Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Referenzartikel werden die Eingabedatenquellen für den Benutzer- und Entitätsverhaltensanalysedienst in Microsoft Sentinel aufgeführt. Außerdem werden die Anreicherungen beschrieben, die UEBA zu den Entitäten hinzufügt, um den Warnungen und Vorfällen den nötigen Kontext zu geben.
Important
Microsoft Sentinel ist im Microsoft Defender-Portal allgemein verfügbar, einschließlich für Kunden ohne Microsoft Defender XDR oder eine E5-Lizenz.
Ab Juli 2026 werden alle Kunden, die Microsoft Sentinel im Azure-Portal verwenden, auf das Defender-Portal umgeleitet und verwenden nur Microsoft Sentinel im Defender-Portal. Ab Juli 2025 werden viele neue Kunden automatisch eingebunden und zum Defender-Portal umgeleitet.
Wenn Sie Microsoft Sentinel weiterhin im Azure-Portal verwenden, empfehlen wir Ihnen, mit der Planung Ihres Übergangs zum Defender-Portal zu beginnen, um einen reibungslosen Übergang sicherzustellen und die von Microsoft Defender angebotene einheitliche Sicherheitsvorgänge zu nutzen. Weitere Informationen finden Sie unter "Zeit zum Verschieben: Zurückstellen des Azure-Portals von Microsoft Sentinel für größere Sicherheit".
UEBA-Datenquellen
Dies sind die Datenquellen, aus denen die UEBA-Engine Daten sammelt und analysiert, um ihre ML-Modelle zu trainieren und Verhaltens-Baselines für Benutzer, Geräte und andere Entitäten festzulegen. UEBA untersucht dann die Daten aus diesen Quellen, um Anomalien zu finden und Erkenntnisse zu gewinnen.
| Datenquelle | Verbinder | Log Analytics-Tabelle | Analysierte Ereigniskategorien |
|---|---|---|---|
| Anmeldeprotokolle für verwaltete AAD-Identitäten (Vorschau) | Microsoft Entra ID | AADManagedIdentitySignInLogs | Alle Anmeldeereignisse für verwaltete Identitäten |
| AAD-Dienstprinzipalanmeldungsprotokolle (Vorschau) | Microsoft Entra ID | AADServicePrincipalSignInLogs | Alle Anmeldeereignisse des Dienstprinzipals |
| Überwachungsprotokolle | Microsoft Entra ID | AuditLogs | ApplicationManagement DirectoryManagement GroupManagement Device RoleManagement UserManagementCategory |
| AWS CloudTrail (Vorschau) | Amazon Web Services Amazon Web Services S3 |
AWSCloudTrail | Konsolenanmeldungsereignisse. Identifiziert von EventName = "ConsoleLogin" und EventSource = "signin.amazonaws.com". Ereignisse müssen über einen gültigen UserIdentityPrincipalIdWert verfügen. |
| Azure-Aktivität | Azure-Aktivität | AzureActivity | Authorization AzureActiveDirectory Billing Compute Consumption KeyVault Devices Network Resources Intune Logic Sql Storage |
| Geräteanmeldungsereignisse (Vorschau) | Microsoft Defender XDR | DeviceLogonEvents | Alle Geräteanmeldungsereignisse |
| GCP-Überwachungsprotokolle (Vorschau) | GCP Pub/Sub Audit-Protokolle | GCPAuditLogs |
apigee.googleapis.com - API-Verwaltungsplattformiam.googleapis.com - Identity and Access Management (IAM)-Dienstiamcredentials.googleapis.com - IAM-Dienstkonto-Anmeldeinformationen-APIcloudresourcemanager.googleapis.com - Cloud Resource Manager-APIcompute.googleapis.com - ComputeModul-APIstorage.googleapis.com - Cloudspeicher-APIcontainer.googleapis.com - Kubernetes-Modul-APIk8s.io - Kubernetes-APIcloudsql.googleapis.com - Cloud SQL-APIbigquery.googleapis.com - BigQuery-APIbigquerydatatransfer.googleapis.com - BigQuery Data Transfer Service APIcloudfunctions.googleapis.com - Api für Cloudfunktionenappengine.googleapis.com - App-Modul-APIdns.googleapis.com - Cloud-DNS-APIbigquerydatapolicy.googleapis.com - BigQuery-Datenrichtlinien-APIfirestore.googleapis.com - Firestore-APIdataproc.googleapis.com - Dataproc-APIosconfig.googleapis.com – Betriebssystemkonfigurations-APIcloudkms.googleapis.com - Cloud-KMS-APIsecretmanager.googleapis.com – Geheimer Manager-APIEreignisse müssen gültig sein: - PrincipalEmail – Das Benutzer- oder Dienstkonto, das die API aufgerufen hat- MethodName - Die spezifische Google-API-Methode, die aufgerufen wird- Prinzipal-E-Mail im user@domain.com Format. |
| Okta CL (Vorschau) | Okta Single Sign-On (using Azure Functions) | Okta_CL | Authentifizierung, mehrstufige Authentifizierung (MFA) und Sitzungsereignisse, einschließlich:app.oauth2.admin.consent.grant_successapp.oauth2.authorize.code_successdevice.desktop_mfa.recovery_pin.generateuser.authentication.auth_via_mfauser.mfa.attempt_bypassuser.mfa.factor.deactivateuser.mfa.factor.reset_alluser.mfa.factor.suspenduser.mfa.okta_verifyuser.session.impersonation.grantuser.session.impersonation.initiateuser.session.startEreignisse müssen über eine gültige Benutzer-ID ( actor_id_s) verfügen. |
| Sicherheitsereignisse | Windows-Sicherheitsereignisse über AMA Weitergeleitete Windows-Ereignisse |
WindowsEvent SecurityEvent |
4624: Ein Konto wurde erfolgreich angemeldet 4625: Ein Konto konnte sich nicht anmelden 4648: Eine Anmeldung mit expliziten Anmeldeinformationen wurde versucht 4672: Besondere Rechte bei Neuanmeldung zugewiesen 4688: Ein neuer Prozess wurde erstellt |
| Anmeldeprotokolle | Microsoft Entra ID | SigninLogs | Alle Anmeldeereignisse |
UEBA-Anreicherungen
In diesem Abschnitt werden die Anreicherungen von UEBA zu Microsoft Sentinel-Entitäten beschrieben, die Sie verwenden können, um Ihre Untersuchungen zu Sicherheitsvorfällen zu konzentrieren und zu schärfen. Diese Anreicherungen werden auf Entitätsseiten angezeigt und finden Sie in den folgenden Log Analytics-Tabellen, deren Inhalt und Schema unten aufgeführt sind:
In der Tabelle "BehaviorAnalytics " werden die Ausgabeinformationen der UEBA gespeichert.
Die folgenden drei dynamischen Felder aus der BehaviorAnalytics-Tabelle werden im Abschnitt " Entitätserweiterungen dynamische Felder " weiter unten beschrieben.
Die Felder "UsersInsights " und "DevicesInsights" enthalten Entitätsinformationen aus Active Directory/Microsoft Entra ID und Microsoft Threat Intelligence-Quellen.
Das Feld "ActivityInsights" enthält Entitätsinformationen basierend auf den Verhaltensprofilen, die von der Verhaltensanalyse von Microsoft Sentinel erstellt wurden.
Benutzeraktivitäten werden anhand eines Basisplans analysiert, der bei jeder Verwendung dynamisch kompiliert wird. Jede Aktivität verfügt über einen eigenen definierten Lookbackzeitraum, von dem die dynamische Basislinie abgeleitet wird. Der Lookbackzeitraum wird in der Spalte "Basisplan " in dieser Tabelle angegeben.
In der Tabelle "IdentityInfo " werden Identitätsinformationen gespeichert, die von microsoft Entra ID (und von lokalem Active Directory über Microsoft Defender for Identity) mit UEBA synchronisiert werden.
BehaviorAnalytics-Tabelle
In der folgenden Tabelle werden die Verhaltensanalysedaten beschrieben, die auf jeder Entitätsdetailseite in Microsoft Sentinel angezeigt werden.
| Field | Type | Description |
|---|---|---|
| TenantId | string | Die eindeutige ID des Mandanten. |
| SourceRecordId | string | Die eindeutige ID des EBA-Ereignisses. |
| TimeGenerated | datetime | Der Zeitstempel des Auftretens der Aktivität. |
| TimeProcessed | datetime | Der Zeitstempel der Verarbeitung der Aktivität durch die EBA-Engine. |
| ActivityType | string | Die allgemeine Kategorie der Aktivität. |
| ActionType | string | Der normalisierte Name der Aktivität. |
| UserName | string | Der Benutzername des Benutzers, der die Aktivität eingeleitet hat. |
| UserPrincipalName | string | Der vollständiger Benutzername des Benutzers, der die Aktivität eingeleitet hat. |
| EventSource | string | Die Datenquelle, die das ursprüngliche Ereignis bereitgestellt hat. |
| SourceIPAddress | string | Die IP-Adresse, über die die Aktivität eingeleitet wurde. |
| SourceIPLocation | string | Das Land/die Region, aus dem die Aktivität initiiert wurde, wurde von der IP-Adresse bereichert. |
| SourceDevice | string | Der Hostname des Geräts, das die Aktivität eingeleitet hat. |
| DestinationIPAddress | string | Die IP-Adresse des Ziels der Aktivität. |
| DestinationIPLocation | string | Das Land/die Region des Ziels der Aktivität, bereichert von der IP-Adresse. |
| DestinationDevice | string | Der Name des Zielgeräts. |
| UsersInsights | dynamic | Die kontextbezogenen Anreicherungen der beteiligten Benutzer (Details unten). |
| DevicesInsights | dynamic | Die kontextbezogenen Anreicherungen der beteiligten Geräte (Details unten). |
| ActivityInsights | dynamic | Die kontextbezogene Analyse der Aktivitäten basierend auf unserer Profilerstellung (Details unten). |
| InvestigationPriority | int | Die Anomaliebewertung, Wert zwischen 0 und 10 (0 = unschädlich, 10 = hochgradig anomal). Diese Bewertung quantifiziert den Grad der Abweichung vom erwarteten Verhalten. Höhere Bewertungen deuten auf eine größere Abweichung vom Basisplan hin und weisen wahrscheinlicher auf echte Anomalien hin. Niedrigere Bewertungen sind möglicherweise immer noch anomalien, sind aber weniger wahrscheinlich signifikant oder umsetzbar. |
Dynamische Felder für Entitätsanreicherungen
Note
In der Spalte "Anreicherungsname " in den Tabellen in diesem Abschnitt werden zwei Informationszeilen angezeigt.
- Der erste fett formatierte Name ist der "Anzeigename" der Anreicherung.
- Die zweite (kursiv und klammern) ist der Feldname der Anreicherung, wie in der Behavior Analytics-Tabelle gespeichert.
UsersInsights-Feld
In der folgenden Tabelle werden die Im dynamischen Feld "UsersInsights " in der Tabelle "BehaviorAnalytics" aufgeführten Anreicherungen beschrieben:
| Anreicherungsname | Description | Beispielwert |
|---|---|---|
|
Anzeigename des Kontos (AccountDisplayName) |
Der Kontoanzeigename des Benutzers. | Administrator, Hayden Cook |
|
Kontodomäne (AccountDomain) |
Der Kontodomänenname des Benutzers. | |
|
Kontoobjekt-ID (AccountObjectID) |
Die Kontoobjektobjekt-ID des Benutzers. | aaaaaaaa-0000-1111-2222-bbbbbbbbbbbb |
|
Strahlradius (BlastRadius) |
Der Auswirkungsgrad wird anhand verschiedener Faktoren berechnet: der Position der Benutzer*innen in der Organisationsstruktur sowie ihrer Microsoft Entra-Rollen und -Berechtigungen. Der Benutzer muss über die Manager-Eigenschaft verfügen, die in der Microsoft Entra-ID für BlastRadius zur Berechnung aufgefüllt wird. | Niedrig, Mittel, Hoch |
|
Ruhendes Konto (IsDormantAccount) |
Das Konto wurde in den letzten 180 Tagen nicht verwendet. | Wahr, Falsch |
|
Ist lokaler Administrator (IsLocalAdmin) |
Das Konto verfügt über lokale Administratorberechtigungen. | Wahr, Falsch |
|
Ist ein neues Konto (IsNewAccount) |
Das Konto wurde innerhalb der letzten 30 Tage erstellt. | Wahr, Falsch |
|
Lokale SID (OnPremisesSID) |
Die lokale SID des Benutzers, der mit der Aktion verknüpft ist. | S-1-5-21-1112946627-1321165628-2437342228-1103 |
DevicesInsights-Feld
In der folgenden Tabelle werden die Im dynamischen Feld "DevicesInsights " in der Tabelle "BehaviorAnalytics" aufgeführten Anreicherungen beschrieben:
| Anreicherungsname | Description | Beispielwert |
|---|---|---|
|
Browser (Browser) |
Der in der Aktion verwendete Browser. | Microsoft Edge, Chrome |
|
Gerätefamilie (DeviceFamily) |
Die in der Aktion verwendete Gerätefamilie. | Windows |
|
Gerätetyp (DeviceType) |
Der in der Aktion verwendete Clientgerätetyp. | Desktop |
|
ISP (ISP) |
Der in der Aktion verwendete Internetdienstanbieter. | |
|
Betriebssystem (OperatingSystem) |
Das in der Aktion verwendete Betriebssystem. | Windows 10 |
|
Beschreibung des Intel-Indikators für Bedrohungen (ThreatIntelIndicatorDescription) |
Beschreibung des beobachteten Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Host ist Mitglied von Botnet: azorult |
|
Bedrohungserkennungsindikatortyp (ThreatIntelIndicatorType) |
Der Typ des Bedrohungsindikators, der aus der in der Aktion verwendeten IP-Adresse aufgelöst wurde. | Botnet, C2, CryptoMining, Darknet, Ddos, MaliciousUrl, Malware, Phishing, Proxy, PUA, Watchlist |
|
Benutzer-Agent (UserAgent) |
Der in der Aktion verwendete Benutzer-Agent. | Microsoft Azure Graph-Clientbibliothek 1.0, Swagger-Codegen/1.4.0.0/csharp, EvoSTS |
|
Benutzer-Agent-Familie (UserAgentFamily) |
Die in der Aktion verwendete Benutzer-Agent-Familie. | Chrome, Microsoft Edge, Firefox |
ActivityInsights-Feld
In den folgenden Tabellen werden die Im dynamischen Feld "ActivityInsights " in der Tabelle "BehaviorAnalytics" aufgeführten Anreicherungen beschrieben:
Aktion ausgeführt
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmalige Ausführung einer Aktion durch den Benutzer (FirstTimeUserPerformedAction) |
180 | Die Aktion wurde zum ersten Mal vom Benutzer ausgeführt. | Wahr, Falsch |
|
Aktion, die von Benutzern ungewöhnlich ausgeführt wird (ActionUncommonlyPerformedByUser) |
10 | Die Aktion wird häufig nicht vom Benutzer ausgeführt. | Wahr, Falsch |
|
Aktion unter Peers ungewöhnlich ausgeführt (ActionUncommonlyPerformedAmongPeers) |
180 | Die Aktion wird häufig nicht zwischen den Peers des Benutzers ausgeführt. | Wahr, Falsch |
|
Erstmalige Ausführung der Aktion im Mandanten (FirstTimeActionPerformedInTenant) |
180 | Die Aktion wurde zum ersten Mal von jemand in der Organisation ausgeführt. | Wahr, Falsch |
|
Aktion, die ungewöhnlich im Mandanten ausgeführt wurde (ActionUncommonlyPerformedInTenant) |
180 | Die Aktion wird in der Organisation nicht häufig ausgeführt. | Wahr, Falsch |
Verwendete App
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmalige Verwendung der App durch den Benutzer (FirstTimeUserUsedApp) |
180 | Die App wurde zum ersten Mal vom Benutzer verwendet. | Wahr, Falsch |
|
App, die von Benutzern ungewöhnlich verwendet wird (AppUncommonlyUsedByUser) |
10 | Die App wird vom Benutzer nicht häufig verwendet. | Wahr, Falsch |
|
App, die ungewöhnlich unter Peers verwendet wird (AppUncommonlyUsedAmongPeers) |
180 | Die App wird in den Peers des Benutzers nicht häufig verwendet. | Wahr, Falsch |
|
Erstmalige Beobachtung der App im Mandanten (FirstTimeAppObservedInTenant) |
180 | Die App wurde zum ersten Mal in der Organisation beobachtet. | Wahr, Falsch |
|
App, die selten im Mandanten verwendet wird (AppUncommonlyUsedInTenant) |
180 | Die App wird in der Organisation nicht häufig verwendet. | Wahr, Falsch |
Verwendeter Browser
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers über den Browser (FirstTimeUserConnectedViaBrowser) |
30 | Der Browser wurde zum ersten Mal vom Benutzer verwendet. | Wahr, Falsch |
|
Browser, der ungewöhnlich vom Benutzer verwendet wird (BrowserUncommonlyUsedByUser) |
10 | Der Browser wird nicht häufig vom Benutzer verwendet. | Wahr, Falsch |
|
Browser, der ungewöhnlich unter Peers verwendet wird (BrowserUncommonlyUsedAmongPeers) |
30 | Der Browser wird in den Peers des Benutzers nicht häufig verwendet. | Wahr, Falsch |
|
Erstmaliger Browser, der im Mandanten beobachtet wurde (FirstTimeBrowserObservedInTenant) |
30 | Der Browser wurde zum ersten Mal in der Organisation beobachtet. | Wahr, Falsch |
|
Browser, der ungewöhnlich im Mandanten verwendet wird (BrowserUncommonlyUsedInTenant) |
30 | Der Browser wird in der Organisation nicht häufig verwendet. | Wahr, Falsch |
Land/Region verbunden von
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmaliges Herstellen einer Verbindung des Benutzers aus dem Land (FirstTimeUserConnectedFromCountry) |
90 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. | Wahr, Falsch |
|
Land, das ungewöhnlich vom Benutzer aus verbunden ist (CountryUncommonlyConnectedFromByUser) |
10 | Von diesem geografischen Standort laut Auflösung der IP-Adresse aus wird vom Benutzer üblicherweise keine Verbindung hergestellt. | Wahr, Falsch |
|
Land, das ungewöhnlich zwischen Peers verbunden ist (CountryUncommonlyConnectedFromAmongPeers) |
90 | Der geografische Standort, der von der IP-Adresse aufgelöst wird, ist in der Regel nicht von den Peers des Benutzers verbunden. | Wahr, Falsch |
|
Erstmalige Verbindung aus dem Land, das im Mandanten beobachtet wurde (FirstTimeConnectionFromCountryObservedInTenant) |
90 | Das Land/die Region wurde zum ersten Mal von jedem in der Organisation verbunden. | Wahr, Falsch |
|
Land, das ungewöhnlich aus dem Mandanten verbunden ist (CountryUncommonlyConnectedFromInTenant) |
90 | Der geografische Standort, wie aus der IP-Adresse aufgelöst, ist in der Regel nicht aus der Organisation verbunden. | Wahr, Falsch |
Zum Herstellen der Verbindung verwendetes Gerät
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmaliges Herstellen einer Verbindung von einem Benutzer über das Gerät (FirstTimeUserConnectedFromDevice) |
30 | Vom Quellgerät aus wurde vom Benutzer zum ersten Mal eine Verbindung hergestellt. | Wahr, Falsch |
|
Gerät, das ungewöhnlich vom Benutzer verwendet wird (DeviceUncommonlyUsedByUser) |
10 | Das Gerät wird nicht häufig vom Benutzer verwendet. | Wahr, Falsch |
|
Gerät, das ungewöhnlich unter Peers verwendet wird (DeviceUncommonlyUsedAmongPeers) |
180 | Das Gerät wird in den Peers des Benutzers nicht häufig verwendet. | Wahr, Falsch |
|
Das erste Mal, dass das Gerät im Mandanten beobachtet wurde (FirstTimeDeviceObservedInTenant) |
30 | Das Gerät wurde zum ersten Mal in der Organisation beobachtet. | Wahr, Falsch |
|
Gerät, das ungewöhnlich im Mandanten verwendet wird (DeviceUncommonlyUsedInTenant) |
180 | Das Gerät wird in der Organisation nicht häufig verwendet. | Wahr, Falsch |
Andere gerätebezogene Geräte
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmaliges Anmelden des Benutzers auf dem Gerät (FirstTimeUserLoggedOnToDevice) |
180 | Der Benutzer hat zum ersten Mal eine Verbindung mit dem Zielgerät hergestellt. | Wahr, Falsch |
|
Gerätefamilie, die ungewöhnlich im Mandanten verwendet wird (DeviceFamilyUncommonlyUsedInTenant) |
30 | Die Gerätefamilie wird in der Organisation nicht häufig verwendet. | Wahr, Falsch |
Zum Herstellen der Verbindung verwendeter Internetdienstanbieter (ISP)
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Erstmalige Verbindung des Benutzers über ISP (FirstTimeUserConnectedViaISP) |
30 | Der ISP wurde zum ersten Mal vom Benutzer verwendet. | Wahr, Falsch |
|
IsP wird ungewöhnlich vom Benutzer verwendet (ISPUncommonlyUsedByUser) |
10 | Der ISP wird nicht häufig vom Benutzer verwendet. | Wahr, Falsch |
|
ISP wird selten unter Peers verwendet (ISPUncommonlyUsedAmongPeers) |
30 | Der ISP wird in den Peers des Benutzers nicht häufig verwendet. | Wahr, Falsch |
|
Erstmalige Verbindung über ISP im Mandanten (FirstTimeConnectionViaISPInTenant) |
30 | Der ISP wurde zum ersten Mal in der Organisation beobachtet. | Wahr, Falsch |
|
ISP wird ungewöhnlich im Mandanten verwendet (ISPUncommonlyUsedInTenant) |
30 | Der ISP wird in der Organisation nicht häufig verwendet. | Wahr, Falsch |
Zugriff auf Ressource
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Beim ersten Zugriff auf die Ressource des Benutzers (FirstTimeUserAccessedResource) |
180 | Der Benutzer hat zum ersten Mal auf die Ressource zugegriffen. | Wahr, Falsch |
|
Ressource, auf die der Benutzer ungewöhnlich zugegriffen hat (ResourceUncommonlyAccessedByUser) |
10 | Auf die Ressource wird nicht häufig vom Benutzer zugegriffen. | Wahr, Falsch |
|
Ungewöhnlicher Zugriff auf Ressourcen zwischen Peers (ResourceUncommonlyAccessedAmongPeers) |
180 | Unter Peers des Benutzers wird in der Regel nicht auf die Ressource zugegriffen. | Wahr, Falsch |
|
Erstmaliger Zugriff auf Ressource im Mandanten (FirstTimeResourceAccessedInTenant) |
180 | Auf die Ressource wurde zum ersten Mal von jemand in der Organisation zugegriffen. | Wahr, Falsch |
|
Ressource, auf die im Mandanten ungewöhnlich zugegriffen wird (ResourceUncommonlyAccessedInTenant) |
180 | Auf die Ressource wird in der Organisation nicht häufig zugegriffen. | Wahr, Falsch |
Miscellaneous
| Anreicherungsname | Basisplan (Tage) | Description | Beispielwert |
|---|---|---|---|
|
Letzte Aktion des Benutzers (LastTimeUserPerformedAction) |
180 | Beim letzten Mal hat der Benutzer die gleiche Aktion ausgeführt. | <Zeitstempel> |
|
Ähnliche Aktion wurde in der Vergangenheit nicht ausgeführt (SimilarActionWasn'tPerformedInThePast) |
30 | Keine Aktion wurde vom Benutzer im gleichen Ressourcenanbieter durchgeführt. | Wahr, Falsch |
|
Quell-IP-Speicherort (SourceIPLocation) |
N/A | Das Land/die Region wurde aus der Quell-IP der Aktion aufgelöst. | [Surrey, England] |
|
Ungewöhnliches hohes Betriebsvolumen (UncommonHighVolumeOfOperations) |
7 | Ein Benutzer hat einen Burst ähnlicher Vorgänge innerhalb desselben Anbieters durchgeführt. | Wahr, Falsch |
|
Ungewöhnliche Anzahl von Fehlern beim bedingten Zugriff von Microsoft Entra (UnusualNumberOfAADConditionalAccessFailures) |
5 | Eine ungewöhnliche Anzahl von Benutzern konnte sich aufgrund des bedingten Zugriffs nicht authentifizieren. | Wahr, Falsch |
|
Ungewöhnliche Anzahl hinzugefügter Geräte (UnusualNumberOfDevicesAdded) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten hinzugefügt. | Wahr, Falsch |
|
Ungewöhnliche Anzahl gelöschter Geräte (UnusualNumberOfDevicesDeleted) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Geräten gelöscht. | Wahr, Falsch |
|
Ungewöhnliche Anzahl von Benutzern, die der Gruppe hinzugefügt wurden (UnusualNumberOfUsersAddedToGroup) |
5 | Ein Benutzer hat eine ungewöhnliche Anzahl von Benutzern einer Gruppe hinzugefügt. | Wahr, Falsch |
IdentityInfo-Tabelle
Nachdem Sie UEBA für Ihren Microsoft Sentinel-Arbeitsbereich aktiviert und konfiguriert haben, werden Benutzerdaten von Ihren Microsoft-Identitätsanbietern zur Verwendung in Microsoft Sentinel mit der IdentityInfo-Tabelle in Log Analytics synchronisiert.
Diese Identitätsanbieter sind entweder oder beide der folgenden, je nachdem, welche Sie bei der Konfiguration von UEBA ausgewählt haben:
- Microsoft Entra ID (cloudbasiert)
- Microsoft Active Directory (lokal, erfordert Microsoft Defender for Identity))
Sie können die IdentityInfo-Tabelle in Analyseregeln, Suchabfragen und Arbeitsmappen abfragen, Ihre Analysen verbessern, um Ihre Anwendungsfälle anzupassen und falsch positive Ergebnisse zu reduzieren.
Die Erstsynchronisierung kann einige Tage dauern. Nachdem die Daten vollständig synchronisiert wurden, gilt Folgendes:
Alle 14 Tage synchronisiert Microsoft Sentinel ihre gesamte Microsoft Entra-ID (und gegebenenfalls Ihr lokales Active Directory), um sicherzustellen, dass veraltete Datensätze vollständig aktualisiert werden.
Abgesehen von diesen regelmäßigen vollständigen Synchronisierungen werden die betroffenen Benutzerdatensätze innerhalb von 15-30 Minuten bei Änderungen an Ihren Benutzerprofilen, Gruppen und integrierten Rollen in der Microsoft Entra-ID erneut aufgenommen und aktualisiert. Diese Aufnahme wird in regelmäßigen Tarifen abgerechnet. Beispiel:
Ein Benutzerattribute, z. B. Anzeigename, Position oder E-Mail-Adresse, wurde geändert. Ein neuer Datensatz für diesen Benutzer wird in die Tabelle "IdentityInfo " aufgenommen, wobei die relevanten Felder aktualisiert wurden.
Gruppe A enthält 100 Benutzer. 5 Benutzer werden der Gruppe hinzugefügt oder aus der Gruppe entfernt. In diesem Fall werden diese fünf Benutzerdatensätze erneut aufgenommen, und ihre GroupMembership-Felder wurden aktualisiert.
Gruppe A enthält 100 Benutzer. Zehn Benutzer werden der Gruppe A hinzugefügt. Außerdem werden gruppen A1 und A2 mit jeweils 10 Benutzern zu Gruppe A hinzugefügt. In diesem Fall werden 30 Benutzerdatensätze erneut aufgenommen, und ihre GroupMembership-Felder werden aktualisiert. Dies geschieht, da die Gruppenmitgliedschaft transitiv ist, sodass sich Änderungen an Gruppen auf alle ihre Untergruppen auswirken.
Gruppe B (mit 50 Benutzern) wird in "Group BeGood" umbenannt. In diesem Fall werden 50 Benutzerdatensätze erneut aufgenommen, und ihre GroupMembership-Felder werden aktualisiert. Wenn in dieser Gruppe Untergruppen vorhanden sind, geschieht dies für alle Datensätze ihrer Mitglieder.
Die Standardaufbewahrungszeit in der IdentityInfo-Tabelle beträgt 30 Tage.
Limitations
Das Feld "AssignedRoles " unterstützt nur integrierte Rollen.
Das Feld "GroupMembership " unterstützt die Auflistung von bis zu 500 Gruppen pro Benutzer, einschließlich Untergruppen. Wenn ein Benutzer Mitglied von mehr als 500 Gruppen ist, werden nur die ersten 500 mit der IdentityInfo-Tabelle synchronisiert. Die Gruppen werden jedoch nicht in einer bestimmten Reihenfolge ausgewertet, sodass bei jeder neuen Synchronisierung (alle 14 Tage) eine andere Gruppe von Gruppen auf den Benutzerdatensatz aktualisiert wird.
Wenn ein Benutzer gelöscht wird, wird der Datensatz dieses Benutzers nicht sofort aus der IdentityInfo-Tabelle gelöscht. Der Grund dafür ist, dass einer der Zwecke dieser Tabelle darin besteht, Änderungen an Benutzerdatensätzen zu überwachen. Daher soll diese Tabelle einen Datensatz eines Benutzers aufweisen, der gelöscht wird, was nur passieren kann, wenn der Benutzerdatensatz in der IdentityInfo-Tabelle noch vorhanden ist, auch wenn der tatsächliche Benutzer (z. B. in entra ID) gelöscht wird.
Gelöschte Benutzer können durch das Vorhandensein eines Werts
deletedDateTimeim Feld identifiziert werden. Wenn Sie also eine Abfrage benötigen, um Eine Liste der Benutzer anzuzeigen, können Sie gelöschte Benutzer herausfiltern, indem Sie sie der Abfrage hinzufügen| where IsEmpty(deletedDateTime).Nach dem Löschen eines Benutzers wird der Datensatz des Benutzers in einem bestimmten Zeitraum auch aus der IdentityInfo-Tabelle entfernt.
Wenn eine Gruppe gelöscht wird oder eine Gruppe mit mehr als 100 Mitgliedern ihren Namen geändert hat, werden die Benutzerdatensätze dieser Gruppe nicht aktualisiert. Wenn eine andere Änderung bewirkt, dass eines der Datensätze dieser Benutzer aktualisiert wird, werden die aktualisierten Gruppeninformationen zu diesem Zeitpunkt einbezogen.
Andere Versionen der IdentityInfo-Tabelle
Es gibt mehrere Versionen der IdentityInfo-Tabelle :
Die in diesem Artikel erläuterte Log Analytics-Schemaversion dient Microsoft Sentinel im Azure-Portal. Es ist für kunden verfügbar, die UEBA aktiviert haben.
Die Schemaversion der erweiterten Suche dient dem Microsoft Defender-Portal über Microsoft Defender for Identity. Es ist für Kunden von Microsoft Defender XDR mit oder ohne Microsoft Sentinel und für Kunden von Microsoft Sentinel selbst im Defender-Portal verfügbar.
UEBA muss nicht aktiviert sein, um Zugriff auf diese Tabelle zu haben. Für Kunden ohne aktivierte UEBA sind die felder, die von UEBA-Daten aufgefüllt werden, jedoch nicht sichtbar oder verfügbar.
Weitere Informationen finden Sie in der Dokumentation der Erweiterten Suchversion dieser Tabelle.
Ab Mai 2025 beginnen Kunden von Microsoft Sentinel im Microsoft Defender-Portalmit aktivierter UEBA-Versionmit einer neuen Version der Erweiterten Bedrohungssuche . Diese neue Version enthält alle UEBA-Felder aus der Log Analytics-Version sowie einige neue Felder und wird als einheitliche Version oder die einheitliche IdentityInfo-Tabelle bezeichnet.
Defender-Portalkunden ohne UEBA-Aktivierung oder überhaupt ohne Microsoft Sentinel verwenden weiterhin die vorherige Version der Erweiterten Bedrohungssuche ohne die von der UEBA generierten Felder.
Weitere Informationen zur einheitlichen Version finden Sie in der Dokumentation zur erweiterten Suche unter IdentityInfo.
Schema
Die Tabelle auf der folgenden Registerkarte "Log Analytics-Schema" beschreibt die Benutzeridentitätsdaten, die in der Tabelle "IdentityInfo " in Log Analytics im Azure-Portal enthalten sind.
Wenn Sie Microsoft Sentinel in das Defender-Portal integrieren, wählen Sie die Registerkarte "Vergleichen mit einheitlichem Schema" aus, um die Änderungen anzuzeigen, die sich möglicherweise auf die Abfragen in Ihren Bedrohungserkennungsregeln und -jagden auswirken könnten.
| Feldname | Type | Description |
|---|---|---|
| AccountCloudSID | string | Die Microsoft Entra-Sicherheits-ID des Kontos. |
| AccountCreationTime | datetime | Das Datum, an dem das Benutzerkonto erstellt wurde (UTC). |
| AccountDisplayName | string | Der Anzeigename des Benutzerkontos. |
| AccountDomain | string | Der Domänenname des Benutzerkontos. |
| AccountName | string | Der Benutzername des Benutzerkontos. |
| AccountObjectId | string | Die Microsoft Entra-Objekt-ID für das Benutzerkonto. |
| AccountSID | string | Die lokale Sicherheits-ID des Benutzerkontos. |
| AccountTenantId | string | Die Microsoft Entra-Mandanten-ID für das Benutzerkonto. |
| AccountUPN | string | Der Benutzerprinzipalname des Benutzerkontos. |
| AdditionalMailAddresses | dynamic | Die zusätzlichen E-Mail-Adressen des Benutzers. |
| AssignedRoles | dynamic | Die Microsoft Entra-Rollen, denen das Benutzerkonto zugewiesen ist. Nur integrierte Rollen werden unterstützt. |
| BlastRadius | string | Eine Berechnung, die auf der Position der Benutzer*innen in der Organisationsstruktur und den Microsoft Entra-Rollen und -Berechtigungen der Benutzer*innen basiert. Mögliche Werte: Niedrig, Mittel, Hoch |
| ChangeSource | string | Die Quelle der letzten Änderung an der Entität. Mögliche Werte: |
| City | string | Der Ort für das Benutzerkonto. |
| CompanyName | string | Der Firmenname, zu dem der Benutzer gehört. |
| Country | string | Das Land/die Region des Benutzerkontos. |
| DeletedDateTime | datetime | Das Datum und die Uhrzeit der Löschung des Benutzers. |
| Department | string | Die Abteilung für das Benutzerkonto. |
| EmployeeId | string | Die Mitarbeiter-ID, die dem Benutzer von der Organisation zugewiesen wurde. |
| GivenName | string | Der Vorname für das Benutzerkonto. |
| GroupMembership | dynamic | Microsoft Entra-ID-Gruppen, bei denen das Benutzerkonto Mitglied ist. |
| IsAccountEnabled | bool | Ein Hinweis darauf, ob das Benutzerkonto in Microsoft Entra ID aktiviert ist oder nicht. |
| JobTitle | string | Die Position für das Benutzerkonto. |
| MailAddress | string | Die primäre E-Mail-Adresse für das Benutzerkonto. |
| Manager | string | Der Alias des Vorgesetzten für das Benutzerkonto. |
| OnPremisesDistinguishedName | string | Der Microsoft Entra ID-DN (Distinguished Name). Ein DN ist eine Sequenz relativer DNs (RDN), die durch Kommas verbunden sind. |
| Phone | string | Die Telefonnummer für das Benutzerkonto. |
| RiskLevel | string | Die Risikostufe der Microsoft Entra-ID des Benutzerkontos. Mögliche Werte: |
| RiskLevelDetails | string | Details zum Risikoniveau der Microsoft Entra-ID. |
| RiskState | string | Gibt an, ob das Konto jetzt gefährdet ist oder ob das Risiko behoben wurde. |
| SourceSystem | string | Das System, in dem der Benutzer verwaltet wird. Mögliche Werte: |
| State | string | Das Bundesland/der Kanton für das Benutzerkonto. |
| StreetAddress | string | Die Büroadresse für das Benutzerkonto. |
| Surname | string | Nachname des Benutzers account. |
| TenantId | string | Die Mandanten-ID des Benutzers. |
| TimeGenerated | datetime | Der Zeitpunkt, zu dem das Ereignis generiert wurde (UTC). |
| Type | string | Der Name der Tabelle. |
| UserAccountControl | dynamic | Sicherheitsattribute des Benutzerkontos in der AD-Domäne. Mögliche Werte (kann mehr als einen enthalten): |
| UserState | string | Der aktuelle Status des Benutzerkontos in Microsoft Entra ID. Mögliche Werte: |
| UserStateChangedOn | datetime | Das Datum der letzten Änderung des Kontozustands (UTC). |
| UserType | string | Der Benutzertyp. |
Die folgenden Felder, während sie im Log Analytics-Schema vorhanden sind, sollten ignoriert werden, da sie von Microsoft Sentinel nicht verwendet oder unterstützt werden:
- Applications
- EntityRiskScore
- ExtensionProperty
- InvestigationPriority
- InvestigationPriorityPercentile
- IsMFARegistered
- IsServiceAccount
- LastSeenDate
- OnPremisesExtensionAttributes
- RelatedAccounts
- ServicePrincipals
- Tags
- UACFlags
UEBA-Integration mit Microsoft Sentinel-Workflows
UEBA-Einblicke sind in Microsoft Sentinel integriert, um Ihre Sicherheitsabläufe zu verbessern:
Entitätsseiten und Benutzeruntersuchung
- Anomalien im Benutzerpanel: Sehen Sie sich die drei wichtigsten Benutzeranomalien der letzten 30 Tage direkt im Benutzerseitenbereich und im Übersichtstab der Benutzerseiten an. Dies liefert unmittelbaren UEBA-Kontext bei der Untersuchung von Nutzern an verschiedenen Portalstandorten. Für weitere Informationen siehe Seiten Entitäten mit Entitäten untersuchen.
Verbesserung der Jagd und Erkennung
- Go Hunt Anomalien-Abfrage: Greifen Sie bei der Untersuchung von Benutzerentitäten direkt aus den Incident-Graphen auf integrierte Anomalienabfragen zu, was sofortige kontextuelle Jagd basierend auf UEBA-Ergebnissen ermöglicht.
- Empfehlungen zur Anomalientabelle: Erhalten Sie intelligente Vorschläge zur Verbesserung von Jagdanfragen, indem Sie bei Abfragen geeigneter Datenquellen die UEBA-Anomalien-Tabelle hinzufügen.
Weitere Informationen zu diesen Jagdverbesserungen finden Sie unter Bedrohungsjagd in Microsoft Sentinel.
Untersuchungs-Arbeitsabläufe
- Verbesserter Untersuchungsgraph: Bei der Untersuchung von Vorfällen mit Nutzerentitäten greifen Sie direkt auf UEBA-Anomalienanfragen aus dem Untersuchungsgraphen zu, um unmittelbaren Verhaltenskontext zu erhalten.
Weitere Informationen zu Untersuchungsverbesserungen finden Sie unter Microsoft Sentinel Incidents in Depth.
Voraussetzungen für eine verbesserte UEBA-Integration
Um auf diese erweiterten UEBA-Fähigkeiten zuzugreifen:
- UEBA muss in deinem Microsoft Sentinel-Arbeitsbereich aktiviert sein
- Dein Arbeitsbereich muss für einige Funktionen in das Microsoft Defender Portal integriert werden.
- Angemessene Berechtigungen zur Anzeige von UEBA-Daten und zur Durchführung von Suchanfragen
Nächste Schritte
In diesem Dokument wurde das Tabellenschema der Entitätsverhaltensanalyse in Microsoft Sentinel beschrieben.
- Erfahren Sie mehr über die Analyse des Entitätsverhaltens.
- Aktivieren Sie UEBA in Microsoft Sentinel.
- Legen Sie UEBA in Ihre Untersuchungen ein.