Oversæt rå sikkerhedslogge til adfærdsmæssige indsigter ved hjælp af UEBA-funktionsmåder i Microsoft Sentinel

UEBA-funktionsmådelaget (User and Entity Behavior Analytics) i Microsoft Sentinel aggregerer og opsummerer rå logge med store mængder i tydelige, almindelige sprogmønstre for sikkerhedshandlinger og forklarer "hvem gjorde hvad mod hvem" på en struktureret måde.

I modsætning til beskeder eller uregelmæssigheder angiver funktionsmåder ikke nødvendigvis risiko . De opretter et abstraktionslag, der optimerer dine data til undersøgelser, jagt og registrering ved at forbedre:

  • Effektivitet: Reducer undersøgelsestiden ved at sy relaterede hændelser i sammenhængende historier.
  • Clarity: Oversæt logge på lavt niveau til oversigter over almindeligt sprog.
  • Kontekst: Tilføj MITRE ATT&CK-tilknytning og objektroller for øjeblikkelig sikkerhedsrelevans.
  • Konsistens: Angiv et samlet skema på tværs af forskellige logkilder.

Dette abstraktionslag muliggør hurtigere trusselsregistrering, -undersøgelse og -svar på tværs af dine sikkerhedshandlinger, uden at det kræver et stort kendskab til hver enkelt logkilde.

I denne artikel forklares det, hvordan UEBA-funktionsmådelaget fungerer, hvordan du aktiverer funktionsmådelaget, og hvordan du bruger funktionsmåder til at forbedre sikkerhedshandlinger.

Se webinaret om UEBA-funktionsmåder for at få en komplet oversigt over og demo af UEBA-funktionsmådelaget.

Sådan fungerer UEBA-funktionsmådelaget

Funktionsmåder er en del af Microsoft Sentinel's UEBA-funktioner (User and Entity Behavior Analytics), hvilket giver normaliserede, kontekstualiserede aktivitetsoversigter, der komplementerer registrering af uregelmæssigheder og forbedrer undersøgelser.

Sammenlign funktionsmåder, uregelmæssigheder og beskeder

Denne tabel viser, hvordan funktionsmåder adskiller sig fra uregelmæssigheder og beskeder:

Kapacitet Det repræsenterer Formål
Anomalier Mønstre, der afviger fra etablerede grundlinjer Fremhæv usædvanlig eller mistænkelig aktivitet
Beskeder Signaler et muligt sikkerhedsproblem, der kræver opmærksomhed Udløs arbejdsprocesser for svar på hændelser
Adfærd Neutrale, strukturerede oversigter over aktivitet – normale eller unormale – baseret på tidsvinduer eller udløsere, beriget med MITRE ATT&CK-tilknytninger og objektroller Giv kontekst og klarhed i forbindelse med undersøgelser, jagt og opdagelse

Funktionsmådetyper og -poster

Når du aktiverer laget med UEBA-funktionsmåder, Microsoft Sentinel processer understøttede sikkerhedslogge, som du indsamler i dit Sentinel arbejdsområde i næsten realtid, og opsummerer to typer adfærdsmønstre:

Funktionsmådetype Beskrivelse Eksempler Use case
Aggregerede funktionsmåder Registrer volumenbaserede mønstre ved at indsamle relaterede hændelser over tidsvinduer
  • Brugeren har tilgået mere end 50 ressourcer på 1 time
  • Logonforsøg fra mere end 10 forskellige IP-adresser
 Konvertér logge med stor mængde til handlingsrettede sikkerhedsindsigt. Denne funktionsmådetype udmærker sig ved at identificere usædvanlige aktivitetsniveauer.
Sekvenserede funktionsmåder Identificer mønstre med flere trin eller komplekse angrebskæder, der ikke er indlysende, når du ser på individuelle begivenheder Adgangsnøgle, der er oprettet>, og som bruges ud fra nye API-kald med privilegerede IP-adgange > Registrer avancerede angrebssekvenser og trusler i flere faser.

UEBA-funktionsmådelaget opsummerer funktionsmåder med skræddersyede tidsintervaller, der er specifikke for hver funktionsmådes logik, og opretter funktionsposter med det samme, når det identificerer mønstre, eller når klokkeslætsvinduerne lukkes.

Hver funktionspost indeholder:

  • En enkel, kontekstafhængig beskrivelse: En forklaring på, hvad der skete i sikkerhedsrelevante vilkår – for eksempel hvem der gjorde hvad mod hvem, og hvorfor det er vigtigt.
  • Samlet skema og referencer til de underliggende rå logge: Alle funktionsmåder bruger en ensartet datastruktur på tværs af forskellige produkter og logtyper, så analytikere behøver ikke at oversætte forskellige logformater eller joinforbinde tabeller med stor mængde.
  • MITRE ATT&CK-kortlægning: Hver funktionsmåde er mærket med relevante MITRE-taktikker og -teknikker, hvilket giver branchestandardkontekst med et hurtigt øjekast. Du kan ikke bare se , hvad der skete, men også hvordan det passer i en angrebsramme eller tidslinje.
  • Tilknytning af objektrelationer: Hver funktionsmåde identificerer involverede objekter (brugere, værter, IP-adresser) og deres roller (agent, mål eller andet).

Abstraktionslag for funktionsmåder

I dette diagram illustreres det, hvordan UEBA-funktionsmådelaget transformerer rå logge til strukturerede adfærdsposter, der forbedrer sikkerhedshandlinger:

Diagram, der viser, hvordan UEBA-funktionsmådelaget transformerer rå logge til strukturerede adfærdsposter, der forbedrer sikkerhedshandlinger.

Lagring af funktionsmåde og tabeller

I UEBA-funktionsmådelaget gemmes funktionsposter i to typer tabeller:

  • En tabel med oplysninger om funktionsmåde , som indeholder titlen på funktionsmåden, beskrivelsen, MITRE-tilknytninger, kategorier og links til rålogge og
  • En tabel over adfærdsrelaterede objekter , som viser alle de objekter, der er involveret i funktionsmåden og deres roller.

Disse tabeller integreres problemfrit med dine eksisterende arbejdsprocesser til registreringsregler, undersøgelser og analyse af hændelser. De behandler alle typer sikkerhedsaktivitet – ikke kun mistænkelige hændelser – og giver omfattende indsigt i både normale og unormale adfærdsmønstre.

Du kan få oplysninger om brug af tabeller med funktionsmåder under Bedste fremgangsmåder og tip til fejlfinding i forbindelse med forespørgsler om funktionsmåder.

Vigtigt!

Generativ AI driver UEBA Behaviors-laget til at oprette og skalere den indsigt, den giver. Microsoft har designet funktionen Adfærd baseret på principper for beskyttelse af personlige oplysninger og ansvarlige AI-principper for at sikre gennemsigtighed og forklaring. Funktionsmåder medfører ikke nye risici for overholdelse af angivne standarder eller uigennemsigtige "sorte boks"-analyser i din SOC. Du kan finde oplysninger om, hvordan kunstig intelligens anvendes i denne funktion og Microsofts tilgang til ansvarlig ai, under Ofte stillede spørgsmål om ansvarlig kunstig intelligens for laget med Microsoft UEBA-funktionsmåder.

Use cases og eksempler

Her kan du se, hvordan analytikere, jægere og opdagelsesteknikere kan bruge adfærd under undersøgelser, jagt og oprettelse af beskeder.

Undersøgelse og hændelsesberigelse

Funktionsmåder giver SOC-analytikere øjeblikkelig klarhed over, hvad der skete omkring en besked uden at pivotere på tværs af flere rå logtabeller.

  • Arbejdsproces uden funktionsmåder: Analytikere skal ofte rekonstruere tidslinjer manuelt ved at forespørge hændelsesspecifikke tabeller og sammensy resultater.

    Eksempel: En besked udløses på en mistænkelig AWS-aktivitet. Analytikeren forespørger tabellen AWSCloudTrail og pivoteres derefter til firewalldata for at forstå, hvad brugeren eller værten gjorde. Dette kræver kendskab til hvert skema og gør triage langsommere.

  • Arbejdsproces med funktionsmåder: UEBA-funktionsmådelaget samler automatisk relaterede hændelser i adfærdsposter, der kan knyttes til en hændelse eller forespørges efter behov.

    Eksempel: En besked angiver mulig exfiltration af legitimationsoplysninger. I tabellen BehaviorInfo kan analytikeren se funktionsmåden Mistænkelig adgang til massehemmelighed via AWS IAM af User123 , der er knyttet til MITRE Technique T1552 (Ikke-sikrede legitimationsoplysninger). UEBA-funktionsmådelaget genererede denne funktionsmåde ved at aggregere 20 AWS-logposter. Analytikeren forstår straks, at User123 brugte mange hemmeligheder – afgørende kontekst til at eskalere hændelsen – uden manuelt at gennemse alle 20 logposter.

Trusselsjagt

Funktionsmåder gør det muligt for jægere at søge efter TTP'er og aktivitetsoversigter i stedet for selv at skrive komplekse joinforbindelser eller normalisere rå logge.

  • Arbejdsproces uden funktionsmåder: Jagter kræver kompleks KQL, tabeljoinforbindelser og kendskab til alle datakildeformater. Vigtig aktivitet kan blive begravet i store datasæt med lidt indbygget sikkerhedskontekst.

    Eksempel: Søgning efter tegn på rekognoscering kan kræve scanningshændelser AWSCloudTrailog visse firewallforbindelsesmønstre separat. Konteksten findes hovedsageligt i hændelser og beskeder, hvilket gør proaktiv jagt sværere.

  • Arbejdsproces med funktionsmåder: Funktionsmåder normaliseres, beriges og knyttes til MITRE-taktikker og -teknikker. Jægere kan søge efter meningsfulde mønstre uden at være afhængige af hver kildes skema.

    En jæger kan filtrere tabellen BehaviorInfo efter taktik (Categories), teknik, titel eller enhed. Det kan f.eks. være:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jægere kan også:

    • Identificer sjældne funktionsmåder ved hjælp af count distinct i Title feltet .
    • Udforsk en interessant funktionsmådetype, identificer de involverede enheder, og undersøg yderligere.
    • Analysér ned til rå logge ved hjælp af kolonnerne BehaviorId og AdditionalFields , som ofte refererer til de underliggende rå logge.

    Eksempel: En jæger, der søger efter stealthy forespørgsler om adgang til legitimationsoplysninger for funktionsmåder med "optæl legitimationsoplysninger" i kolonnen Title . Resultaterne returnerer nogle få forekomster af "Forsøgte legitimationsdump fra Vault af brugeren AdminJoe" (afledt af CyberArk logfiler). Selvom beskeder ikke blev udløst, er denne funktionsmåde ualmindelig for AdminJoe og beder om yderligere undersøgelse – noget, der er svært at registrere i detaljerede Vault-overvågningslogge.

    Jægere kan også jage af:

    • MITRE-taktik:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Teknik:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Bestemt bruger:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Sjældne funktionsmåder (potentielle uregelmæssigheder):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Advarsler og automatisering

Funktionsmåder forenkler regellogik ved at levere normaliserede signaler af høj kvalitet med indbygget kontekst og muliggøre nye korrelationsmuligheder.

  • Arbejdsproces uden funktionsmåder: Korrelationsregler på tværs af kilder er komplekse, fordi hvert logformat er forskelligt. Regler kræver ofte:

    • Normaliseringslogik
    • Skemaspecifikke betingelser
    • Flere separate regler
    • Afhængighed af beskeder i stedet for rå aktivitet

    Automatisering kan også udløses for ofte, hvis den er baseret på hændelser på lavt niveau.

  • Arbejdsproces med funktionsmåder: Funktionsmåder aggregerer allerede relaterede hændelser og omfatter MITRE-tilknytninger, objektroller og ensartede skemaer, så registreringsteknikere kan oprette enklere og klarere regler for registrering.

    Eksempel: En registreringstekniker skriver en registreringsregel ved hjælp af denne logik for at advare om en potentiel nøgle kompromitteret og rettighedseskaleringssekvens: "Giv besked, hvis en bruger har funktionsmåden "Oprettelse af ny AWS-adgangsnøgle" efterfulgt af funktionsmåden "Udvidede rettigheder i AWS" inden for 1 time."

    Uden UEBA-funktionsmådelaget kræver denne regel, at råhændelser AWSCloudTrail sammensys og fortolkes i regellogikken. Med funktionsmåder er det nemt og robust at logføre skemaændringer, fordi skemaet er samlet.

    Funktionsmåder fungerer også som pålidelige udløsere til automatisering. I stedet for at oprette beskeder for ikke-risikable aktiviteter kan du bruge funktionsmåder til at udløse automatisering – f.eks. til at sende en mail eller starte bekræftelse.

Understøttede datakilder og funktionsmåder

Listen over understøttede datakilder og leverandører eller tjenester, der sender logge til disse datakilder, udvikler sig. UEBA-funktionsmådelaget samler automatisk indsigt for alle understøttede leverandører baseret på de logfiler, du indsamler.

UEBA-funktionsmådelaget fokuserer i øjeblikket på disse ikke-Microsoft-datakilder, der traditionelt mangler nem adfærdskontekst i Microsoft Sentinel:

Datakilde Understøttede leverandører, tjenester og logge Stik Understøttede funktionsmåder
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto-trusler
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Secrets Manager
GCPAuditLogs
  • Administration aktivitetslogge
  • Logge for dataadgang
  • Få adgang til gennemsigtighedslogge

1CommonSecurityLog kan indeholde logge fra mange leverandører. UEBA-funktionsmådelaget genererer kun funktionsmåder for understøttede leverandører og logtyper. Hvis tabellen modtager logge fra en leverandør, der ikke understøttes, kan du ikke se nogen funktionsmåder, selvom datakilden er forbundet.

Vigtigt!

Du skal aktivere disse kilder separat fra andre UEBA-funktioner. Hvis du f.eks. har aktiveret AWSCloudTrail for UEBA-analyser og uregelmæssigheder, skal du stadig aktivere det separat for funktionsmåder.

Forudsætninger

Hvis du vil bruge UEBA-funktionsmådelaget, skal du bruge:

Påkrævede tilladelser

Hvis du vil aktivere og bruge UEBA-funktionsmådelaget, skal du have disse tilladelser:

Brugerhandling Tilladelse er påkrævet
Aktivér funktionsmåder Mindst rollen Sikkerhedsadministrator i Microsoft Entra ID og rollen Microsoft Sentinel bidragyder i dit Sentinel arbejdsområde.
Tabeller med forespørgselsfunktionsmåder
  • Rollen Sikkerhedslæser eller Sikkerhedsoperator i Microsoft Entra ID til at køre forespørgsler om avanceret jagt på Defender-portalen.
  • Læseadgang til tabellerne BehaviorInfo og BehaviorEntities i dit Sentinel arbejdsområde.
  • Læs adgang til kildetabeller for at analysere ned til råhændelser.

Du kan få flere oplysninger om unified RBAC på Defender-portalen under Microsoft Defender XDR Unified-rollebaseret adgangskontrol (RBAC).

Aktivér UEBA-funktionsmådelaget

Hvis du vil begynde at aggregere UEBA-funktionsmåder, skal du sørge for at oprette forbindelse til mindst én understøttet datakilde. UEBA-funktionsmådelaget aggregerer kun funktionsmåder, når understøttede datakilder er forbundet og aktivt sender logge til analyseniveauet.

Sådan aktiverer du UEBA-funktionsmådelaget i dit arbejdsområde:

  1. På Defender-portalen skal du vælge Systemindstillinger >> Microsoft Sentinel > SIEM-arbejdsområder.

  2. Vælg det Sentinel arbejdsområde, hvor du vil aktivere UEBA-funktionsmådelaget.

  3. Vælg Aktivér funktionsanalyse > Konfigurer UEBA > New! Funktionsmådelag.

  4. Slå Aktivér funktionsmådelag til og fra.

  5. Vælg Opret forbindelse til alle datakilder , eller vælg de specifikke datakilder på listen.

    Hvis du endnu ikke har knyttet nogen understøttede datakilder til dit Sentinel arbejdsområde, skal du vælge Gå til Indholdshub for at finde og oprette forbindelse til de relevante connectors.

    Skærmbillede, der viser siden Aktivér funktionsmådelag på Defender-portalen.

  6. Vælg Opret forbindelse.

Vigtigt!

Du kan i øjeblikket aktivere funktionsmåder i et enkelt arbejdsområde i din lejer.

Prismodel

Brug af UEBA-funktionsmådelaget resulterer i følgende omkostninger:

  • Ingen ekstra licensomkostninger: Funktionsmåder er inkluderet som en del af Microsoft Sentinel. Du behøver ikke en separat SKU, UEBA-tilføjelsesprogram eller yderligere licenser. Hvis dit arbejdsområde har forbindelse til Sentinel og er onboardet på Defender-portalen, kan du bruge funktionsmåder uden ekstra funktionsomkostninger.

  • Logfør dataindtagelsesgebyrer: Adfærdsposter gemmes i tabellerne SentinelBehaviorInfo og SentinelBehaviorEntities i dit Sentinel arbejdsområde. Hver funktionsmåde bidrager til dit arbejdsområdes dataindtagelsesmængde og faktureres med din eksisterende Log Analytics/Sentinel indtagelseshastighed. Funktionsmåder er additive – de erstatter ikke dine eksisterende rålogge.

Bedste fremgangsmåder og tip til fejlfinding i forbindelse med funktionsmåder for forespørgsler

I dette afsnit forklares det, hvordan du forespørger om funktionsmåder fra både Defender-portalen og dit Sentinel arbejdsområde. Selvom skemaerne er identiske, er dataområdet forskelligt:

  • I Defender-portalen omfatter tabellerne over funktionsmåder UEBA-funktionsmåder og -funktionsmåder fra forbundne Defender-tjenester, f.eks. Microsoft Defender for Cloud Apps og Microsoft Defender for Cloud.
  • I det Sentinel arbejdsområde omfatter funktionsmådetabellerne kun UEBA-funktionsmåder, der er genereret ud fra logge, der er indtaget i det pågældende arbejdsområde.

I denne tabel kan du se, hvilke funktionsmådetabeller der skal bruges i hvert miljø:

Miljø Tabeller, der skal bruges Use cases
Defender-portal – avanceret jagt BehaviorInfo
BehaviorEntities		 Opdagelsesregler, undersøgelse af hændelser, trusselsjagt på Defender Portal
Sentinel arbejdsområde Oplysninger om SentinelBehavior
SentinelBehaviorEntities		 Azure Overvåg projektmapper, overvågning af indtagelse, KQL-forespørgsler i Sentinel arbejdsområde

Du kan få flere praktiske eksempler på brug af funktionsmåder under Use cases og eksempler.

Du kan få flere oplysninger om KQL (Kusto Query Language) i Oversigt over Kusto-forespørgselssprog.

  • Filtrer efter UEBA-funktionsmåder på Defender-portalen

    Tabellerne BehaviorInfo og BehaviorEntities indeholder alle UEBA-funktionsmåder og kan også indeholde funktionsmåder fra Microsoft Defender-tjenester.

    Hvis du vil filtrere efter funktionsmåder fra Microsoft Sentinel UEBA-funktionsmådelaget, skal du bruge kolonnen ServiceSource . Det kan f.eks. være:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Skærmbillede af tabellen BehaviorInfo, der er filtreret efter kolonnen ServiceSource til den Microsoft Sentinel værdi.

  • Analysér ned fra funktionsmåder til rå logge

    Brug den AdditionalFields kolonne i BehaviorInfo, der indeholder referencer til de oprindelige hændelses-id'er i feltet SupportingEvidence .

    Skærmbillede af tabellen BehaviorInfo, der viser kolonnen AdditionalFields med referencer til hændelses-id'er og feltet SupportEvidence for rå logforespørgsler.

    Kør en forespørgsel på SupportingEvidence feltværdien for at finde de rå logge, der har bidraget til en funktionsmåde.

    Skærmbillede, der viser en forespørgsel på feltværdien SupportEvidence og de forespørgselsresultater, der viser de rå logge, der har bidraget til en funktionsmåde.

  • Join behaviorInfo og BehaviorEntities

    Brug feltet BehaviorId til at joinforbinde BehaviorInfo med BehaviorEntities.

    Det kan f.eks. være:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dette giver dig hver funktionsmåde og hvert objekt, der er involveret i det. De AccountUpn identificerende oplysninger for objektet er i BehaviorEntities, mens BehaviorInfo der måske henvises til "Bruger" eller "Vært" i teksten.

  • Overvåg dataindtagelse for funktionsmåde

    Hvis du vil overvåge dataindtagelse for funktionsmåde, skal du forespørge i Usage tabellen efter poster, der er relateret til SentinelBehaviorInfo og SentinelBehaviorEntities.

  • Opret automatiserings-, projektmappe- og registreringsregler baseret på funktionsmåder

    • Brug tabellen BehaviorInfo som datakilde til registreringsregler eller automatisering af playbooks på Defender-portalen. Opret f.eks. en planlagt forespørgselsregel, der udløses, når en bestemt funktionsmåde vises.
    • For Azure overvåge projektmapper og artefakter, der er bygget direkte på dit Sentinel arbejdsområde, skal du sørge for at forespørge tabellerne SentinelBehaviorInfo og SentinelBehaviorEntities i dit Sentinel arbejdsområde.

Fejlfinding

  • Hvis der ikke genereres funktionsmåder: Sørg for, at understøttede datakilder aktivt sender logge til analyseniveauet, bekræft, at datakilden er slået til, og vent 15-30 minutter efter aktivering.
  • Jeg ser færre funktionsmåder end forventet: Vores dækning af understøttede adfærdstyper er delvis og vokser. Du kan få flere oplysninger under Understøttede datakilder og funktionsmåder. UEBA-funktionsmådelaget kan muligvis heller ikke registrere et funktionsmådemønster, hvis der er meget få forekomster af en bestemt funktionsmådetype.
  • Antal funktionsmåder: En enkelt funktionsmåde kan repræsentere ti eller hundredvis af rå hændelser – dette er designet til at reducere støj.

Begrænsninger

Disse begrænsninger gælder i øjeblikket for UEBA-funktionsmådelaget:

  • Du kan aktivere funktionsmåder for et enkelt Sentinel arbejdsområde pr. lejer.
  • UEBA-funktionsmådelaget genererer funktionsmåder for et begrænset sæt understøttede datakilder og leverandører eller tjenester.
  • UEBA-funktionsmådelaget registrerer i øjeblikket ikke alle mulige handlings- eller angrebsteknikker, selv for understøttede kilder. Nogle hændelser medfører muligvis ikke tilsvarende funktionsmåder. Antag ikke, at fraværet af en funktionsmåde betyder, at der ikke opstod nogen aktivitet. Gennemse altid rå logge, hvis du har mistanke om, at der mangler noget.
  • Funktionsmåder har til formål at reducere støj ved at aggregere og sekventere hændelser, men du kan stadig se for mange poster for funktionsmåde. Vi glæder os over din feedback om bestemte adfærdstyper for at hjælpe med at forbedre dækning og relevans.
  • Funktionsmåder er ikke beskeder eller uregelmæssigheder. De er neutrale observationer, der ikke er klassificeret som ondsindede eller godartede. Tilstedeværelsen af en adfærd betyder "dette skete", ikke "dette er en trussel". Registrering af uregelmæssigheder forbliver separat i UEBA. Brug bedømmelse eller kombiner funktionsmåder med UEBA-uregelmæssigheder for at identificere bemærkelsesværdige mønstre.
  • Last updated on