Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Tässä artikkelissa luetellaan käyttäjän ja entiteetin toiminnan analysointipalvelun syötetietolähteet Microsoft Sentinel. Siinä kuvataan myös rikastukset, joita UEBA lisää entiteetteihin tarjoten tarvittavan kontekstin hälytyksiin ja tapauksiin.
Tärkeää
31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.
Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.
UEBA-tietolähteet
Nämä ovat tietolähteitä, joista UEBA-moduuli kerää ja analysoi tietoja koneoppimismallien harjoittamiseksi ja käyttäjien, laitteiden ja muiden entiteettien käyttäytymisen perustason määrittämiseksi. UEBA tarkastelee sitten näiden lähteiden tietoja löytääkseen poikkeavuuksia ja merkityksellisiä tietoja.
| Tietolähde | Liitin | Log Analytics -taulukko | Analysoitujen tapahtumien luokat |
|---|---|---|---|
| AAD:n hallittujen käyttäjätietojen kirjautumislokit (esikatselu) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Kaikki hallittujen käyttäjätietojen kirjautumistapahtumat |
| AAD-palvelun päänimen kirjautumislokit (esikatselu) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Kaikki palvelun päänimen kirjautumistapahtumat |
| Valvontalokit | Microsoft Entra ID | Valvontalokit | ApplicationManagement Hakemiston hallinta Ryhmän hallinta Laite Roolin hallinta UserManagementCategory |
| AWS CloudTrail (esikatselu) |
Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsolin kirjautumistapahtumat. Tunnistaja EventName = "ConsoleLogin" ja EventSource = "signin.amazonaws.com". Tapahtumilla on oltava kelvollinen UserIdentityPrincipalId. |
| Azure toiminto | Azure toiminto | AzureActivity | Lupa AzureActiveDirectory Laskutus Laskeminen Kulutus KeyVault Laitteet Verkon Resurssit Intune Logiikka Sql Tallennus |
| Laitteen kirjautumistapahtumat (esikatselu) | Microsoft Defender XDR | DeviceLogonEvents | Kaikki laitteen kirjautumistapahtumat |
| GCP-valvontalokit (esikatselu) | GCP Pub/Sub -valvontalokit | GCPAuditLogs |
apigee.googleapis.com- API-hallinta-ympäristöiam.googleapis.com - Käyttäjätietojen ja käyttöoikeuksien hallintapalvelu (IAM)iamcredentials.googleapis.com – IAM-palvelutilin tunnistetietojen ohjelmointirajapintacloudresourcemanager.googleapis.com– Resource Manager-ohjelmointirajapintacompute.googleapis.com - Laskentamoduulin ohjelmointirajapintastorage.googleapis.com – pilvitallennustilan ohjelmointirajapintacontainer.googleapis.com - Kubernetes-moduulin ohjelmointirajapintak8s.io - Kubernetes-ohjelmointirajapintacloudsql.googleapis.com – SQL-pilvipalvelujen ohjelmointirajapintabigquery.googleapis.com - BigQuery-ohjelmointirajapintabigquerydatatransfer.googleapis.com – BigQuery-tiedonsiirtopalvelun ohjelmointirajapintacloudfunctions.googleapis.com – pilvifunktioiden ohjelmointirajapintaappengine.googleapis.com - Sovellusmoduulin ohjelmointirajapintadns.googleapis.com – DNS-pilvipalvelujen ohjelmointirajapintabigquerydatapolicy.googleapis.com – BigQuery-tietokäytännön ohjelmointirajapintafirestore.googleapis.com - Firestore-ohjelmointirajapintadataproc.googleapis.com - Dataproc-ohjelmointirajapintaosconfig.googleapis.com - käyttöjärjestelmän määritysten ohjelmointirajapintacloudkms.googleapis.com – KMS-pilvipalvelujen ohjelmointirajapintasecretmanager.googleapis.com - Salaisen hallinnan ohjelmointirajapintaTapahtumilla on oltava kelvollinen arvo: - PrincipalEmail – Käyttäjätili tai palvelutili, joka kutsui ohjelmointirajapintaa- MethodName - Tietty Google-ohjelmointirajapintamenetelmä, jota kutsutaan– pääasiallinen sähköposti user@domain.com muodossa. |
| Okta CL (esikatselu) | Okta Single Sign-On (Azure-funktiot avulla) | Okta_CL | Todentaminen, monimenetelmäinen todentaminen (MFA) ja istuntotapahtumat, mukaan lukien:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startTapahtumilla on oltava kelvollinen käyttäjätunnus ( actor_id_s). |
| Suojaustapahtumat |
Windowsin suojaus tapahtumia AMA:n kautta Windowsin välitetyt tapahtumat |
WindowsEvent SecurityEvent |
4624: Tilin sisäänkirjautuminen onnistui 4625: Tilin kirjautuminen epäonnistui 4648: Kirjautumista yritettiin käyttää eksplisiittisiä tunnistetietoja 4672: Uusille kirjautumisille määritetyt erityisoikeudet 4688: Uusi prosessi on luotu |
| Kirjautumislokit | Microsoft Entra ID | SigninLogs | Kaikki kirjautumistapahtumat |
UEBA-täydennykset
Tässä osiossa kuvataan UEBA:n lisäykset Microsoft Sentinel entiteetteihin, joiden avulla voit keskittää ja terävöittää tietoturvatapausten tutkimuksia. Nämä täydennykset näkyvät entiteettisivuilla , ja ne löytyvät seuraavista Log Analytics -taulukoista, joiden sisältö ja rakenne on lueteltu alla:
BehaviorAnalytics-taulukkoon tallennetaan UEBA:n tulostiedot.
Seuraavat kolme dynaamista kenttää BehaviorAnalytics-taulukosta on kuvattu alla olevassa entiteetin täydennykset dynaamisten kenttien osassa.
UsersInsights- ja DevicesInsights-kentät sisältävät entiteettitietoja Active Directory/ Microsoft Entra ID- ja Microsoft Threat Intelligence -lähteistä.
ActivityInsights-kenttä sisältää entiteettitietoja, jotka perustuvat Microsoft Sentinel entiteetin toiminta-analytiikan luomiin käyttäytymisprofiileihin.
Käyttäjän toimet analysoidaan perusaikatauluun, joka käännetaan dynaamisesti aina, kun sitä käytetään. Jokaisella toiminnolla on oma määritetty hakujakso, josta dynaaminen perusaikataulu johdetaan. Hakujakso on määritetty tämän taulukon Perusaikataulu-sarakkeessa .
IdentityInfo-taulukkoon tallennetaan käyttäjätiedot, jotka on synkronoitu UEBA:han Microsoft Entra ID (ja paikallinen Active Directory kautta Microsoft Defender for Identity).
BehaviorAnalytics-taulukko
Seuraavassa taulukossa kuvataan toiminta-analytiikkatiedot, jotka näytetään Microsoft Sentinel kunkin entiteetin tietosivulla.
| Kenttä | Kirjoita | Kuvaus |
|---|---|---|
| Vuokraajan tunnus | Merkkijono | Vuokraajan yksilöivä tunnusnumero. |
| Lähdetietuetunnus | Merkkijono | EBA-tapahtuman yksilöivä tunnusnumero. |
| TimeGenerated | Datetime | Toiminnon esiintymän aikaleima. |
| Aikaprosessi | Datetime | EPV-moduulin suorittaman toiminnan aikaleima. |
| ActivityType | Merkkijono | Aktiviteetin ylätason luokka. |
| ActionType | Merkkijono | Aktiviteetin normalisoitu nimi. |
| Käyttäjätunnus | Merkkijono | Toiminnon aloittaneen käyttäjän käyttäjänimi. |
| UserPrincipalName | Merkkijono | Toiminnon aloittaneen käyttäjän koko käyttäjänimi. |
| Tapahtumalähde | Merkkijono | Tietolähde, joka toimitti alkuperäisen tapahtuman. |
| Lähdevihjeosoite | Merkkijono | IP-osoite, josta toiminto aloitettiin. |
| SourceIPLocation | Merkkijono | Maa tai alue, josta toiminto käynnistettiin, täydennetty IP-osoitteesta. |
| SourceDevice | Merkkijono | Toiminnon aloittaneen laitteen isäntänimi. |
| DestinationIPOsoite | Merkkijono | Toiminnon kohteen IP-osoite. |
| DestinationIPLocation | Merkkijono | Toiminnon kohteen maa/alue täydennettynä IP-osoitteesta. |
| DestinationDevice | Merkkijono | Kohdelaitteen nimi. |
| UsersInsights | Dynaaminen | Asiaan liittyvien käyttäjien tilannekohtaiset täydennykset (lisätietoja alla). |
| DevicesInsights | Dynaaminen | Liittyvien laitteiden tilannekohtaiset täydennykset (lisätietoja alla). |
| ActivityInsights | Dynaaminen | Profilointiin perustuva toiminnan tilannekohtainen analyysi (alla olevat tiedot). |
| InvestigationPriority | Int | Poikkeamapisteet väliltä 0–10 (0=hyvänlaatuinen, 10=erittäin poikkeava). Tämä pistemäärä määrittää odotetusta käyttäytymisestä poikkeamisen asteen. Korkeammat pisteet ilmaisevat suurempaa poikkeamaa perustasosta ja ovat todennäköisemmin merkki todellisista poikkeamista. Pienemmät pisteet saattavat silti olla poikkeavia, mutta ne eivät ole yhtä todennäköisesti merkittäviä tai toteutettavissa. |
Entiteetin täydennykset dynaamisille kentille
Huomautus
Tämän osion taulukoiden Enrichment Name -sarakkeessa näkyy kaksi tietoriviä.
- Ensimmäinen lihavoituna on rikastuksen "kutsumanimi".
- Toinen (kursivoituna ja sulkeina) on rikastuksen kentän nimi, joka on tallennettu Behavior Analytics -taulukkoon.
UsersInsights-kenttä
Seuraavassa taulukossa kuvataan dynaaminen UsersInsights-kentän lisäykset BehaviorAnalytics-taulukossa:
| Täydennysnimi | Kuvaus | Malliarvo |
|---|---|---|
|
Tilin näyttönimi (AccountDisplayName) |
Käyttäjän tilin näyttönimi. | Hallinta, Hayden Cook |
|
Tilin toimialue (AccountDomain) |
Käyttäjän tilin toimialueen nimi. | |
|
Tiliobjektin tunnus (AccountObjectID) |
Käyttäjän tilin objektitunnus. | aaaaaaaa-0000-1111-2222-bbbbbbbb |
|
Räjähdyssäde (BlastRadius) |
Räjähdyssäde lasketaan useiden tekijöiden perusteella: käyttäjän sijainti organisaatiopuussa sekä käyttäjän Microsoft Entra roolit ja käyttöoikeudet. Käyttäjällä on oltava Esimies-ominaisuus täytettynä Microsoft Entra ID, jotta BlastRadius voidaan laskea. | Pieni, Keskikokoinen, Suuri |
|
On lepotilassa oleva tili (IsDormantAccount) |
Tiliä ei ole käytetty viimeisen 180 päivän aikana. | Tosi, epätosi |
|
On paikallinen järjestelmänvalvoja (IsLocalAdmin) |
Tilillä on paikallisen järjestelmänvalvojan oikeudet. | Tosi, epätosi |
|
On uusi tili (IsNewAccount) |
Tili on luotu viimeisen 30 päivän aikana. | Tosi, epätosi |
|
Paikallinen SID-tunnus (OnPremisesSID) |
Toimintoon liittyvän käyttäjän paikallinen SID-tunnus. | S-1-5-21-1112946627-1321165628-243734228-1103 |
DevicesInsights-kenttä
Seuraavassa taulukossa kuvataan BehaviorAnalytics-taulukon DevicesInsights-dynaamisessa kentässä esitellyt lisäykset:
| Täydennysnimi | Kuvaus | Malliarvo |
|---|---|---|
|
Selain (Selain) |
Toiminnossa käytettävä selain. | Microsoft Edge, Chrome |
|
Laiteperhe (Laiteperhe) |
Toiminnossa käytetty laiteperhe. | Windows |
|
Laitetyyppi (DeviceType) |
Toiminnossa käytetty asiakaslaitetyyppi | Työpöydän |
|
ISP (ISP) |
Toiminnossa käytettävä Internet-palveluntarjoaja. | |
|
Käyttöjärjestelmä (Käyttöjärjestelmä) |
Toiminnossa käytettävä käyttöjärjestelmä. | Windows 10 |
|
Uhkien intel-ilmaisimen kuvaus (ThreatIntelIndicatorDescription) |
Toiminnossa käytetystä IP-osoitteesta ratkaistun havaitun uhkaindikaattorin kuvaus. | Isäntä on botnetin jäsen: azorult |
|
Uhka-intel-ilmaisimen tyyppi (ThreatIntelIndicatorType) |
Uhkien ilmaisimen tyyppi ratkaistiin toiminnossa käytetystä IP-osoitteesta. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Käyttäjäagentti (UserAgent) |
Toiminnossa käytetty käyttäjäagentti. | Microsoft Azure Graph -asiakaskirjasto 1.0, Swagger-Codegen/1.4.0.0/csharp, Mielleyhtymät |
|
Käyttäjäagenttiperhe (UserAgentFamily) |
Toimintoon käytetty käyttäjäagenttiperhe. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-kenttä
Seuraavissa taulukoissa kuvataan ActivityInsightsin dynaamisessa kentässä olevat lisäykset BehaviorAnalytics-taulukossa:
Suoritettu toiminto
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä suoritti toiminnon (FirstTimeUserPerformedAction) |
180 | Käyttäjä suoritti toiminnon ensimmäistä kertaa. | Tosi, epätosi |
|
Käyttäjän epätavallisesti suorittama toiminto (ActionUncommonlyPerformedByUser) |
10 | Käyttäjä ei yleensä suorita toimintoa. | Tosi, epätosi |
|
Melko harvinaisen suoritettu toiminto vertaistensa kesken (ActionUncommonlyPerformedAmongPeers) |
180 | Toimintoa ei tavallisesti suoriteta käyttäjän vertaisryhmässä. | Tosi, epätosi |
|
Ensimmäinen toiminto suoritettiin vuokraajassa (FirstTimeActionPerformedInTenant) |
180 | Toiminnon suoritti ensimmäistä kertaa kuka tahansa organisaatiossa. | Tosi, epätosi |
|
Epätavallinen toiminto vuokraajassa (ActionUncommonlyPerformedInTenant) |
180 | Toimintoa ei tavallisesti suoriteta organisaatiossa. | Tosi, epätosi |
Käytetty sovellus
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä käytti sovellusta (FirstTimeUserUsedApp) |
180 | Käyttäjä käytti sovellusta ensimmäistä kertaa. | Tosi, epätosi |
|
Sovellus, jota käyttäjä käyttää harvoin (AppUncommonlyUsedByUser) |
10 | Käyttäjä ei yleisesti hyödynnä sovellusta. | Tosi, epätosi |
|
Sovellusta käytetään harvoin vertaisiensa keskuudessa (AppUncommonlyUsedAmongPeers) |
180 | Sovellusta ei yleisesti käytetä käyttäjän vertaisten keskuudessa. | Tosi, epätosi |
|
Ensimmäinen havaittu sovellus vuokraajassa (FirstTimeAppObservedInTenant) |
180 | Sovellus havaittiin ensimmäistä kertaa organisaatiossa. | Tosi, epätosi |
|
Sovellus, jota käytetään harvoin vuokraajassa (AppUncommonlyUsedInTenant) |
180 | Sovellusta ei yleisesti käytetä organisaatiossa. | Tosi, epätosi |
Käytettävä selain
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä on muodostanut yhteyden selaimen kautta (FirstTimeUserConnectedViaBrowser) |
30 | Käyttäjä havaitsi selaimen ensimmäistä kertaa. | Tosi, epätosi |
|
Selain, jota käyttäjä käyttää harvoin (BrowserUncommonlyUsedByUser) |
10 | Käyttäjä ei yleensä käyttää selainta. | Tosi, epätosi |
|
Selainta käytetään harvoin vertaisissa (BrowserUncommonlyUsedAmongPeers) |
30 | Selainta ei yleisesti käytetä käyttäjien vertaisissa. | Tosi, epätosi |
|
Ensimmäinen havaittu selain vuokraajassa (FirstTimeBrowserObservedInTenant) |
30 | Selain havaittiin ensimmäistä kertaa organisaatiossa. | Tosi, epätosi |
|
Selainta käytetään harvoin vuokraajassa (BrowserUncommonlyUsedInTenant) |
30 | Selainta ei yleisesti käytetä organisaatiossa. | Tosi, epätosi |
Maa tai alue, josta yhteys on muodostettu
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä on muodostanut yhteyden maasta (FirstTimeUserConnectedFromCountry) |
90 | Käyttäjä yhdisti maantieteellisen sijainnin IP-osoitteesta ratkaistuna ensimmäistä kertaa. | Tosi, epätosi |
|
Maa, josta käyttäjä on harvoin muodostanut yhteyttä (CountryUncommonlyConnectedFromByUser) |
10 | Käyttäjä ei yleensä yhdistä maantieteellistä sijaintia IP-osoitteesta ratkaistuna. | Tosi, epätosi |
|
Maa, joka on harvinaisen yhteydessä vertaistensa joukosta (CountryUncommonlyConnectedFromAmongPeers) |
90 | Maantieteellinen sijainti, joka on ratkaistu IP-osoitteesta, ei ole yleisesti yhteydessä käyttäjän vertaiskoneiden kesken. | Tosi, epätosi |
|
Ensimmäinen kerta, kun yhteyttä maasta havaitaan vuokraajassa (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Maa tai alue oli ensimmäistä kertaa yhdistetty henkilöön organisaatiossa. | Tosi, epätosi |
|
Maa, josta on epätavallisesti muodostettu yhteys vuokraajassa (CountryUncommonlyConnectedFromInTenant) |
90 | Maantieteellistä sijaintia, joka on ratkaistu IP-osoitteesta, ei ole yleisesti yhdistetty organisaatiossa. | Tosi, epätosi |
Yhteyden muodostamiseen käytetty laite
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä on muodostanut yhteyden laitteesta (FirstTimeUserConnectedFromDevice) |
30 | Käyttäjä yhdisti lähdelaitteen ensimmäistä kertaa. | Tosi, epätosi |
|
Laite, jota käyttäjä käyttää harvoin (DeviceUncommonlyUsedByUser) |
10 | Käyttäjä ei yleisesti käytössä laitteessa. | Tosi, epätosi |
|
Laite, jota käytetään harvoin vertaisten keskuudessa (DeviceUncommonlyUsedAmongPeers) |
180 | Laitetta ei yleisesti käytetä käyttäjän vertaisten keskuudessa. | Tosi, epätosi |
|
Ensimmäinen kerta, kun laitetta havaitaan vuokraajassa (FirstTimeDeviceObservedInTenant) |
30 | Laitetta havaittiin ensimmäistä kertaa organisaatiossa. | Tosi, epätosi |
|
Laite, jota käytetään harvoin vuokraajassa (DeviceUncommonlyUsedInTenant) |
180 | Laitetta ei yleisesti käytetä organisaatiossa. | Tosi, epätosi |
Muut laitteeseen liittyvät
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä kirjautui laitteeseen (FirstTimeUserLoggedOnToDevice) |
180 | Käyttäjä yhdisti kohdelaitteen ensimmäistä kertaa. | Tosi, epätosi |
|
Laiteperhe, jota käytetään harvoin vuokraajassa (DeviceFamilyUncommonlyUsedInTenant) |
30 | Laiteperhe ei ole yleisesti käytössä organisaatiossa. | Tosi, epätosi |
Yhteyden muodostamisessa käytettävä Internet-palveluntarjoaja
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä on yhteydessä IsP:n kautta (FirstTimeUserConnectedViaISP) |
30 | Käyttäjä havaitsi isp:n ensimmäistä kertaa. | Tosi, epätosi |
|
IsP, jota käyttäjä käyttää harvoin (ISPUncommonlyUsedByUser) |
10 | Käyttäjä ei yleisesti käytetä IsP:tä. | Tosi, epätosi |
|
IsP: tä käytetään harvoin vertaisryhmien keskuudessa (ISPUncommonlyUsedAmongPeers) |
30 | IsP:tä ei yleisesti käytetä käyttäjän vertaistovereiden keskuudessa. | Tosi, epätosi |
|
Ensimmäinen kertayhteys IsP:n kautta vuokraajassa (FirstTimeConnectionViaISPInTenant) |
30 | IsP havaittiin ensimmäistä kertaa organisaatiossa. | Tosi, epätosi |
|
IsP-palveluntarjoaja, jota käytetään harvoin vuokraajassa (ISPUncommonlyUsedInTenant) |
30 | IsP:tä ei yleisesti käytetä organisaatiossa. | Tosi, epätosi |
Resurssia on käytettävissä
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Ensimmäinen kerta, kun käyttäjä käyttää resurssia (FirstTimeUserAccessedResource) |
180 | Käyttäjä käyttää resurssia ensimmäistä kertaa. | Tosi, epätosi |
|
Käyttäjä käyttää resurssia harvoin (ResourceUncommonlyAccessedByUser) |
10 | Käyttäjä ei yleisesti käytä resurssia. | Tosi, epätosi |
|
Resurssia on harvoin käytettävissä vertaisryhmien kesken (ResourceUncommonlyAccessedAmongPeers) |
180 | Resurssia ei useinkaan käsitellä käyttäjän vertaisryhmien kesken. | Tosi, epätosi |
|
Ensimmäinen kerta, kun resurssia käyttää vuokraajassa (FirstTimeResourceAccessedInTenant) |
180 | Kuka tahansa organisaation jäsen pääsi resurssiin ensimmäistä kertaa. | Tosi, epätosi |
|
Resurssia on harvoin käytettävissä vuokraajassa (ResourceUncommonlyAccessedInTenant) |
180 | Resurssia ei yleisesti käsitellä organisaatiossa. | Tosi, epätosi |
Muut
| Täydennysnimi | Perusaikataulu (päivää) | Kuvaus | Malliarvo |
|---|---|---|---|
|
Edellisen kerran, kun käyttäjä suoritti toiminnon (LastTimeUserPerformedAction) |
180 | Edellinen kerta, kun käyttäjä suoritti saman toiminnon. | <Aikaleima> |
|
Vastaavaa toimintoa ei suoritettu aiemmin (SimilarActionWasn'tPerformedInThePast) |
30 | Käyttäjä ei suorittanut toimintoa samassa resurssipalvelussa. | Tosi, epätosi |
|
Lähteen IP-sijainti (SourceIPLocation) |
N/A | Maa tai alue, joka on ratkaistu toiminnon IP-lähdeosumasta. | [Surrey, Englanti] |
|
Melko suuri toimintojen määrä (UncommonHighVolumeOfOperations) |
7 | Käyttäjä suoritti saman palveluntarjoajan sisällä samanlaisten toimintojen purskeen | Tosi, epätosi |
|
Ehdollisten käyttöoikeuksien epäonnistumisten Microsoft Entra epätavallinen määrä (UnusualNumberOfAADConditionalAccessFailures) |
5 | Epätavallinen määrä käyttäjiä ei pystynyt todentamaan ehdollisen käyttöoikeuden vuoksi | Tosi, epätosi |
|
Epätavallinen lisättyjen laitteiden määrä (UnusualNumberOfDevicesAdded) |
5 | Käyttäjä lisäsi epätavallisen määrän laitteita. | Tosi, epätosi |
|
Poistettujen laitteiden epätavallinen määrä (UnusualNumberOfDevicesDeleted) |
5 | Käyttäjä poisti epätavallisen määrän laitteita. | Tosi, epätosi |
|
Epätavallinen määrä ryhmään lisättyjä käyttäjiä (UnusualNumberOfUsersAddedToGroup) |
5 | Käyttäjä lisäsi ryhmään epätavallisen määrän käyttäjiä. | Tosi, epätosi |
IdentityInfo-taulukko
Kun olet ottanut UEBA:n käyttöön ja määrittänyt sen Microsoft Sentinel työtilaan, Microsoftin käyttäjätietojentarjoajien käyttäjätiedot synkronoidaan Log Analyticsin IdentityInfo-taulukkoon käytettäväksi Microsoft Sentinel.
Nämä tunnistetietopalvelut ovat joko seuraavia sen mukaan, kumman valitsit määrittäessäsi UEBA:ta:
- Microsoft Entra ID (pilvipohjainen)
- Microsoft Active Directory (paikallinen, edellyttää Microsoft Defender for Identity))
Voit tehdä IdentityInfo-taulukkoon kyselyn analytiikkasäännöissä, metsästyskyselyissä ja työkirjoissa, mikä parantaa analytiikkaa käyttötapauksiasi varten ja vähentää false-positiivisia arvoja.
Ensimmäinen synkronointi voi kestää muutamia päiviä, kun tiedot on täysin synkronoitu:
Microsoft Sentinel synkronoida koko Microsoft Entra ID (ja tarvittaessa paikallinen Active Directory) uudelleen 14 päivän välein, jotta vanhentuneet tietueet päivittyvät täysin.
Näiden säännöllisten täydellisten synkronointien lisäksi aina, kun käyttäjäprofiileihin, ryhmiin ja sisäisiin rooleihin tehdään muutoksia Microsoft Entra ID, kyseiset käyttäjätietueet otetaan uudelleen käyttöön ja päivitetään IdentityInfo-taulukkoon 15–30 minuutin kuluessa. Tätä tietojen käsittelylaskutetaan säännöllisesti. Esimerkki:
Käyttäjän määritettä, kuten näyttönimeä, työnimikettä tai sähköpostiosoitetta, muutettiin. Tämän käyttäjän uusi tietue lisätään IdentityInfo-taulukkoon , johon liittyvät kentät on päivitetty.
Ryhmässä A on 100 käyttäjää. Viisi käyttäjää lisätään ryhmään tai poistetaan ryhmästä. Tässä tapauksessa nämä viisi käyttäjätietuetta käsitellään uudelleen ja niiden GroupMembership-kentät päivitetään.
Ryhmässä A on 100 käyttäjää. Ryhmään A lisätään kymmenen käyttäjää. Lisäksi ryhmään A lisätään ryhmät A1 ja A2, joissa jokaisessa on 10 käyttäjää. Tässä tapauksessa uudelleenkäytetään 30 käyttäjätietuetta ja niiden GroupMembership-kentät päivitetään. Näin tapahtuu, koska ryhmän jäsenyys on transitiivinen, joten ryhmien muutokset vaikuttavat kaikkiin niiden aliryhmiin.
Ryhmä B (jossa on 50 käyttäjää) nimetään uudelleen ryhmäksi BeGood. Tässä tapauksessa uudelleenkäytetään 50 käyttäjätietuetta ja niiden GroupMembership-kentät päivitetään. Jos ryhmässä on aliryhmiä, sama tapahtuu kaikkien jäsenten tietueille.
IdentityInfo-taulukon oletussäilytysaika on 30 päivää.
Rajoitukset
AssignedRoles-kenttä tukee vain sisäisiä rooleja.
GroupMembership-kenttä tukee enintään 500 ryhmän listaamista käyttäjää kohden, mukaan lukien aliryhmät. Jos käyttäjä on yli 500 ryhmän jäsen, vain ensimmäiset 500 synkronoidaan IdentityInfo-taulukon kanssa. Ryhmiä ei kuitenkaan arvioida missään tietyssä järjestyksessä, joten jokaisen uuden synkronoinnin yhteydessä (14 päivän välein) käyttäjätietueen päivitys voi olla eri ryhmä.
Kun käyttäjä poistetaan, kyseisen käyttäjän tietuetta ei poisteta heti IdentityInfo-taulukosta . Syynä tähän on se, että yksi tämän taulukon tarkoituksesta on valvoa käyttäjätietueiden muutoksia. Tämän vuoksi haluamme, että tämä taulukko sisältää käyttäjän tietueen, joka voi tapahtua vain, jos IdentityInfo-taulukon käyttäjätietue on edelleen olemassa, vaikka todellinen käyttäjä (esimerkiksi Entra tunnuksella) poistetaan.
Poistetut käyttäjät voidaan tunnistaa, jos kentässä on arvo
deletedDateTime. Jos siis tarvitset kyselyn, joka näyttää käyttäjäluettelon, voit suodattaa poistetut käyttäjät pois lisäämällä| where IsEmpty(deletedDateTime)kyselyn.Tietyllä aikavälillä käyttäjän poistamisen jälkeen käyttäjän tietue poistetaan lopulta myös IdentityInfo-taulukosta .
Kun ryhmä poistetaan tai jos ryhmän, jossa on yli 100 jäsentä, nimi on muuttunut, kyseisen ryhmän jäsenkäyttäjätietueita ei päivitetä. Jos eri muutos aiheuttaa yhden näiden käyttäjien tietueiden päivittämisen, päivitetyt ryhmätiedot sisällytetään tässä vaiheessa.
IdentityInfo-taulukon muut versiot
IdentityInfo-taulukosta on useita versioita:
Tässä artikkelissa käsitelty Log Analytics -rakenneversio palvelee Microsoft Sentinel Azure-portaali. Se on saatavilla asiakkaille, jotka ovat mahdollistaneet UEBA:n käytön.
Kehittynyt metsästysrakenneversio toimii Microsoft Defender portaalissa Microsoft Defender for Identity kautta. Se on saatavilla Microsoft Defender XDR asiakkaille, Microsoft Sentinel kanssa tai ilman niitä, sekä Microsoft Sentinel asiakkaille Defender-portaalissa.
UEBA:ta ei tarvitse ottaa käyttöön, jotta se voi käyttää tätä taulukkoa. Asiakkaille, joilla ei ole käytössä UEBA:ta, UEBA-tietojen täyttämät kentät eivät kuitenkaan ole näkyvissä tai käytettävissä.
Lisätietoja on tämän taulukon kehittyneen metsästyksen version dokumentaatiossa.
Toukokuusta 2025 alkaen Microsoft Sentinel asiakkaat Microsoft Defender-portaalissa, jossa UEBA on otettu käyttöön, alkavat käyttää lisämetsästysversion uutta versiota. Tämä uusi julkaisu sisältää kaikki Log Analytics -version UEBA-kentät sekä joitakin uusia kenttiä, ja sitä kutsutaan yhdistetyksi versioksi tai yhdistetyksi IdentityInfo-taulukoksi.
Defender-portaaliasiakkaat, joilla ei ole UEBA:ta käytössä tai joilla ei ole Microsoft Sentinel, jatkavat lisämetsästysversion aiemman julkaisun käyttöä ilman UEBA:n luomia kenttiä.
Lisätietoja yhdistetystä versiosta on Kohdassa IdentityInfo kehittyneen metsästyksen dokumentaatiossa.
Tärkeää
Kun siirryt Defender-portaaliin, taulukosta IdentityInfo tulee alkuperäinen Defender-taulukko, joka ei tue taulukkotason RBAC:tä (roolipohjainen Käyttöoikeuksien hallinta). Jos organisaatiosi käyttää taulukkotason RBAC-parametria rajoittamaan IdentityInfo taulukon käyttöä Azure-portaali, tämä käyttöoikeuksien valvonta ei ole enää käytettävissä Defender-portaaliin siirtymisen jälkeen.
Rakenteen
Seuraavassa Log Analytics -rakenteen välilehden taulukossa kuvataan käyttäjätiedot, jotka sisältyvät Azure-portaali Log Analyticsin IdentityInfo-taulukkoon.
Jos olet lisäämässä Microsoft Sentinel Defender-portaaliin, valitse Vertaa yhdistettyyn rakenteeseen -välilehti, jotta näet muutokset, jotka voivat mahdollisesti vaikuttaa uhkien havaitsemissääntöjen ja -metsästysten kyselyihin.
| Kentän nimi | Kirjoita | Kuvaus |
|---|---|---|
| AccountCloudSID | Merkkijono | Tilin Microsoft Entra suojaustunnus. |
| AccountCreationTime | Datetime | Päivämäärä, jolloin käyttäjätili luotiin (UTC). |
| AccountDisplayName | Merkkijono | Käyttäjätilin näyttönimi. |
| AccountDomain | Merkkijono | Käyttäjätilin toimialuenimi. |
| Tilin nimi | Merkkijono | Käyttäjätilin käyttäjänimi. |
| AccountObjectId | Merkkijono | Käyttäjätilin Microsoft Entra objektitunnus. |
| AccountSID | Merkkijono | Käyttäjätilin paikallinen suojaustunnus. |
| AccountTenantId | Merkkijono | Käyttäjätilin Microsoft Entra vuokraajan tunnus. |
| AccountUPN | Merkkijono | Käyttäjätilin täydellinen käyttäjätunnus. |
| Lisäsähköpostiosoitteet | Dynaaminen | Käyttäjän lisäsähköpostiosoitteet. |
| AssignedRoles | Dynaaminen | Microsoft Entra roolit, joille käyttäjätili on määritetty. Vain sisäisiä rooleja tuetaan. |
| BlastRadius | Merkkijono | Laskutoimitus, joka perustuu käyttäjän sijaintiin organisaatiopuussa ja käyttäjän Microsoft Entra rooleihin ja käyttöoikeuksiin. Mahdolliset arvot: Pieni, Normaali, Suuri |
| Muuta lähdettä | Merkkijono | Entiteetin viimeisimmän muutoksen lähde. Mahdolliset arvot: |
| Kaupunki | Merkkijono | Käyttäjätilin kaupunki. |
| Yrityksennimi | Merkkijono | Yrityksen nimi, johon käyttäjä kuuluu. |
| Maa | Merkkijono | Käyttäjätilin maa tai alue. |
| DeletedDateTime | Datetime | Päivämäärä ja kellonaika, jolloin käyttäjä poistettiin. |
| Department | Merkkijono | Käyttäjätilin osasto. |
| Työntekijän tunnus | Merkkijono | Työntekijän tunnus, jonka organisaatio on määrittänyt käyttäjälle. |
| Etunimi | Merkkijono | Tämä on käyttäjätilin etunimi. |
| Ryhmän numerointi | Dynaaminen | Microsoft Entra ID ryhmiä, joissa käyttäjätili on jäsen. |
| IsAccountEnabled | Bool | Tieto siitä, onko käyttäjätili otettu käyttöön Microsoft Entra ID. |
| Työn otsikko | Merkkijono | Käyttäjätilin tehtävänimike. |
| Postiosoite | Merkkijono | Käyttäjätilin ensisijainen sähköpostiosoite. |
| Manager | Merkkijono | Käyttäjätilin esimiehen tunnus. |
| OnPremisesDistinguishedName | Merkkijono | Microsoft Entra ID DN(DN). DN-nimi on suhteellisten DN-nimien sarja, joka on yhdistetty pilkuilla. |
| Puhelin | Merkkijono | Käyttäjätilin puhelinnumero. |
| Riskin tasaaminen | Merkkijono | Käyttäjätilin Microsoft Entra ID riskitaso. Mahdolliset arvot: |
| RiskLevelDetails | Merkkijono | Microsoft Entra ID riskitasoa koskevat tiedot. |
| Riskin tila | Merkkijono | Ilmaisee, onko tili vaarassa nyt vai korjattiinko riski. |
| SourceSystem | Merkkijono | Järjestelmä, jossa käyttäjää hallitaan. Mahdolliset arvot: |
| Valtion | Merkkijono | Käyttäjätilin maantieteellinen tila. |
| Katuosoite | Merkkijono | Käyttäjätilin Office-katuosoite. |
| Sukunimi | Merkkijono | Käyttäjän sukunimi. Tili. |
| Vuokraajan tunnus | Merkkijono | Käyttäjän vuokraajatunnus. |
| TimeGenerated | Datetime | Aika, jolloin tapahtuma luotiin (UTC). |
| Tyyppi | Merkkijono | Taulukon nimi. |
| Useraccountcontrol | Dynaaminen | AD-toimialueen käyttäjätilin suojausmääritteet. Mahdolliset arvot (voivat sisältää useamman kuin yhden): |
| UserState | Merkkijono | Käyttäjätilin nykyinen tila Microsoft Entra ID. Mahdolliset arvot: |
| UserStateChangedOn | Datetime | Päivämäärä, jolloin tilin tilaa on muutettu viimeksi (UTC). |
| Käyttäjätyyppi | Merkkijono | Käyttäjätyyppi. |
Seuraavat kentät tulee jättää huomiotta, vaikka ne ovat Log Analytics -rakenteessa, koska niitä ei käytetä tai tueta Microsoft Sentinel:
- Sovellukset
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- SukunimiNimiPäivämäärä
- OnPremisesExtensionAttributes
- LiittyvätTilit
- ServicePrincipals
- Tunnisteet
- UACFlags