在 Microsoft Sentinel 中通过用户和实体行为分析 (UEBA) 进行高级威胁检测

检测组织中的异常行为非常复杂且速度缓慢。 Microsoft Sentinel 用户和实体行为分析 (UEBA) 通过使用机器学习模型为租户生成动态基线和对等比较来简化异常检测和调查。 UEBA 并非仅收集日志，而是会从数据中学习，以呈现可操作的情报，帮助分析人员检测和调查异常情况。

本文介绍了 Microsoft Sentinel UEBA 的工作原理，以及如何使用 UEBA 来显示和调查异常情况，以及增强威胁检测功能。

UEBA 的所有优势都在 Microsoft Defender 门户中提供。

什么是 UEBA？

当 Microsoft Sentinel 从所有已连接的数据源收集日志和警报时，UEBA 会利用人工智能 (AI) 随时间推移并在对等组中构建组织实体（如用户、主机、IP 地址和应用程序）的基准行为配置文件。 然后，UEBA 会识别异常活动，并帮助确定资产是否遭到盗用。

UEBA 还可确定特定资产的相对敏感度、识别对等资产组，并评估任何给定的已遭入侵资产的潜在影响（“爆炸半径”）。 此信息使你可以有效地确定调查、搜寻和事件处理的优先级。

UEBA 体系结构

安全驱动的分析

受 UEBA 解决方案的 Gartner 范例的启发，Microsoft Sentinel 基于三个参考框架提供了一种“由外而内”的方法：

• 用例：MITRE ATT&CK 策略、技术和分解技术框架将各种实体作为受害者、作恶者或枢轴点放入杀伤链中，Microsoft Sentinel 根据按照此框架开展的安全性研究对相关攻击途径和方案划分优先级，从而特别专注于每个数据源可以提供的最有价值的日志。

• 数据源：尽管首要支持 Azure 数据源，但出于周全性考虑，Microsoft Sentinel 选择第三方数据源来提供与我们的威胁方案相匹配的数据。

• 分析学： 使用各种机器学习（ML）算法，Microsoft Sentinel 标识异常活动，并以上下文扩充的形式清晰简洁地呈现证据，其中一些示例如下所示。

  

Microsoft Sentinel 提供的项目可帮助安全分析师结合上下文并通过对比用户的基线概况来清楚地了解环境中的异常活动。 用户（或主机、地址）执行的操作在上下文中进行评估，“true”结果则表示发现异常：

• 跨地理位置、设备和环境。
• 跨时间和频率（与用户自己的历史记录相比）。
• 与对等方的行为进行比较。
• 与组织的行为进行比较。

Microsoft Sentinel 用于生成其用户配置文件的用户实体信息来自 Microsoft Entra ID（和/或本地 Active Directory（目前处于预览状态））。 启用 UEBA 时，它会将 Microsoft Entra ID 与 Microsoft Sentinel 同步，将信息存储在可通过 IdentityInfo 表查看的内部数据库中。

• 在 Azure 门户的 Microsoft Sentinel 中，可以在“日志”页上的 Log Analytics 中查询 IdentityInfo 表。
• 在 Defender 门户中，在 高级搜寻中查询此表。

现在在预览版中，还可以使用 Microsoft Defender for Identity 同步你的本地 Active Directory 用户实体信息。

请参阅 Microsoft Sentinel 中的“启用用户和实体行为分析”（UEBA），了解如何启用 UEBA 并同步用户标识。

计分

每个活动都使用“调查优先级评分”进行评分，该评分根据对用户及其对等方的行为学习来确定特定用户执行特定活动的概率。 被识别为最不正常的活动会获得最高分（分数范围为 0-10 分）。

有关工作原理的示例，请参阅 Microsoft Defender for Cloud Apps 中的行为分析。

详细了解 Microsoft sentinel 中的实体， 并查看 受支持实体和标识符的完整列表。

实体页

现在可以在Microsoft Sentinel 中的实体页面找到有关实体页的信息。

Defender 门户中的 UEBA 体验使分析师能够简化工作流

通过在调查图和用户页面中显示异常，并提示分析人员将异常数据纳入搜寻查询中，UEBA 有助于更快地进行威胁检测、更智能的优先顺序以及更高效的事件响应。

本部分概述了启用 UEBA 时 Defender 门户中提供的关键 UEBA 分析师体验。

用户审查中的 UEBA 洞察

分析师可以使用侧面板中显示的 UEBA 上下文和所有用户页面上的“概述”选项卡快速评估用户风险。 检测到异常行为时，门户会自动标记具有 UEBA 异常的用户， 帮助根据最近的活动确定调查的优先级。 有关详细信息，请参阅 Microsoft Defender 中的“用户实体”页。

每个用户页面都包含一个 Top UEBA 异常 部分，其中显示了过去 30 天内的前三个异常，以及指向预生成异常查询的直接链接和 Sentinel 事件时间线，以便进行更深入的分析。

事件调查中的内置用户异常查询

在事件调查期间，分析师可以直接从事件图启动内置查询，以检索与案例相关的所有用户异常。

有关详细信息，请参阅 Microsoft Defender 门户中的事件调查。

使用 UEBA 数据丰富高级搜寻查询和自定义检测

当分析人员使用 UEBA 相关表编写高级搜寻或自定义检测查询时，Defender 门户会显示一个横幅，提示他们加入 异常 表。 这有助于通过行为见解丰富调查，并增强整体分析。

有关详细信息，请参阅：

• 在 Microsoft Defender 中主动进行高级威胁搜寻。
• KQL 联接运算符。
• UEBA 数据源。
• Microsoft Sentinel 机器学习引擎检测到的异常。

查询行为分析数据

使用 KQL，我们可以查询 BehaviorAnalytics 表。

例如，如果要查找用户无法登录 Azure 资源的所有情况，其中用户是第一次尝试从指定国家/地区进行连接，而来自该国家/地区的连接在对等用户中甚至都不常见，则可以使用以下查询：

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• 在 Azure 门户的 Microsoft Sentinel 中，可以在“日志”页上的 Log Analytics 中查询 BehaviorAnalytics 表。
• 在 Defender 门户中，在 高级搜寻中查询此表。

用户对等元数据 - 表和笔记本

对等用户的元数据可为威胁检测、事件调查和寻找潜在威胁提供重要的上下文。 安全分析师可以观察对等用户的正常活动，以相较于对等用户的活动确定该用户的活动是否异常。

Microsoft Sentinel 根据用户的Microsoft Entra 安全组成员身份、邮件列表等计算和排名用户对等，并将对等方排名 1-20 存储在 UserPeerAnalytics 表中。 下方屏幕截图显示了 UserPeerAnalytics 表的架构，还显示了用户 Kendall Collins 排名前八位的对等用户。 Microsoft Sentinel 使用“词频-逆文本频率”(TF-IDF) 算法规范化排名计算的权重：组越小，权重越高。

可以使用 Microsoft Sentinel GitHub 存储库中提供的 Jupyter 笔记本 可视化用户对等元数据。 有关如何使用笔记本的详细说明，请参阅 引导式分析 - 用户安全元数据 笔记本。

搜寻查询和探索查询

Microsoft Sentinel 基于 BehaviorAnalytics 表提供一组现成的搜寻查询、探索查询和“用户和实体行为分析”工作簿。 这些工具提供了针对特定用例的丰富数据，可指示异常行为。

有关详细信息，请参阅：

• 使用 Microsoft Sentinel 搜寻威胁
• 可视化和监视数据

随着旧式防御工具的过时，组织拥有的数字资产可能因过于庞大且漏洞百出而变得无法管理，导致组织无法全面了解其环境可能面临的风险和状况。 严重依赖于反应措施（如分析和规则）使恶意行动者能够了解如何规避那些措施。 UEBA 可通过提供风险评分方法和算法来让你了解真实情况，这是 UEBA 的独特优势。

后续步骤

本文档介绍了 Microsoft Sentinel 的实体行为分析功能。 如需实用的实施指南或要使用已获得的见解，请参阅以下文章：

• 在 Microsoft Sentinel 中启用实体行为分析。
• 请参阅 UEBA 引擎检测到 的异常列表 。
• 利用 UEBA 数据分析调查事件。
• 搜寻安全威胁。

有关详细信息，另请参阅 Microsoft Sentinel UEBA 参考。