Oversett rå sikkerhetslogger til atferdsinnsikt ved hjelp av UEBA-virkemåter i Microsoft Sentinel

UEBA-virkemåtelaget (User and Entity Behavior Analytics) i Microsoft Sentinel aggregerer og oppsummerer rå logger med høyt volum til tydelige mønstre for sikkerhetshandlinger på vanlig språk, og forklarer «hvem som gjorde hva til hvem» på en strukturert måte.

I motsetning til varsler eller avvik indikerer ikke virkemåter nødvendigvis risiko – de oppretter et abstraksjonslag som optimaliserer dataene for undersøkelser, jakt og oppdagelse ved å forbedre:

  • Effektivitet: Reduser undersøkelsestiden ved å sy relaterte hendelser i sammenhengende historier.
  • Clarity: Oversett støyende logger på lavt nivå til enkle sammendrag.
  • Kontekst: Legg til MITRE ATT&CK-tilordning og enhetsroller for umiddelbar sikkerhetsrelevans.
  • Konsekvens: Gi et enhetlig skjema på tvers av ulike loggkilder.

Dette abstraksjonslaget muliggjør raskere trusselregistrering, undersøkelse og respons på tvers av sikkerhetsoperasjonene dine, uten å kreve dyp kjennskap til hver loggkilde.

Denne artikkelen forklarer hvordan UEBA-virkemåtelaget fungerer, hvordan du aktiverer virkemåtelaget og hvordan du bruker virkemåter til å forbedre sikkerhetsoperasjoner.

Se nettseminaret om UEBA-virkemåter for en fullstendig oversikt og demonstrasjon av UEBA-virkemåtelaget.

Slik fungerer UEBA-virkemåtelaget

Virkemåter er en del av UEBA-funksjonene (User and Entity Behavior Analytics) for Microsoft Sentinel, og gir normaliserte, kontekstualiserte aktivitetssammendrag som utfyller avviksregistrering og beriker undersøkelser.

Sammenligne virkemåter, avvik og varsler

Denne tabellen viser hvordan virkemåter skiller seg fra avvik og varsler:

Evnen Hva den representerer Formål
Anomalier Mønstre som avviker fra etablerte opprinnelige planer Uthev uvanlig eller mistenkelig aktivitet
Varsler Signaliser et potensielt sikkerhetsproblem som krever oppmerksomhet Utløse arbeidsflyter for hendelsesrespons
Atferd Nøytrale, strukturerte sammendrag av aktivitet - normal eller unormal- basert på tidsvinduer eller utløsere, beriket med MITRE ATT&CK-tilordninger og enhetsroller Gi kontekst og klarhet for undersøkelser, jakt og oppdagelse

Virkemåtetyper og -poster

Når du aktiverer UEBA-virkemåtelaget, Microsoft Sentinel behandler støttede sikkerhetslogger du samler inn i Sentinel-arbeidsområdet i nær sanntid, og oppsummerer to typer atferdsmønstre:

Virkemåtetype Beskrivelse Eksempler Brukstilfelle
Aggregerte virkemåter Oppdag volumbaserte mønstre ved å samle relaterte hendelser over tid
  • Bruker åpnet 50+ ressurser på 1 time
  • Påloggingsforsøk fra 10+ forskjellige IP-adresser
 Konverter logger med høyt volum til praktisk sikkerhetsinnsikt. Denne virkemåtetypen utmerker seg ved identifisering av uvanlige aktivitetsnivåer.
Sekvenserte virkemåter Identifiser flertrinnsmønstre eller komplekse angrepskjeder som ikke er åpenbare når du ser på individuelle hendelser Tilgangsnøkkel opprettet > brukt fra nye IP-privilegerte API-kall > Oppdag avanserte angrepssekvenser og trusler i flere faser.

UEBA-virkemåtelaget oppsummerer virkemåter ved skreddersydde tidsintervaller som er spesifikke for hver virkemåtelogikk, og oppretter virkemåteposter umiddelbart når det identifiserer mønstre eller når tidsvinduene lukkes.

Hver oppføring for virkemåte inkluderer:

  • En enkel, kontekstuell beskrivelse: En naturlig språkforklaring av hva som skjedde i sikkerhetsrelevante termer - for eksempel hvem som gjorde hva til hvem, og hvorfor det betyr noe.
  • Enhetlig skjema og referanser til de underliggende råloggene: Alle virkemåter bruker en konsekvent datastruktur på tvers av ulike produkter og loggtyper, slik at analytikere ikke trenger å oversette ulike loggformater eller føye sammen tabeller med høyt volum.
  • MITRE ATT&CK-tilordning: Hver virkemåte er merket med relevante MITRE-taktikker og -teknikker, noe som gir bransjestandardkontekst med et øyekast. Du ser ikke bare hva som skjedde, men også hvordan det passer inn i et angrepsrammeverk eller en tidslinje.
  • Enhetsrelasjonstilordning: Hver virkemåte identifiserer involverte enheter (brukere, verter, IP-adresser) og deres roller (aktør, mål eller andre).

Virkemåten abstraksjonslaget

Dette diagrammet illustrerer hvordan UEBA-virkemåtelaget transformerer rå logger til strukturerte virkemåteposter som forbedrer sikkerhetsoperasjoner:

Diagram som viser hvordan UEBA-virkemåtelaget transformerer rå logger til strukturerte virkemåteposter som forbedrer sikkerhetsoperasjoner.

Virkemåte for lagring og tabeller

UEBA-virkemåtelaget lagrer virkemåteposter i to tabelltyper:

  • En informasjonstabell for virkemåte , som inneholder virkemåtetittelen, beskrivelsen, MITRE-tilordninger, kategorier og koblinger til rå logger, og
  • En tabell for virkemåterelaterte enheter , som viser alle enheter som er involvert i virkemåten og rollene deres.

Disse tabellene integreres sømløst med eksisterende arbeidsflyter for gjenkjenningsregler, undersøkelser og hendelsesanalyser. De behandler alle typer sikkerhetsaktivitet– ikke bare mistenkelige hendelser – og gir omfattende innsyn i både normale og uregelmessige atferdsmønstre.

Hvis du vil ha informasjon om hvordan du bruker virkemåtetabeller, kan du se Anbefalte fremgangsmåter og feilsøkingstips for spørringsvirkemåter.

Viktig

Generative AI driver UEBA Behaviors-laget til å opprette og skalere innsikten den gir. Microsoft utformet behaviors-funksjonen basert på personvern og ansvarlige AI-prinsipper for å sikre gjennomsiktighet og forklaring. Virkemåter introduserer ikke nye samsvarsrisikoer eller ugjennomsiktige «black box»-analyser i SOC. Hvis du vil ha mer informasjon om hvordan kunstig intelligens brukes i denne funksjonen og Microsofts tilnærming til ansvarlig kunstig intelligens, kan du se Vanlige spørsmål om ansvarlig kunstig intelligens for microsoft UEBA-virkemåtelaget.

Brukstilfeller og eksempler

Slik kan analytikere, jegere og deteksjonsingeniører bruke atferd under undersøkelser, jakt og varslingsskaping.

Undersøkelse og hendelsesberikelse

Atferd gir SOC-analytikere umiddelbar klarhet om hva som skjedde rundt et varsel, uten å dreie på tvers av flere rå loggtabeller.

  • Arbeidsflyt uten virkemåte: Analytikere må ofte rekonstruere tidslinjer manuelt ved å spørre hendelsesspesifikke tabeller og sy resultater sammen.

    Eksempel: Et varsel utløses på en mistenkelig AWS-aktivitet. Analytikeren spør tabellen AWSCloudTrail , og pivoterer deretter til brannmurdata for å forstå hva brukeren eller verten gjorde. Dette krever kunnskap om hvert skjema og bremser triage.

  • Arbeidsflyt med virkemåter: UEBA-virkemåtelaget aggregerer automatisk relaterte hendelser til adferdsoppføringer som kan knyttes til en hendelse eller spørres ved behov.

    Eksempel: Et varsel angir mulig legitimasjonseksfiltrering. BehaviorInfo I tabellen ser analytikeren oppførselen Mistenkelig massehemmelig tilgang via AWS IAM av User123 tilordnet MITRE Technique T1552 (usikret legitimasjon). UEBA-virkemåtelaget genererte denne virkemåten ved å aggregere 20 AWS-loggoppføringer. Analytikeren forstår umiddelbart at User123 fikk tilgang til mange hemmeligheter – avgjørende kontekst for å eskalere hendelsen – uten å gå gjennom alle de 20 loggoppføringene manuelt.

Trusseljakt

Atferd gjør det mulig for jegere å søke på TTP-er og aktivitetssammendrag, i stedet for å skrive komplekse sammenføyninger eller normalisere rå logger av seg selv.

  • Arbeidsflyt uten virkemåte: Jakter krever kompleks KQL, tabellkoblinger og kjennskap til alle datakildeformater. Viktig aktivitet kan være begravd i store datasett med lite innebygd sikkerhetskontekst.

    Eksempel: Jakt etter tegn på rekognosering kan kreve skanning AWSCloudTrail hendelser og visse brannmur tilkoblingsmønstre separat. Kontekst eksisterer for det meste i hendelser og varsler, noe som gjør proaktiv jakt vanskeligere.

  • Arbeidsflyt med virkemåter: Atferd normaliseres, berikes og tilordnes MITRE-taktikker og -teknikker. Jegere kan søke etter meningsfulle mønstre uten å være avhengig av hvert kildeskjema.

    En jeger kan filtrere BehaviorInfo-tabellen etter taktikk (Categories), teknikk, tittel eller enhet. Eksempel:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jegere kan også:

    • Identifiser sjeldne virkemåter ved hjelp av count distinct feltet Title .
    • Utforsk en interessant virkemåtetype, identifiser enhetene som er involvert, og undersøk videre.
    • Drill ned til rålogger ved hjelp av BehaviorId kolonnene og AdditionalFields kolonnene, som ofte refererer til de underliggende råloggene.

    Eksempel: En jeger søker etter stealthy legitimasjon tilgang spørringer for atferd med "nummerere legitimasjon" i Title kolonnen. Resultatene returnerer noen få forekomster av «Forsøkt legitimasjonsdump fra Vault av brukeren AdminJoe» (avledet fra CyberArk logger). Selv om varsler ikke ble utløst, er denne virkemåten uvanlig for AdminJoe og ber om videre undersøkelser – noe som er vanskelig å oppdage i detaljerte overvåkingslogger for hvelv.

    Jegere kan også jakte etter:

    • MITRE taktikk:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Teknikk:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Bestemt bruker:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Sjeldne virkemåter (potensielle avvik):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Varsling og automatisering

Virkemåter forenkler regellogikken ved å gi normaliserte signaler av høy kvalitet innebygd kontekst og muliggjøre nye korrelasjonsmuligheter.

  • Arbeidsflyt uten virkemåte: Korrelasjonsregler på tvers av kilder er komplekse fordi hvert loggformat er forskjellig. Regler krever ofte:

    • Normaliseringslogikk
    • Skjemaspesifikke betingelser
    • Flere separate regler
    • Avhengighet av varsler i stedet for rå aktivitet

    Automatisering kan også utløses for ofte hvis det er drevet av hendelser på lavt nivå.

  • Arbeidsflyt med virkemåter: Virkemåter aggregerer allerede relaterte hendelser og inkluderer MITRE-tilordninger, enhetsroller og konsekvente skjemaer, slik at gjenkjenningsteknikere kan opprette enklere og klarere gjenkjenningsregler.

    Eksempel: For å varsle om et potensielt viktig kompromiss og en rettighetsopptrappingssekvens skriver en gjenkjenningsingeniør en gjenkjenningsregel ved hjelp av denne logikken: «Varsle om at en bruker har en virkemåte for oppretting av ny AWS-tilgangsnøkkel», etterfulgt av en «opphøyning av rettigheter i AWS»-atferd innen 1 time.»

    Uten UEBA-atferdslaget ville denne regelen kreve å sy sammen rå AWSCloudTrail hendelser og tolke dem i regellogikken. Med virkemåter er det enkelt og robust å logge skjemaendringer fordi skjemaet er enhetlig.

    Virkemåter fungerer også som pålitelige utløsere for automatisering. I stedet for å opprette varsler for ikke-risikable aktiviteter, kan du bruke virkemåter til å utløse automatisering – for eksempel til å sende en e-postmelding eller starte bekreftelse.

Støttede datakilder og virkemåter

Listen over støttede datakilder og leverandører eller tjenester som sender logger til disse datakildene, utvikler seg. UEBA-virkemåtelaget aggregerer automatisk innsikt for alle støttede leverandører basert på loggene du samler inn.

UEBA-virkemåtelaget fokuserer for øyeblikket på disse ikke-Microsoft-datakildene som tradisjonelt mangler enkel atferdskontekst i Microsoft Sentinel:

Datakilde Støttede leverandører, tjenester og logger Kontakt Virkemåter som støttes
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto Trusler
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Secrets Manager
GCPAuditLogs
  • Admin aktivitetslogger
  • Datatilgangslogger
  • Access-gjennomsiktighetslogger

1CommonSecurityLog kan inneholde logger fra mange leverandører. UEBA-virkemåtelaget genererer bare virkemåter for støttede leverandører og loggtyper. Hvis tabellen mottar logger fra en leverandør som ikke støttes, vil du ikke se noen virkemåte selv om datakilden er koblet til.

Viktig

Du må aktivere disse kildene separat fra andre UEBA-funksjoner. Hvis du for eksempel aktiverte AWSCloudTrail for UEBA-analyser og avvik, må du fortsatt aktivere det separat for virkemåter.

Forutsetninger

Hvis du vil bruke UEBA-virkemåtelaget, trenger du:

Tillatelser kreves

Hvis du vil aktivere og bruke UEBA-virkemåtelaget, trenger du disse tillatelsene:

Brukerhandling Tillatelse kreves
Aktiver virkemåter Sikkerhetsadministratorrollen i Microsoft Entra ID og rollen Microsoft Sentinel bidragsyter i Sentinel arbeidsområde.
Spørringsvirkemåtetabeller
  • Sikkerhetsleser- eller sikkerhetsoperatorrolle i Microsoft Entra ID til å kjøre avanserte jaktspørringer i Defender-portalen.
  • Les tilgang til BehaviorInfo og BehaviorEntities tabellene i Sentinel arbeidsområdet.
  • Les tilgang til kildetabeller for å drille ned til rå hendelser.

Hvis du vil ha mer informasjon om enhetlig RBAC i Defender-portalen, kan du se Microsoft Defender XDR Enhetlig rollebasert tilgangskontroll (RBAC).

Aktiver UEBA-virkemåtelaget

Hvis du vil begynne å aggregere UEBA-virkemåter, må du passe på å koble til minst én støttet datakilde. UEBA-virkemåtelaget aggregerer bare virkemåter når støttede datakilder er koblet til og aktivt sender logger til Analyse-nivået.

Slik aktiverer du UEBA-virkemåtelaget i arbeidsområdet:

  1. Velg Systeminnstillinger >> Microsoft Sentinel > SIEM-arbeidsområder i Defender-portalen.

  2. Velg det Sentinel arbeidsområdet der du vil aktivere UEBA-virkemåtelaget.

  3. Velg Aktiver virkemåteanalyse > Konfigurer UEBA > Ny! Virkemåtelag.

  4. Aktiver/ deaktiver virkemåtelag.

  5. Velg Koble til alle datakilder , eller velg de bestemte datakildene fra listen.

    Hvis du ennå ikke har koblet noen støttede datakilder til Sentinel-arbeidsområdet, velger du Gå til Innholdshub for å finne og koble til de relevante koblingene.

    Skjermbilde som viser siden Aktiver virkemåte i Defender-portalen.

  6. Velg Koble til.

Viktig

Du kan aktivere virkemåter i ett enkelt arbeidsområde i leieren.

Prismodell

Bruk av UEBA-virkemåtelaget resulterer i følgende kostnader:

  • Ingen ekstra lisenskostnad: Virkemåter er inkludert som en del av Microsoft Sentinel. Du trenger ikke separat SKU, UEBA-tillegg eller ekstra lisensiering. Hvis arbeidsområdet er koblet til Sentinel og koblet til Defender-portalen, kan du bruke virkemåter uten ekstra funksjonskostnader.

  • Gebyrer for inntak av loggdata: Poster for virkemåte lagres i SentinelBehaviorInfo og-tabellene SentinelBehaviorEntities i Sentinel arbeidsområdet. Hver virkemåte bidrar til arbeidsområdets datainntaksvolum og faktureres med eksisterende Log Analytics/Sentinel inntaksfrekvens. Virkemåter er additive – de erstatter ikke eksisterende rå logger.

Anbefalte fremgangsmåter og feilsøkingstips for spørringsvirkemåter

Denne delen forklarer hvordan du spør etter virkemåter fra både Defender-portalen og det Sentinel arbeidsområdet. Selv om skjemaene er identiske, varierer dataomfanget:

  • I Defender-portalen inkluderer virkemåtetabellene UEBA-virkemåter og virkemåter fra tilkoblede Defender-tjenester, for eksempel Microsoft Defender for Cloud Apps og Microsoft Defender for Cloud.
  • I det Sentinel arbeidsområdet inkluderer virkemåtetabellene bare UEBA-virkemåter generert fra logger som er inntatt i det bestemte arbeidsområdet.

Denne tabellen viser hvilke virkemåtetabeller som skal brukes i hvert miljø:

Miljø Tabeller som skal brukes Brukstilfeller
Defender Portal - Avansert jakt BehaviorInfo
BehaviorEntities		 Gjenkjenningsregler, hendelsesundersøkelse, trusseljakt i Defender-portalen
Sentinel arbeidsområde SentinelBehaviorInfo
SentinelBehaviorEntities		 Azure overvåke arbeidsbøker, inntaksovervåking, KQL-spørringer i Sentinel arbeidsområde

Hvis du vil ha mer praktiske eksempler på hvordan du bruker virkemåter, kan du se Brukstilfeller og eksempler.

Hvis du vil ha mer informasjon om Kusto Query Language (KQL), kan du se Oversikt over Kusto-spørringsspråk.

  • Filter for UEBA-virkemåter i Defender-portalen

    Tabellene BehaviorInfo inneholder BehaviorEntities alle UEBA-virkemåter og kan også omfatte virkemåter fra Microsoft Defender tjenester.

    Hvis du vil filtrere etter virkemåter fra Microsoft Sentinel UEBA-virkemåtelag, bruker ServiceSource du kolonnen. Eksempel:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Skjermbilde av BehaviorInfo-tabellen filtrert etter ServiceSource-kolonnen til Microsoft Sentinel-verdien.

  • Drill ned fra virkemåter til rålogger

    AdditionalFields Bruk kolonnen i BehaviorInfo, som inneholder referanser til de opprinnelige hendelses-ID-ene SupportingEvidence i feltet.

    Skjermbilde av BehaviorInfo-tabell som viser AdditionalFields-kolonnen med referanser til hendelses-ID-er og SupportingEvidence-feltet for rå loggspørringer.

    Kjør en spørring på SupportingEvidence feltverdien for å finne råloggene som bidro til en virkemåte.

    Skjermbilde som viser en spørring på feltverdien SupportingEvidence og spørringsresultatene som viser råloggene som bidro til en virkemåte.

  • Bli med i BehaviorInfo og BehaviorEntities

    Bruk feltet BehaviorId til å sammenføye BehaviorInfo med BehaviorEntities.

    Eksempel:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dette gir deg hver virkemåte og hver enhet som er involvert i den. Eller AccountUpn identifiseringsinformasjonen for enheten er i BehaviorEntities, mens BehaviorInfo den kan referere til «Bruker» eller «Vert» i teksten.

  • Overvåk datainntak for virkemåte

    Hvis du vil overvåke datainntak for virkemåte, kan du spørre tabellen etter Usage oppføringer relatert til SentinelBehaviorInfo og SentinelBehaviorEntities.

  • Opprette automatiserings-, arbeidsbøker- og gjenkjenningsregler basert på virkemåter

    • BehaviorInfo Bruk tabellen som datakilde for gjenkjenningsregler eller automatiseringsspillebøker i Defender-portalen. Du kan for eksempel opprette en planlagt spørringsregel som utløser når en bestemt virkemåte vises.
    • Hvis du vil ha Azure overvåke arbeidsbøker og eventuelle artefakter som er bygd direkte på Sentinel arbeidsområdet, må du passe på å spørre SentinelBehaviorInfo etter og SentinelBehaviorEntities tabellene i Sentinel arbeidsområdet.

Feilsøking

  • Hvis virkemåter ikke genereres: Sørg for at støttede datakilder aktivt sender logger til analysenivået, bekreft at veksleknappen for datakilden er aktivert, og vent 15–30 minutter etter aktivering.
  • Jeg ser færre virkemåter enn forventet: Vår dekning av støttede virkemåtetyper er delvis og økende. Hvis du vil ha mer informasjon, kan du se støttede datakilder og virkemåter. UEBA-virkemåtelaget kan heller ikke oppdage et virkemåtemønster hvis det finnes svært få forekomster av en bestemt virkemåtetype.
  • Antall virkemåter: Én enkelt virkemåte kan representere titalls eller hundrevis av rå hendelser – dette er utformet for å redusere støy.

Begrensninger

Disse begrensningene gjelder for øyeblikket for UEBA-virkemåtelaget:

  • Du kan aktivere virkemåter på ett enkelt Sentinel arbeidsområde per leier.
  • UEBA-virkemåtelaget genererer virkemåter for et begrenset sett med støttede datakilder og leverandører eller tjenester.
  • UEBA-virkemåtelaget registrerer for øyeblikket ikke alle mulige handlinger eller angrepsteknikker, selv ikke for støttede kilder. Noen hendelser produserer kanskje ikke tilsvarende virkemåter. Ikke anta at fraværet av en virkemåte betyr at det ikke har oppstått noen aktivitet. Se alltid gjennom rå logger hvis du mistenker at noe mangler.
  • Atferd tar sikte på å redusere støy ved å aggregere og sekvensere hendelser, men du kan fortsatt se for mange atferdsposter. Vi tar gjerne imot tilbakemeldinger om spesifikke atferdstyper for å bidra til å forbedre dekning og relevans.
  • Virkemåter er ikke varsler eller avvik. De er nøytrale observasjoner, ikke klassifisert som ondsinnede eller godartede. Tilstedeværelsen av en oppførsel betyr "dette skjedde", ikke "dette er en trussel." Avviksregistrering forblir atskilt i UEBA. Bruk dømmekraft eller kombiner atferd med UEBA-avviksdata for å identifisere bemerkelsesverdige mønstre.
  • Last updated on