Partilhar via


Referência do Microsoft Sentinel UEBA

Este artigo de referência lista as fontes de dados de entrada para o serviço User and Entity Behavior Analytics no Microsoft Sentinel. Também descreve os enriquecimentos que a UEBA acrescenta às entidades, fornecendo o contexto necessário para alertas e incidentes.

Importante

O Microsoft Sentinel está geralmente disponível na plataforma unificada de operações de segurança da Microsoft no portal Microsoft Defender. Para visualização, o Microsoft Sentinel está disponível no portal do Defender sem o Microsoft Defender XDR ou uma licença E5. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Fontes de dados da UEBA

Essas são as fontes de dados a partir das quais o mecanismo da UEBA coleta e analisa dados para treinar seus modelos de ML e definir linhas de base comportamentais para usuários, dispositivos e outras entidades. Em seguida, a UEBA analisa os dados dessas fontes para encontrar anomalias e obter insights.

Data source evento
Microsoft Entra ID
Registos de início de sessão
Todos
Microsoft Entra ID
Registos de auditoria
Gestão de Aplicações
Gestão de Diretórios
Gestão de Grupos
Dispositivo
Gestão de Funções
UserManagementCategory
Logs de atividade do Azure Autorização
AzureActiveDirectory
Faturação
Computação
Consumo
KeyVault
Dispositivos
Rede
Recursos
Intune
Lógica
Sql
Armazenamento
Eventos de segurança do Windows
WindowsEvent ou
SecurityEvent
4624: Uma conta foi iniciada com êxito
4625: Falha ao iniciar sessão numa conta
4648: Foi tentado um logon usando credenciais explícitas
4672: Privilégios especiais atribuídos ao novo logon
4688: Um novo processo foi criado

Melhoramentos da UEBA

Esta seção descreve os enriquecimentos que a UEBA adiciona às entidades do Microsoft Sentinel, juntamente com todos os seus detalhes, que você pode usar para focar e aprimorar suas investigações de incidentes de segurança. Esses enriquecimentos são exibidos em páginas de entidades e podem ser encontrados nas seguintes tabelas do Log Analytics, cujo conteúdo e esquema estão listados abaixo:

  • A tabela BehaviorAnalytics é onde as informações de saída da UEBA são armazenadas.

    Os três campos dinâmicos a seguir da tabela BehaviorAnalytics são descritos na seção de campos dinâmicos de enriquecimento de entidade abaixo.

    • Os campos UsersInsights e DevicesInsights contêm informações de entidade de fontes do Ative Directory / Microsoft Entra ID e Microsoft Threat Intelligence.

    • O campo ActivityInsights contém informações de entidade com base nos perfis comportamentais criados pela análise de comportamento de entidade do Microsoft Sentinel.

      As atividades do usuário são analisadas em relação a uma linha de base que é compilada dinamicamente cada vez que é usada. Cada atividade tem seu período de retrospetiva definido a partir do qual a linha de base dinâmica é derivada. O período de retrospetiva é especificado na coluna Linha de base nesta tabela.

  • A tabela IdentityInfo é onde as informações de identidade sincronizadas com o UEBA a partir do Microsoft Entra ID (e do Ative Directory local por meio do Microsoft Defender for Identity) são armazenadas.

Tabela BehaviorAnalytics

A tabela a seguir descreve os dados de análise de comportamento exibidos em cada página de detalhes da entidade no Microsoft Sentinel.

Campo Tipo Description
Identificação do locatário cadeia O número de ID exclusivo do locatário.
SourceRecordId string O número de identificação exclusivo do evento da EBA.
TimeGenerated datetime O carimbo de data/hora da ocorrência da atividade.
TempoProcessado datetime O carimbo de data/hora do processamento da atividade pelo mecanismo da EBA.
Tipo de atividade string A categoria de alto nível da atividade.
Tipo de ação string O nome normalizado da atividade.
UserName string O nome de usuário do usuário que iniciou a atividade.
UserPrincipalName string O nome de usuário completo do usuário que iniciou a atividade.
Fonte de eventos string A fonte de dados que forneceu o evento original.
FonteIPAddress string O endereço IP a partir do qual a atividade foi iniciada.
FonteIPLocation string O país/região a partir do qual a atividade foi iniciada, enriquecido a partir do endereço IP.
SourceDevice string O nome do host do dispositivo que iniciou a atividade.
DestinationIPAddress string O endereço IP do alvo da atividade.
DestinationIPLocation string O país/região do alvo da atividade, enriquecido a partir do endereço IP.
DestinationDevice string O nome do dispositivo de destino.
UsersInsights dynamic Os enriquecimentos contextuais dos utilizadores envolvidos (detalhes abaixo).
DispositivosInsights dynamic O enriquecimento contextual dos dispositivos envolvidos (detalhes abaixo).
ActivityInsights dynamic A análise contextual da atividade com base no nosso perfil (detalhes abaixo).
InvestigaçãoPrioridade número inteiro O escore de anomalia, entre 0-10 (0=benigno, 10=altamente anômalo).

Campos dinâmicos de enriquecimento de entidades

Nota

A coluna Nome do enriquecimento nas tabelas desta seção exibe duas linhas de informações.

  • O primeiro, em negrito, é o "nome amigo" do enriquecimento.
  • O segundo (em itálico e parênteses) é o nome do campo do enriquecimento conforme armazenado na tabela do Behavior Analytics.

Campo UsersInsights

A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico UsersInsights na tabela BehaviorAnalytics:

Nome do enriquecimento Description Valores de exemplo
Nome de exibição da conta
(AccountDisplayName)
O nome de exibição da conta do usuário. Administrador, Hayden Cook
Domínio da conta
(AccountDomain)
O nome de domínio da conta do usuário.
ID do objeto da conta
(AccountObjectID)
O ID do objeto de conta do usuário. aaaaa-0000-1111-2222-bbbbbbbbbb
Raio de explosão
(BlastRadius)
O raio de explosão é calculado com base em vários fatores: a posição do usuário na árvore organizacional e as funções e permissões do Microsoft Entra do usuário. O usuário deve ter a propriedade Manager preenchida no Microsoft Entra ID para que o BlastRadius seja calculado. Baixo, Médio, Alto
A conta está inativa
(IsDormantAccount)
A conta não é usada há 180 dias. True, False
É administrador local
(IsLocalAdmin)
A conta tem privilégios de administrador local. True, False
É nova conta
(IsNewAccount)
A conta foi criada nos últimos 30 dias. True, False
SID local
(OnPremisesSID)
O SID local do usuário relacionado à ação. S-1-5-21-1112946627-1321165628-2437342228-1103

Campo DevicesInsights

A tabela a seguir descreve os enriquecimentos apresentados no campo dinâmico DevicesInsights na tabela BehaviorAnalytics:

Nome do enriquecimento Description Valores de exemplo
Browser
(Navegador)
O navegador usado na ação. Borda, cromado
Família de dispositivos
(Família Device)
A família de dispositivos usada na ação. Windows
Tipo de dispositivo
(DeviceType)
O tipo de dispositivo cliente usado na ação Ambiente de Trabalho
ISP
(ISP)
O fornecedor de acesso à Internet utilizado na ação.
Sistema Operativo
(Sistema Operacional)
O sistema operacional usado na ação. Windows 10
Descrição do indicador de informações sobre ameaças
(ThreatIntelIndicatorDescription)
Descrição do indicador de ameaça observada resolvido a partir do endereço IP usado na ação. O anfitrião é membro da botnet: azorult
Tipo de indicador de informação de ameaça
(ThreatIntelIndicatorType)
O tipo do indicador de ameaça resolvido a partir do endereço IP usado na ação. Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, API, Lista de observação
Agente de usuário
(UserAgent)
O agente de usuário usado na ação. Biblioteca de Cliente do Microsoft Azure Graph 1.0,
Swagger-Codegen/1.4.0.0/csharp,
EvoSTS
Família de agentes de usuário
(Família UserAgent)
A família de agentes de usuário usada na ação. Chrome, Edge, Firefox

Campo ActivityInsights

As tabelas a seguir descrevem os enriquecimentos apresentados no campo dinâmico do ActivityInsights na tabela do BehaviorAnalytics:

Ação executada
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Ação executada pela primeira vez pelo usuário
(FirstTimeUserPerformedAction)
180 A ação foi realizada pela primeira vez pelo usuário. True, False
Ação raramente executada pelo usuário
(AçãoUncommonlyPerformedByUser)
10 A ação não é comumente executada pelo usuário. True, False
Ação raramente executada entre pares
(AçãoRaramente ExecutadaEntrePares)
180 A ação não é comumente executada entre os pares do usuário. True, False
Primeira ação executada no locatário
(FirstTimeActionPerformedInTenant)
180 A ação foi realizada pela primeira vez por alguém da organização. True, False
Ação raramente executada no locatário
(AçãoUncommonlyPerformedInTenant)
180 A ação não é comumente executada na organização. True, False
Aplicação utilizada
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Aplicativo usado pela primeira vez pelo usuário
(FirstTimeUserUsedApp)
180 O aplicativo foi usado pela primeira vez pelo usuário. True, False
Aplicação pouco utilizada pelo utilizador
(AppUncommonlyUsedByUser)
10 O aplicativo não é comumente usado pelo usuário. True, False
Aplicativo pouco usado entre pares
(AppUncommonlyUsedAmongPeers)
180 O aplicativo não é comumente usado entre os pares do usuário. True, False
Aplicativo pela primeira vez observado no locatário
(FirstTimeAppObservedInTenant)
180 O aplicativo foi observado pela primeira vez na organização. True, False
Aplicativo pouco usado em locatários
(AppUncommonlyUsedInTenant)
180 O aplicativo não é comumente usado na organização. True, False
Navegador usado
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Usuário pela primeira vez conectado via navegador
(FirstTimeUserConnectedViaBrowser)
30 O navegador foi observado pela primeira vez pelo usuário. True, False
Navegador pouco utilizado pelo utilizador
(BrowserUncommonlyUsedByUser)
10 O navegador não é comumente usado pelo usuário. True, False
Navegador pouco usado entre pares
(BrowserUncommonlyUsedAmongPeers)
30 O navegador não é comumente usado entre os pares do usuário. True, False
Navegador pela primeira vez observado no inquilino
(FirstTimeBrowserObservedInTenant)
30 O navegador foi observado pela primeira vez na organização. True, False
Navegador pouco utilizado em inquilinos
(BrowserUncommonlyUsedInTenant)
30 O navegador não é comumente usado na organização. True, False
País/região conectado a partir de
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Utilizador pela primeira vez ligado a partir do país
(FirstTimeUserConnectedFromCountry)
90 A localização geográfica, conforme resolvido a partir do endereço IP, foi conectada pela primeira vez pelo usuário. True, False
País invulgarmente ligado a partir de por utilizador
(PaísUncommonlyConnectedFromByUser)
10 A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada pelo usuário. True, False
País incomumente conectado entre pares
(PaísIncomumConectadoDeAmongPeers)
90 A localização geográfica, conforme resolvido a partir do endereço IP, não é comumente conectada entre os pares do usuário. True, False
Primeira conexão do país observada no inquilino
(FirstTimeConnectionFromCountryObservedInTenant)
90 O país/região foi conectado pela primeira vez por qualquer pessoa na organização. True, False
País incomumente conectado a partir de inquilino
(PaísUncommonlyConnectedFromInTenant)
90 A localização geográfica, conforme resolvido a partir do endereço IP, não é normalmente conectada a partir da organização. True, False
Dispositivo utilizado para ligar
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Utilizador pela primeira vez ligado a partir do dispositivo
(FirstTimeUserConnectedFromDevice)
30 O dispositivo de origem foi conectado pela primeira vez pelo usuário. True, False
Dispositivo usado incomumente pelo usuário
(DeviceUncommonlyUsedByUser)
10 O dispositivo não é comumente usado pelo usuário. True, False
Dispositivo pouco usado entre pares
(DispositivoIncomumUsadoAmongPeers)
180 O dispositivo não é comumente usado entre os pares do usuário. True, False
Dispositivo pela primeira vez observado no inquilino
(FirstTimeDeviceObservedInTenant)
30 O dispositivo foi observado pela primeira vez na organização. True, False
Dispositivo pouco utilizado no inquilino
(DeviceUncommonlyUsedInTenant)
180 O dispositivo não é comumente usado na organização. True, False
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Utilizador pela primeira vez com sessão iniciada no dispositivo
(FirstTimeUserLoggedOnToDevice)
180 O dispositivo de destino foi conectado pela primeira vez pelo usuário. True, False
Família de dispositivos pouco utilizada no inquilino
(DeviceFamilyUncommonlyUsedInTenant)
30 A família de dispositivos não é comumente usada na organização. True, False
Provedor de serviços de Internet usado para se conectar
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Usuário pela primeira vez conectado via ISP
(FirstTimeUserConnectedViaISP)
30 O ISP foi observado pela primeira vez pelo usuário. True, False
ISP pouco utilizado pelo utilizador
(ISPUncommonlyUsedByUser)
10 O ISP não é comumente usado pelo usuário. True, False
ISP pouco usado entre pares
(ISPUncommonlyUsedAmongPeers)
30 O ISP não é comumente usado entre os pares do usuário. True, False
Primeira conexão via ISP no locatário
(FirstTimeConnectionViaISPInTenant)
30 O ISP foi observado pela primeira vez na organização. True, False
ISP pouco utilizado em inquilinos
(ISPUncommonlyUsedInTenant)
30 O ISP não é comumente usado na organização. True, False
Recurso acedido
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Recurso acessado pelo usuário pela primeira vez
(FirstTimeUserAccessedResource)
180 O recurso foi acessado pela primeira vez pelo usuário. True, False
Recurso raramente acessado pelo usuário
(ResourceUncommonlyAccessedByUser)
10 O recurso não é comumente acessado pelo usuário. True, False
Recurso raramente acessado entre pares
(RecursoIncomumAcessadoAmongPeers)
180 O recurso não é comumente acessado entre os pares do usuário. True, False
Recurso acessado pela primeira vez no locatário
(FirstTimeResourceAccessedInTenant)
180 O recurso foi acessado pela primeira vez por qualquer pessoa da organização. True, False
Recurso raramente acessado no locatário
(ResourceUncommonlyAccessedInTenant)
180 O recurso não é comumente acessado na organização. True, False
Diversos
Nome do enriquecimento Início do estudo (dias) Description Valores de exemplo
Última ação executada pelo usuário
(LastTimeUserPerformedAction)
180 Última vez que o usuário executou a mesma ação. <Carimbo de data/hora>
Ação semelhante não foi realizada no passado
(SimilarActionWasn'tPerformedInThePast)
30 Nenhuma ação no mesmo provedor de recursos foi executada pelo usuário. True, False
Localização do IP de origem
(FonteIPLocation)
N/D O país/região resolvido a partir do IP de origem da ação. [Surrey, Inglaterra]
Elevado volume de operações pouco frequente
(IncomumHighVolumeOfOperations)
7 Um usuário executou uma explosão de operações semelhantes dentro do mesmo provedor True, False
Número incomum de falhas de acesso condicional do Microsoft Entra
(UnusualNumberOfAADConditionalAccessFailures)
5 Um número incomum de usuários não conseguiu autenticar devido ao acesso condicional True, False
Número incomum de dispositivos adicionados
(UnusualNumberOfDevicesAdded)
5 Um usuário adicionou um número incomum de dispositivos. True, False
Número incomum de dispositivos excluídos
(UnusualNumberOfDevicesDeleted)
5 Um usuário excluiu um número incomum de dispositivos. True, False
Número incomum de usuários adicionados ao grupo
(UnusualNumberOfUsersAddedToGroup)
5 Um usuário adicionou um número incomum de usuários a um grupo. True, False

Tabela IdentityInfo

Depois de habilitar o UEBA para seu espaço de trabalho do Microsoft Sentinel, os dados da sua ID do Microsoft Entra são sincronizados com a tabela IdentityInfo no Log Analytics para uso no Microsoft Sentinel. Você pode incorporar dados do usuário sincronizados a partir de sua ID do Microsoft Entra em suas regras de análise para aprimorar suas análises para se adequar aos seus casos de uso e reduzir falsos positivos.

Embora a sincronização inicial possa levar alguns dias, uma vez que os dados estão totalmente sincronizados:

  • As alterações feitas em seus perfis de usuário, grupos e funções no ID do Microsoft Entra são atualizadas na tabela IdentityInfo dentro de 15 a 30 minutos.

  • A cada 14 dias, o Microsoft Sentinel sincroniza novamente com toda a sua ID do Microsoft Entra para garantir que os registros obsoletos sejam totalmente atualizados.

  • O tempo de retenção padrão na tabela IdentityInfo é de 30 dias.

Limitações

  • Atualmente, apenas funções internas são suportadas.

  • Os dados sobre grupos excluídos, nos quais um usuário foi removido de um grupo, não são suportados no momento.

Versões da tabela IdentityInfo

Na verdade, existem duas versões da tabela IdentityInfo :

  • A versão do esquema do Log Analytics serve o Microsoft Sentinel no portal do Azure.
  • A versão do esquema de caça avançada serve o Microsoft Sentinel no portal do Microsoft Defender através do Microsoft Defender for Identity.

Ambas as versões desta tabela são alimentadas pelo ID do Microsoft Entra, mas a versão do Log Analytics adicionou alguns campos.

O Microsoft Sentinel no portal do Microsoft Defender usa a versão de caça avançada desta tabela. Para minimizar as diferenças entre as duas versões da tabela, a maioria dos campos exclusivos na versão do Log Analytics também está sendo adicionada gradualmente à versão de caça avançada. Independentemente de qual portal você estiver usando o Microsoft Sentinel, você terá acesso a quase todas as mesmas informações, embora possa haver um pequeno intervalo de tempo na sincronização entre as versões. Para obter mais informações, consulte a documentação da versão de caça avançada desta tabela.

A tabela a seguir descreve os dados de identidade do usuário incluídos na tabela IdentityInfo no Log Analytics no portal do Azure. A quarta coluna mostra os campos correspondentes na versão de caça avançada da tabela, que o Microsoft Sentinel usa no portal do Defender. Os nomes de campo em negrito são nomeados de forma diferente no esquema de caça avançada do que na versão do Microsoft Sentinel Log Analytics.

Nome do campo em
Esquema do Log Analytics
Tipo Description Nome do campo em
Esquema de caça avançado
AccountCloudSID string O identificador de segurança Microsoft Entra da conta. CloudSid
AccountCreationTime datetime A data em que a conta de utilizador foi criada (UTC). CreatedDateTime
AccountDisplayName string O nome para exibição da conta de usuário. AccountDisplayName
AccountDomain string O nome de domínio da conta de usuário. AccountDomain
Nome da Conta string O nome de usuário da conta de usuário. AccountName
AccountObjectId string A ID do objeto Microsoft Entra para a conta de usuário. AccountObjectId
AccountSID string O identificador de segurança local da conta de usuário. AccountSID
AccountTenantId string A ID de locatário do Microsoft Entra da conta de usuário. --
ContaUPN string O nome principal do usuário da conta de usuário. ContaUPN
Endereços de correio adicionais dynamic Os endereços de e-mail adicionais do usuário. --
AssignedRoles dynamic As funções do Microsoft Entra às quais a conta de usuário é atribuída. AssignedRoles
Raio de Explosão string Um cálculo baseado na posição do usuário na árvore organizacional e nas funções e permissões do Microsoft Entra do usuário.
Valores possíveis: Baixo, Médio, Alto
--
Fonte de mudança string A origem da última alteração na entidade.
Valores possíveis:
  • AzureActiveDirectory
  • ActiveDirectory
  • UEBA
  • Lista de observação
  • Sincronização completa
  • Fonte de mudança
    CompanyName O nome da empresa à qual o usuário pertence. --
    Localidade string A cidade da conta de utilizador. City
    País string O país/região da conta de utilizador. País
    DeletedDateTime datetime A data e a hora em que o usuário foi excluído. --
    Departamento string O departamento da conta de usuário. Departamento
    Nome Dado string O nome próprio da conta de utilizador. GivenName
    GrupoMembership dynamic Grupos do Microsoft Entra onde a conta de usuário é membro. --
    IsAccountEnabled booleano Uma indicação sobre se a conta de usuário está habilitada no Microsoft Entra ID ou não. IsAccountEnabled
    JobTitle string O título do trabalho da conta de usuário. JobTitle
    Endereço de correio string O endereço de e-mail principal da conta de usuário. EmailAddress
    Gestor string O alias de gerente da conta de usuário. Gestor
    OnPremisesDistinguishedName string O nome distinto (DN) do Microsoft Entra ID. Um nome distinto é uma sequência de nomes distintos relativos (RDN), ligados por vírgulas. DistinguishedName
    Telefone string O número de telefone da conta de usuário. Telemóvel
    SourceSystem [en] string O sistema onde o usuário é gerenciado.
    Valores possíveis:
  • AzureActiveDirectory
  • ActiveDirectory
  • Híbrida
  • SourceProvider
    Distrito string O estado geográfico da conta de usuário. Estado
    Endereço string O endereço do escritório da conta de usuário. Endereço
    Apelido string O apelido do utilizador. de serviço. Apelido
    Identificação do locatário cadeia O ID do locatário do usuário. --
    TimeGenerated datetime A hora em que o evento foi gerado (UTC). Carimbo de data/hora
    Tipo string O nome da tabela. --
    UserAccountControl dynamic Atributos de segurança da conta de utilizador no domínio AD.
    Valores possíveis (podem conter mais de um):
  • ContaDesabilitada
  • HomedirObrigatório
  • ContaBloqueada
  • PasswordNotRequired
  • CannotChangePassword
  • EncryptedTextPasswordAllowed
  • TemporaryDuplicateAccount
  • Conta Normal
  • InterdomainTrustAccount
  • WorkstationTrustAccount
  • ServerTrustAccount
  • PasswordNeverExpires
  • MnsLogonAccount
  • SmartcardRequired
  • TrustedForDelegation
  • DelegaçãoNão Permitida
  • UseDesKeyOnly
  • DontRequirePreauthentication
  • SenhaExpirado
  • TrustedToAuthenticationForDelegation
  • ParcialSecretsAccount
  • UseAesKeys
  • --
    Estado do usuário string O estado atual da conta de usuário no Microsoft Entra ID.
    Valores possíveis:
  • Activo
  • Desativado
  • Adormecido
  • Bloqueio
  • --
    UserStateChangedOn datetime A data da última vez que o estado da conta foi alterado (UTC). --
    Tipo de usuário string O tipo de usuário. --

    Próximos passos

    Este documento descreveu o esquema da tabela de análise de comportamento de entidade do Microsoft Sentinel.