教程：使用 UEBA 数据调查事件

本文介绍在常规调查工作流中使用 用户实体行为分析（UEBA） 的常见方法和示例过程。

Prerequisites

在调查中使用 UEBA 数据之前，必须在 Microsoft Sentinel 中启用用户和实体行为分析（UEBA）。

在启用 UEBA 约一周后开始寻找计算机助力的见解。

在 Defender 门户中查找和调查用户异常（预览版）

在 Defender 门户中， UEBA 异常 标记标识具有异常的用户，从而更轻松地确定调查的优先级。

顶级 UEBA 异常部分 - 显示在用户侧面板和用户实体页面的概述标签页上 - 显示用户过去 30 天内的前三个异常。 选择本部分底部的链接以搜寻所有用户的异常并查看 Sentinel 事件时间线。

调查事件中存在的用户异常

若要调查事件中的用户，请从事件图中的用户实体中选择 Go Hunt > All 用户异常 ，从过去 30 天内检索与用户相关的所有异常。

有关详细信息，请参阅Microsoft Defender 门户中的调查事件和Microsoft Defender 的用户实体页面。

在实体数据中运行主动例行搜索

建议通过用户活动定期进行主动搜索，为进一步调查建立线索。

可以使用 Microsoft Sentinel 用户和实体行为分析工作簿 查询数据，例如：

• 具有异常或附加事件的顶级有风险的用户
• 特定用户数据，确定使用者是否确实受到威胁，或者是否存在因操作不符合用户配置文件而导致的内部威胁。

此外，在 UEBA 工作簿中捕获非常规操作，并使用这些操作查找异常活动和潜在的不合规做法。

调查异常登录

例如，用户连接到以前从未使用过的 VPN 是一种异常活动，以下步骤是对此情况的调查。

1. 在 Sentinel“工作簿”区域中，搜索并打开“用户和实体行为分析”工作簿。

2. 搜索要调查的特定用户名，并在“要调查的主要用户”表中选择其姓名。

3. 向下滚动“事件明细”表和“异常明细”表，查看与所选用户相关的事件和异常。

4. 在异常中，例如在名为“异常成功登录”的异常中，查看表中所示的详细信息以进行调查。 例如：

   步骤	说明
   注意右侧的说明	每个异常都有一个说明，其中包含一个链接，用于在 MITRE ATT&CK 知识库中了解详细信息。 例如： 初始访问 攻击者正在尝试进入你的网络。 初始访问包含使用各种进入途径在网络中获取初始立足点的技术。 获取立足点的技术包括有针对性的鱼叉式网络钓鱼和利用面向公众的 Web 服务器上的漏洞。 通过初始访问获取的立足点可能允许像有效帐户那样继续访问并使用外部远程服务，也可能因密码更改而被限制使用。
   记下“说明”列中的文本	在异常行中，向右滚动以查看附加说明。 选择链接，查看全文。 例如： 攻击者可能会使用凭据访问技术窃取特定用户或服务帐户的凭据，或者在侦查过程早期通过社交工程捕获凭据以获取初始访问。 例如，APT33 已使用有效帐户进行初始访问。 以下查询生成了成功登录的输出，不过登录的地理位置是一个该用户及其对等方从未执行过连接操作的新地点。
   注意 UsersInsights 数据	在异常行中继续向右滚动，查看用户见解数据，例如帐户显示名称和帐户对象 ID。 选择文本，查看右侧的完整数据。
   记下证据数据	在异常行中继续向右滚动，查看证据数据是否存在异常。 选择文本，查看右侧的完整数据，例如以下字段： - 用户不常进行的操作 - UncommonHighVolumeOfActions - FirstTimeUserConnectedFromCountry - CountryUncommonlyConnectedFromAmongPeers - 首次用户通过ISP连接 - ISPUncommonlyUsedAmongPeers - CountryUncommonlyConnectedFromInTenant - ISPUncommonlyUsedInTenant

使用在“用户和实体行为分析”工作簿中查找到的数据来确定用户活动是否可疑以及是否需要采取进一步操作。

使用 UEBA 数据分析假正

有时，调查过程中捕获的事件是假正。

假正的一个常见示例是检测到不可能的旅行活动，例如用户在同一小时内从纽约和伦敦登录应用程序或门户。 尽管 Microsoft Sentinel 将不可能的旅行记录为异常，但对用户进行调查后可能会发现是因为使用了 VPN，并且所用的位置替代了用户的实际位置。

分析假正

例如，对于不可能的旅行事件，与用户确认使用了 VPN 后，从事件导航到用户实体页面。 使用此处所示的数据，确定捕获的位置是否属于用户的常见位置。

例如：

还可通过事件页面本身和调查图链接到用户实体页面。

将 IdentityInfo 数据嵌入分析规则（公开预览版）

由于攻击者经常使用组织自己的用户和服务帐户，有关这些用户帐户的数据（包括用户标识和特权）对于调查过程中的分析至关重要。

嵌入来自 IdentityInfo 表中的数据以微调分析规则，使其适合用例，从而减少误报，并可能加快调查过程。

例如：

• 在 IT 部门以外的人员访问服务器时触发的警报中，将安全事件与 IdentityInfo 表关联：

  SecurityEvent
  | where EventID in ("4624","4672")
  | where Computer == "My.High.Value.Asset"
  | join kind=inner  (
      IdentityInfo
      | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.SubjectUserSid == $right.AccountSID
  | where Department != "IT"
  

• 在非特定安全组成员的人访问应用程序时触发的警报中，将 Microsoft Entra 登录日志与 IdentityInfo 表关联：

  SigninLogs
  | where AppDisplayName == "GitHub.Com"
  | join kind=inner  (
      IdentityInfo
      | summarize arg_max(TimeGenerated, *) by AccountObjectId) on $left.UserId == $right.AccountObjectId
  | where GroupMembership !contains "Developers"
  

IdentityInfo 表与 Microsoft Entra 工作区同步，以创建用户配置文件数据的快照，例如用户元数据、组信息和分配给每个用户的 Microsoft Entra 角色。 有关详细信息，请参阅 UEBA 扩充参考中的 IdentityInfo 表 。

在 Kusto 文档中，请参阅上述示例中使用的以下项目的详细信息：

• where 运算符
• join 运算符
• summarize 运算符
• render 运算符
• sort 运算符
• iff（） 函数
• ago（） 函数
• now（） 函数
• bin（） 函数
• startofday（） 函数
• count（） 聚合函数
• sum（） 聚合函数

有关 KQL 的详细信息，请参阅 Kusto 查询语言 （KQL） 概述。

其他资源：

• KQL 快速参考
• Kusto 查询语言学习资源

识别密码喷射和鱼叉式网络钓鱼攻击

如果没有启用多重身份验证（MFA），用户凭据很容易被攻击者通过密码喷洒或定向网络钓鱼等方式进行破解。

使用 UEBA 见解调查密码喷射事件

例如，若要使用 UEBA 见解调查密码喷射事件，可以执行以下操作，了解更多信息：

1. 在事件中，选择左下角的“调查”，查看可能成为攻击目标的帐户、计算机和其他数据点。

   浏览数据时，可能会发现某管理员帐户的登录失败次数相对较多。 尽管这很可疑，但不建议在没有进行进一步确认的情况下限制该帐户。

2. 选择映射中的管理用户实体，然后选择右侧的“见解”，查找更多详细信息，例如一段时间内的登录图。

3. 选择右侧 的信息 ，然后选择“ 查看完整详细信息 ”以跳转到 用户实体页 以进一步向下钻取。

   例如，注意这是否是用户的首次潜在密码喷射事件，或查看用户的登录历史记录，了解失败是否异常。

URL 引爆（公共预览版）

如果 Microsoft Sentinel 中引入的日志中包含 URL，这些 URL 将自动引爆，这有助于加快会审过程。

调查图包含引爆的 URL 的节点，以及以下详细信息：

• DetonationVerdict。 引爆中的高级布尔值确定。 例如，“Bad”表示该端被归类为托管恶意软件或网络钓鱼内容。
• DetonationFinalURL。 从原始 URL 进行所有重定向后，观察到的最终登陆页 URL。

例如：

Next steps

了解有关 UEBA、调查和搜寻的更多信息：

• 使用 Microsoft Sentinel 中的用户和实体行为分析（UEBA）识别高级威胁
• Microsoft Sentinel UEBA 参考
• 教程：使用 Microsoft Sentinel 调查事件
• 使用 Microsoft Sentinel 搜寻威胁