (ActionUncommonlyPerformedAmongPeers) | 180 | 用户的对等机之间不常执行此操作。 | True、False |
| 首次在租户中执行的操作 | |||
| (FirstTimeActionPerformedInTenant) | 180 | 此操作由组织中的任何人首次执行。 | True、False |
| 租户中不常执行的操作 | |||
| (ActionUncommonlyPerformedInTenant) | 180 | 组织中不常执行此操作。 | True、False |
使用的应用
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次使用的应用 | |||
| (FirstTimeUserUsedApp) | 180 | 用户首次使用此应用。 | True、False |
| 用户不常使用的应用 | |||
| (AppUncommonlyUsedByUser) | 10 | 用户不常使用此应用。 | True、False |
| 在对等机之间不常使用的应用 | |||
| (AppUncommonlyUsedAmongPeers) | 180 | 在用户的对等机之间不常使用此应用。 | True、False |
| 首次在租户中观察到的应用 | |||
| (FirstTimeAppObservedInTenant) | 180 | 在组织中首次观察到此应用。 | True、False |
| 租户中不常使用的应用 | |||
| (AppUncommonlyUsedInTenant) | 180 | 组织中不常使用此应用。 | True、False |
使用的浏览器
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次通过浏览器连接 | |||
| (FirstTimeUserConnectedViaBrowser) | 30 | 用户首次观察到此浏览器。 | True、False |
| 用户不常使用的浏览器 | |||
| (BrowserUncommonlyUsedByUser) | 10 | 用户不常使用此浏览器。 | True、False |
| 在对等机之间不常使用的浏览器 | |||
| (BrowserUncommonlyUsedAmongPeers) | 30 | 在用户的对等机之间不常使用此浏览器。 | True、False |
| 首次在租户中观察到的浏览器 | |||
| (FirstTimeBrowserObservedInTenant) | 30 | 在组织中首次观察到此浏览器。 | True、False |
| 租户中不常使用的浏览器 | |||
| (BrowserUncommonlyUsedInTenant) | 30 | 组织中不常使用此浏览器。 | True、False |
从其连接的国家/地区
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次从国家/地区连接 | |||
| (FirstTimeUserConnectedFromCountry) | 90 | 用户首次从 IP 地址解析的这个地理位置连接。 | True、False |
| 用户不常从其连接的国家/地区 | |||
| (CountryUncommonlyConnectedFromByUser) | 10 | 用户不常从 IP 地址解析的这个地理位置连接。 | True、False |
| 在对等机之间不常从其连接的国家/地区 | |||
| (CountryUncommonlyConnectedFromAmongPeers) | 90 | 用户的对等机之间不常从 IP 地址解析的这个地理位置连接。 | True、False |
| 首次从租户中观察到的国家/地区连接 | |||
| (FirstTimeConnectionFromCountryObservedInTenant) | 90 | 组织中的任何人首次从该国家/地区连接。 | True、False |
| 租户中不常从其连接的国家/地区 | |||
| (CountryUncommonlyConnectedFromInTenant) | 90 | 组织中不常从 IP 地址解析的这个地理位置连接。 | True、False |
用于连接的设备
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次从设备连接 | |||
| (FirstTimeUserConnectedFromDevice) | 30 | 用户首次从该源设备连接。 | True、False |
| 用户不常使用的设备 | |||
| (DeviceUncommonlyUsedByUser) | 10 | 用户不常使用此设备。 | True、False |
| 在对等机之间不常使用的设备 | |||
| (DeviceUncommonlyUsedAmongPeers) | 180 | 在用户的对等机之间不常使用此设备。 | True、False |
| 首次在租户中观察到的设备 | |||
| (FirstTimeDeviceObservedInTenant) | 30 | 此设备首次在组织中观察到。 | True、False |
| 租户中不常使用的设备 | |||
| (DeviceUncommonlyUsedInTenant) | 180 | 组织中不常使用此设备。 | True、False |
其他相关设备
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次登录到设备 | |||
| (FirstTimeUserLoggedOnToDevice) | 180 | 用户首次连接到此目标设备。 | True、False |
| 租户中不常使用的设备系列 | |||
| (DeviceFamilyUncommonlyUsedInTenant) | 30 | 组织中不常使用此设备系列。 | True、False |
用于连接的 Internet 服务提供商
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次通过 ISP 连接 | |||
| (FirstTimeUserConnectedViaISP) | 30 | 用户首次观察到此 ISP。 | True、False |
| 用户不常使用的 ISP | |||
| (ISPUncommonlyUsedByUser) | 10 | 用户不常使用此 ISP。 | True、False |
| 在对等机之间不常使用的 ISP | |||
| (ISPUncommonlyUsedAmongPeers) | 30 | 在用户的对等机之间不常使用此 ISP。 | True、False |
| 首次在租户中通过 ISP 连接 | |||
| (FirstTimeConnectionViaISPInTenant) | 30 | 在组织中首次观察到此 ISP。 | True、False |
| 租户中不常使用的 ISP | |||
| (ISPUncommonlyUsedInTenant) | 30 | 组织中不常使用此 ISP。 | True、False |
访问的资源
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户首次访问的资源 | |||
| (FirstTimeUserAccessedResource) | 180 | 此资源由用户首次访问。 | True、False |
| 用户不常访问的资源 | |||
| (ResourceUncommonlyAccessedByUser) | 10 | 用户不常访问该资源。 | True、False |
| 在对等机之间不常访问的资源 | |||
| (ResourceUncommonlyAccessedAmongPeers) | 180 | 在用户的对等机之间不常访问该资源。 | True、False |
| 首次在租户中访问的资源 | |||
| (FirstTimeResourceAccessedInTenant) | 180 | 此资源由组织中的任何人首次访问。 | True、False |
| 租户中不常访问的资源 | |||
| (ResourceUncommonlyAccessedInTenant) | 180 | 组织中不常访问此资源。 | True、False |
杂项
| 扩充名称 | 基线(天) | 说明 | 示例值 |
|---|---|---|---|
| 用户上次执行的操作 | |||
| (LastTimeUserPerformedAction) | 180 | 上次用户执行了相同的操作。 | |
| 过去未执行类似操作 | |||
| (SimilarActionWasn’tPerformedInThePast) | 30 | 用户未在相同的资源提供程序中执行任何操作。 | True、False |
| 源 IP 位置 | |||
| (SourceIPLocation) | 空值 | 此国家/地区从操作的源 IP 解析。 | [英国萨里] |
| 不常见的大量操作 | |||
| (UncommonHighVolumeOfOperations) | 7 | 用户在同一个提供程序中执行了一连串类似操作 | True、False |
| Azure AD 条件访问失败的异常数量 | |||
| (UnusualNumberOfAADConditionalAccessFailures) | 5 | 由于条件访问导致无法进行身份验证的用户的异常数量 | True、False |
| 添加的异常数量的设备 | |||
| (UnusualNumberOfDevicesAdded) | 5 | 用户添加了异常数量的设备。 | True、False |
| 删除的异常数量的设备 | |||
| (UnusualNumberOfDevicesDeleted) | 5 | 用户删除了异常数量的设备。 | True、False |
| 添加到组中的异常数量的用户 | |||
| (UnusualNumberOfUsersAddedToGroup) | 5 | 用户向组中添加了异常数量的用户。 | True、False |
IdentityInfo 表(公开预览版)
为 Microsoft Sentinel 工作区启用 UEBA 后,来自 Azure Active Directory 的数据将同步到 Log Analytics 中的 IdentityInfo 表以在 Microsoft Sentinel 中使用。 可以在分析规则中嵌入从 Azure AD 同步的用户数据,以增强分析来适应你的用例并减少误报。
虽然初始同步可能需要几天时间,但在数据完全同步后,将获得以下优势:
对 Azure AD 中的用户配置文件所做的更改会在 15 分钟内更新到 IdentityInfo 表中。组和角色信息每天在 IdentityInfo 表和 Azure AD 之间同步。每 21 天,Microsoft Sentinel 会与整个 Azure AD 重新同步,以确保过时的记录将完全更新。IdentityInfo 表中的默认保留时间为 30 天。
备注
目前,仅支持内置角色。
目前不支持有关已删除组(从组中删除了用户)的数据。
下表描述了 Log Analytics 的 IdentityInfo 表中包含的用户身份数据。
| 字段 | 类型 | 说明 |
|---|---|---|
| AccountCloudSID | string | 帐户的 Azure AD 安全标识符。 |
| AccountCreationTime | datetime | 创建用户帐户的日期 (UTC)。 |
| AccountDisplayName | string | 用户帐户的显示名称。 |
| AccountDomain | string | 用户帐户的域名。 |
| AccountName | string | 用户帐户的用户名。 |
| AccountObjectId | string | 用户帐户的 Azure Active Directory 对象 ID。 |
| AccountSID | string | 用户帐户的本地安全标识符。 |
| AccountTenantId | string | 用户帐户的 Azure Active Directory 租户 ID。 |
| AccountUPN | string | 用户帐户的用户主体名称。 |
| AdditionalMailAddresses | 动态 | 用户的其他电子邮件地址。 |
| AssignedRoles | 动态 | 为用户帐户分配的 Azure AD 角色。 |
| 城市 | string | 用户帐户的城市。 |
| 国家/地区 | string | 用户帐户的国家/地区。 |
| DeletedDateTime | datetime | 删除用户的日期和时间。 |
| 部门 | string | 用户帐户的部门。 |
| GivenName | string | 用户帐户的给定名称。 |
| GroupMembership | 动态 | 用户帐户所归属的 Azure AD 组。 |
| IsAccountEnabled | bool | 指示是否在 Azure AD 中启用了用户帐户。 |
| JobTitle | string | 用户帐户的职务。 |
| MailAddress | string | 用户帐户的主要电子邮件地址。 |
| 管理员 | string | 用户帐户的管理员别名。 |
| OnPremisesDistinguishedName | string | Azure AD 可分辨名称 (DN)。专有名称是一系列相对专有名称 (RDN),由逗号连接。 |
| 电话 | string | 用户帐户的电话号码。 |
| SourceSystem | string | 用户数据的来源系统。 |
| State | string | 用户帐户的地理状态。 |
| StreetAddress | string | 用户帐户的办公街道地址。 |
| Surname | string | 用户的姓氏。帐户。 |
| TenantId | string | 用户的租户 ID。 |
| TimeGenerated | datetime | 生成事件的时间 (UTC)。 |
| 类型 | string | 表的名称。 |
| UserState | string | Azure AD 中用户帐户的当前状态(活动/禁用/休眠/锁定)。 |
| UserStateChangedOn | datetime | 上次更改帐户状态的日期 (UTC)。 |
| UserType | string | 用户类型。 |
- Post title:Azure Sentinel webinar:Enabling User and Entity Behavior Analytics (UEBA)
- Post author:langu_xyz
- Create time:2021-05-01 21:00:00
- Post link:https://blog.langu.xyz/Azure Sentinel webinar: Enabling User and Entity Behavior Analytics (UEBA)/
- Copyright Notice:All articles in this blog are licensed under BY-NC-SA unless stating additionally.