Översätt råa säkerhetsloggar till beteendeinsikter med UEBA-beteenden i Microsoft Sentinel

Beteendeskiktet användar- och entitetsbeteendeanalys (UEBA) i Microsoft Sentinel aggregerar och sammanfattar råloggar med stora volymer i tydliga, språkbaserade mönster för säkerhetsåtgärder och förklarar "vem som gjorde vad mot vem" på ett strukturerat sätt.

Till skillnad från aviseringar eller avvikelser indikerar beteenden inte nödvändigtvis risk – de skapar ett abstraktionslager som optimerar dina data för undersökningar, jakt och identifiering genom att förbättra:

  • Effektivitet: Minska undersökningstiden genom att sammanfoga relaterade händelser i sammanhängande berättelser.
  • Clarity: Översätt bullriga loggar på låg nivå till enkla sammanfattningar.
  • Kontext: Lägg till MITRE ATT&CK-mappning och entitetsroller för omedelbar säkerhetsrelevans.
  • Konsekvens: Ge ett enhetligt schema över olika loggkällor.

Det här abstraktionsskiktet möjliggör snabbare hotidentifiering, undersökning och svar i dina säkerhetsåtgärder, utan att du behöver känna till alla loggkällor.

Den här artikeln förklarar hur UEBA-beteendeskiktet fungerar, hur du aktiverar beteendeskiktet och hur du använder beteenden för att förbättra säkerhetsåtgärder.

Titta på webbseminariet för UEBA-beteenden för en fullständig översikt och demonstration av UEBA-beteendelagret.

Så här fungerar UEBA-beteendeskiktet

Beteenden är en del av Microsoft Sentinel funktioner för användar- och entitetsbeteendeanalys (UEBA) som ger normaliserade, kontextualiserade aktivitetssammanfattningar som kompletterar avvikelseidentifiering och berikar undersökningar.

Jämföra beteenden, avvikelser och aviseringar

Den här tabellen visar hur beteenden skiljer sig från avvikelser och aviseringar:

Funktion Vad den representerar Syfte
Anomalier Mönster som avviker från etablerade baslinjer Markera ovanlig eller misstänkt aktivitet
Varningar Signalera ett potentiellt säkerhetsproblem som kräver uppmärksamhet Utlösa arbetsflöden för incidenthantering
Beteenden Neutrala, strukturerade sammanfattningar av aktivitet – normala eller onormala – baserat på tidsfönster eller utlösare, berikade med MITRE ATT-&CK-mappningar och entitetsroller Ge kontext och klarhet för undersökningar, jakt och identifiering

Beteendetyper och poster

När du aktiverar UEBA-beteendeskiktet Microsoft Sentinel processer som stöds säkerhetsloggar som du samlar in i din Sentinel arbetsyta nästan i realtid och sammanfattar två typer av beteendemönster:

Beteendetyp Beskrivning Exempel Användningsfall
Aggregerade beteenden Identifiera volymbaserade mönster genom att samla in relaterade händelser över tidsfönster
  • Användare har använt över 50 resurser på en timme
  • Inloggningsförsök från över 10 olika IP-adresser
 Konvertera loggar med stora volymer till användbara säkerhetsinsikter. Den här beteendetypen utmärker sig när du identifierar ovanliga aktivitetsnivåer.
Sekvenserade beteenden Identifiera flerstegsmönster eller komplexa attackkedjor som inte är uppenbara när du tittar på enskilda händelser Åtkomstnyckel som skapats > med nya IP-privilegierade API-anrop > Identifiera avancerade attacksekvenser och hot i flera steg.

UEBA-beteendelagret sammanfattar beteenden med skräddarsydda tidsintervall som är specifika för varje beteendes logik och skapar beteendeposter omedelbart när det identifierar mönster eller när tidsfönstren stängs.

Varje beteendepost innehåller:

  • En enkel, sammanhangsberoende beskrivning: En förklaring på naturligt språk av vad som hände i säkerhetsreleverliga termer – till exempel vem som gjorde vad mot vem och varför det spelar roll.
  • Enhetligt schema och referenser till underliggande rådataloggar: Alla beteenden använder en konsekvent datastruktur för olika produkter och loggtyper, så analytiker behöver inte översätta olika loggformat eller ansluta till högvolymtabeller.
  • MITRE ATT&CK-mappning: Varje beteende märks med relevanta MITRE-taktiker och -tekniker, vilket ger branschstandardkontext i korthet. Du ser inte bara vad som hände, utan även hur det passar in i ett ramverk eller en tidslinje för attacker.
  • Mappning av entitetsrelation: Varje beteende identifierar berörda entiteter (användare, värdar, IP-adresser) och deras roller (aktör, mål eller annat).

Abstraktionsskiktet för beteenden

Det här diagrammet illustrerar hur UEBA-beteendeskiktet omvandlar rådataloggar till strukturerade beteendeposter som förbättrar säkerhetsåtgärder:

Diagram som visar hur UEBA-beteendeskiktet omvandlar rådataloggar till strukturerade beteendeposter som förbättrar säkerhetsåtgärder.

Beteendelagring och tabeller

UEBA-beteendeskiktet lagrar beteendeposter i två typer av tabeller:

  • En tabell med beteendeinformation som innehåller beteenderubrik, beskrivning, MITRE-mappningar, kategorier och länkar till rådataloggar och
  • En tabell med beteenderelaterade entiteter som visar en lista över alla entiteter som är involverade i beteendet och deras roller.

Dessa tabeller integreras sömlöst med dina befintliga arbetsflöden för identifieringsregler, undersökningar och incidentanalys. De bearbetar alla typer av säkerhetsaktiviteter, inte bara misstänkta händelser, och ger omfattande insyn i både normala och avvikande beteendemönster.

Information om hur du använder beteendetabeller finns i Metodtips och felsökningstips för frågebeteenden.

Viktigt

Generativ AI driver UEBA Behaviors-lagret för att skapa och skala de insikter som det ger. Microsoft har utformat funktionen Beteenden baserat på sekretess och ansvarsfulla AI-principer för att säkerställa transparens och förklaring. Beteenden introducerar inte nya efterlevnadsrisker eller täckande "black box"-analys i din SOC. Mer information om hur AI tillämpas i den här funktionen och Microsofts metod för ansvarsfull AI finns i Vanliga frågor och svar om ansvarsfull AI för Microsoft UEBA-beteendeskiktet.

Användningsfall och exempel

Så här kan analytiker, jägare och identifieringstekniker använda beteenden under undersökningar, jakt och skapande av aviseringar.

Undersöknings- och incidentberikning

Beteenden ger SOC-analytiker omedelbar klarhet om vad som hände runt en avisering, utan att pivotera över flera råloggtabeller.

  • Arbetsflöde utan beteenden: Analytiker behöver ofta rekonstruera tidslinjer manuellt genom att fråga händelsespecifika tabeller och sammanfoga resultat.

    Exempel: En avisering utlöses på en misstänkt AWS-aktivitet. Analytikern frågar tabellen AWSCloudTrail och pivoter sedan till brandväggsdata för att förstå vad användaren eller värden gjorde. Detta kräver kunskap om varje schema och gör prioriteringen långsammare.

  • Arbetsflöde med beteenden: UEBA-beteendelagret aggregerar automatiskt relaterade händelser i beteendeposter som kan kopplas till en incident eller efterfrågas på begäran.

    Exempel: En avisering anger möjlig exfiltrering av autentiseringsuppgifter. I tabellen BehaviorInfo ser analytikern beteendet Misstänkt masshemlighetsåtkomst via AWS IAM från User123 som mappats till MITRE-teknik T1552 (oskyddade autentiseringsuppgifter). UEBA-beteendelagret genererade det här beteendet genom att aggregera 20 AWS-loggposter. Analytikern förstår omedelbart att User123 har använt många hemligheter – avgörande kontext för att eskalera incidenten – utan att manuellt granska alla 20 loggposter.

Hotjakt

Med beteenden kan jägare söka efter TTP:er och aktivitetssammanfattningar, i stället för att skriva komplexa kopplingar eller normalisera råloggar själva.

  • Arbetsflöde utan beteenden: Jakt kräver komplex KQL, tabellkopplingar och kunskap om alla datakällformat. Viktig aktivitet kan vara begravd i stora datauppsättningar med lite inbyggd säkerhetskontext.

    Exempel: Jakt efter tecken på rekognosering kan kräva genomsökningshändelser AWSCloudTrailoch vissa brandväggsanslutningsmönster separat. Kontexten finns främst i incidenter och aviseringar, vilket gör proaktiv jakt svårare.

  • Arbetsflöde med beteenden: Beteenden normaliseras, berikas och mappas till MITRE-taktiker och -tekniker. Jägare kan söka efter meningsfulla mönster utan att behöva beroende på varje källas schema.

    En jägare kan filtrera tabellen BehaviorInfo efter taktik (Categories), teknik, rubrik eller entitet. Till exempel:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jägare kan också:

    • Identifiera sällsynta beteenden med hjälp av count distinctTitle fältet.
    • Utforska en intressant beteendetyp, identifiera de entiteter som är inblandade och undersöka vidare.
    • Öka detaljnivån till rådataloggar med kolumnerna BehaviorId och AdditionalFields , som ofta refererar till de underliggande rådataloggarna.

    Exempel: En jägare som söker efter dolda åtkomstfrågor för autentiseringsuppgifter för beteenden med "räkna upp autentiseringsuppgifter" i Title kolumnen. Resultaten returnerar några instanser av "Dump för försök till autentiseringsuppgifter från valv av användaren AdminJoe" (härledd från CyberArk loggar). Även om aviseringar inte utlöstes är det här beteendet ovanligt för AdminJoe och uppmanar till ytterligare undersökning – något som är svårt att identifiera i utförliga valvgranskningsloggar.

    Jägare kan också jaga genom att:

    • MITRE-taktik:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Teknik:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Specifik användare:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Sällsynta beteenden (potentiella avvikelser):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Aviseringar och automatisering

Beteenden förenklar regellogik genom att tillhandahålla normaliserade signaler av hög kvalitet med inbyggd kontext och möjliggöra nya korrelationsmöjligheter.

  • Arbetsflöde utan beteenden: Korrelationsregler mellan källor är komplexa eftersom varje loggformat skiljer sig åt. Regler kräver ofta:

    • Normaliseringslogik
    • Schemaspecifika villkor
    • Flera separata regler
    • Beroende av aviseringar i stället för rå aktivitet

    Automation kan också utlösas för ofta om det drivs av händelser på låg nivå.

  • Arbetsflöde med beteenden: Beteenden aggregerar redan relaterade händelser och inkluderar MITRE-mappningar, entitetsroller och konsekventa scheman, så att identifieringstekniker kan skapa enklare och tydligare identifieringsregler.

    Exempel: Om du vill varna om en potentiell nyckelkomprometterings- och behörighetseskaleringssekvens skriver en identifieringstekniker en identifieringsregel med hjälp av den här logiken: "Avisera om en användare har beteendet "Skapa ny AWS-åtkomstnyckel" följt av beteendet "Utökade privilegier i AWS" inom en timme.

    Utan UEBA-beteendeskiktet kräver den här regeln att råhändelser AWSCloudTrail sammanfogas och tolkas i regellogik. Med beteenden är det enkelt och motståndskraftigt att logga schemaändringar eftersom schemat är enhetligt.

    Beteenden fungerar också som tillförlitliga utlösare för automatisering. I stället för att skapa aviseringar för icke-riskfyllda aktiviteter använder du beteenden för att utlösa automatisering – till exempel för att skicka ett e-postmeddelande eller initiera verifiering.

Datakällor och beteenden som stöds

Listan över datakällor som stöds och leverantörer eller tjänster som skickar loggar till dessa datakällor utvecklas. UEBA-beteendelagret aggregerar automatiskt insikter för alla leverantörer som stöds baserat på de loggar som du samlar in.

UEBA-beteendelagret fokuserar för närvarande på dessa datakällor som inte kommer från Microsoft och som traditionellt saknar enkel beteendekontext i Microsoft Sentinel:

Datakälla Leverantörer, tjänster och loggar som stöds Kontakt Beteenden som stöds
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto Threats
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Secrets Manager
GCPAuditLogs
  • Admin aktivitetsloggar
  • Dataåtkomstloggar
  • Åtkomst till transparensloggar

1CommonSecurityLog kan innehålla loggar från många leverantörer. UEBA-beteendelagret genererar bara beteenden för leverantörer och loggtyper som stöds. Om tabellen tar emot loggar från en leverantör som inte stöds visas inga beteenden trots att datakällan är ansluten.

Viktigt

Du måste aktivera dessa källor separat från andra UEBA-funktioner. Om du till exempel har aktiverat AWSCloudTrail för UEBA-analys och avvikelser måste du fortfarande aktivera det separat för beteenden.

Förhandskrav

Om du vill använda UEBA-beteendeskiktet behöver du:

Behörigheter som krävs

Om du vill aktivera och använda UEBA-beteendeskiktet behöver du följande behörigheter:

Användaråtgärd Behörighet krävs
Aktivera beteenden Säkerhetsadministratörsrollen i Microsoft Entra ID och rollen Microsoft Sentinel deltagare i din Sentinel arbetsyta.
Tabeller för frågebeteenden
  • Säkerhetsläsare eller säkerhetsoperatörsroll i Microsoft Entra ID för att köra avancerade jaktfrågor i Defender-portalen.
  • Läs åtkomst till tabellerna BehaviorInfo och BehaviorEntities i din Sentinel arbetsyta.
  • Läs åtkomst till källtabeller för att öka detaljnivån till råhändelser.

Mer information om enhetlig RBAC i Defender-portalen finns i Microsoft Defender XDR enhetlig rollbaserad åtkomstkontroll (RBAC).

Aktivera UEBA-beteendeskiktet

Om du vill börja aggregera UEBA-beteenden måste du ansluta minst en datakälla som stöds. UEBA-beteendeskiktet aggregerar endast beteenden när datakällor som stöds är anslutna och aktivt skickar loggar till Analytics-nivån.

Så här aktiverar du UEBA-beteendeskiktet på din arbetsyta:

  1. I Defender-portalen väljer du Systeminställningar >> Microsoft Sentinel > SIEM-arbetsytor.

  2. Välj den Sentinel arbetsyta där du vill aktivera UEBA-beteendeskiktet.

  3. Välj Aktivera beteendeanalys > Konfigurera UEBA > New! Beteendelager.

  4. Växla på skiktet Aktivera beteenden.

  5. Välj Anslut alla datakällor eller välj de specifika datakällorna i listan.

    Om du ännu inte har anslutit några datakällor som stöds till din Sentinel arbetsyta väljer du Gå till innehållshubben för att hitta och ansluta relevanta anslutningsappar.

    Skärmbild som visar sidan Aktivera beteendelager i Defender-portalen.

  6. Välj Anslut.

Viktigt

Du kan för närvarande aktivera beteenden på en enda arbetsyta i din klientorganisation.

Prismodell

Användning av UEBA-beteendeskiktet resulterar i följande kostnader:

  • Ingen extra licenskostnad: Beteenden ingår som en del av Microsoft Sentinel. Du behöver inte någon separat SKU, UEBA-tillägg eller ytterligare licensiering. Om din arbetsyta är ansluten till Sentinel och registreras i Defender-portalen kan du använda beteenden utan extra funktionskostnad.

  • Avgifter för loggdatainmatning: Beteendeposter lagras i tabellerna SentinelBehaviorInfo och SentinelBehaviorEntities på din Sentinel arbetsyta. Varje beteende bidrar till arbetsytans datainmatningsvolym och debiteras enligt din befintliga Log Analytics/Sentinel inmatningshastighet. Beteenden är additiva – de ersätter inte dina befintliga råloggar.

Metodtips och felsökningstips för frågebeteenden

Det här avsnittet beskriver hur du frågar efter beteenden från både Defender-portalen och din Sentinel arbetsyta. Även om schemana är identiska skiljer sig dataomfånget åt:

  • I Defender-portalen innehåller beteendetabellerna UEBA-beteenden och beteenden från anslutna Defender-tjänster, till exempel Microsoft Defender for Cloud Apps och Microsoft Defender för molnet.
  • I Sentinel arbetsytan innehåller beteendetabellerna endast UEBA-beteenden som genereras från loggar som matas in på den specifika arbetsytan.

Den här tabellen visar vilka beteendetabeller som ska användas i varje miljö:

Miljö Tabeller som ska användas Användningsfall
Defender-portalen – Avancerad jakt BehaviorInfo
BehaviorEntities		 Identifieringsregler, incidentundersökning, hotjakt i Defender-portalen
Sentinel arbetsyta SentinelBehaviorInfo
SentinelBehaviorEntiteter		 Azure Övervaka arbetsböcker, inmatningsövervakning, KQL-frågor i Sentinel arbetsyta

Mer praktiska exempel på hur du använder beteenden finns i Användningsfall och exempel.

Mer information om Kusto-frågespråk (KQL) finns i Översikt över Kusto-frågespråk.

  • Filtrera efter UEBA-beteenden i Defender-portalen

    Tabellerna BehaviorInfo och BehaviorEntities innehåller alla UEBA-beteenden och kan även innehålla beteenden från Microsoft Defender tjänster.

    Om du vill filtrera efter beteenden från Microsoft Sentinel UEBA-beteendelager använder du ServiceSource kolumnen . Till exempel:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Skärmbild av tabellen BehaviorInfo filtrerad efter kolumnen ServiceSource till värdet Microsoft Sentinel.

  • Öka detaljnivån från beteenden till rådataloggar

    AdditionalFields Använd kolumnen i BehaviorInfo, som innehåller referenser till de ursprungliga händelse-ID:na i fältetSupportingEvidence.

    Skärmbild av tabellen BehaviorInfo som visar kolumnen AdditionalFields med referenser till händelse-ID:t och fältet SupportingEvidence för rådataloggfrågor.

    Kör en fråga på SupportingEvidence fältvärdet för att hitta de rådataloggar som bidrog till ett beteende.

    Skärmbild som visar en fråga i fältet SupportingEvidence och frågeresultatet som visar de rådataloggar som har bidragit till ett beteende.

  • Gå med i BehaviorInfo och BehaviorEntities

    Använd fältet BehaviorId för att ansluta BehaviorInfoBehaviorEntitiestill .

    Till exempel:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Detta ger dig varje beteende och varje entitet som ingår i det. Eller AccountUpn identifierande information för entiteten finns i BehaviorEntities, medan BehaviorInfo kan referera till "Användare" eller "Värd" i texten.

  • Övervaka beteendedatainmatning

    Om du vill övervaka beteendedatainmatning frågar du tabellen Usage efter poster som är relaterade till SentinelBehaviorInfo och SentinelBehaviorEntities.

  • Skapa automatisering, arbetsböcker och identifieringsregler baserat på beteenden

    • Använd tabellen BehaviorInfo som datakälla för identifieringsregler eller automationsspelböcker i Defender-portalen. Skapa till exempel en schemalagd frågeregel som utlöses när ett specifikt beteende visas.
    • För Azure Övervaka arbetsböcker och artefakter som skapats direkt på din Sentinel-arbetsyta ska du fråga tabellerna SentinelBehaviorInfo och SentinelBehaviorEntities i din Sentinel arbetsyta.

Felsökning

  • Om beteenden inte genereras: Se till att datakällor som stöds aktivt skickar loggar till Analytics-nivån, bekräfta att växlingsknappen för datakällan är aktiverad och vänta 15–30 minuter efter aktiveringen.
  • Jag ser färre beteenden än förväntat: Vår täckning av beteendetyper som stöds är partiell och växer. Mer information finns i Datakällor och beteenden som stöds. UEBA-beteendeskiktet kanske inte heller kan identifiera ett beteendemönster om det finns mycket få instanser av en specifik beteendetyp.
  • Antal beteenden: Ett enskilt beteende kan representera tiotals eller hundratals råhändelser – detta är utformat för att minska bruset.

Begränsningar

Dessa begränsningar gäller för närvarande för UEBA-beteendeskiktet:

  • Du kan aktivera beteenden på en enda Sentinel arbetsyta per klientorganisation.
  • UEBA-beteendelagret genererar beteenden för en begränsad uppsättning datakällor och leverantörer eller tjänster som stöds.
  • UEBA-beteendelagret samlar för närvarande inte in alla möjliga åtgärder eller attacker, inte ens för källor som stöds. Vissa händelser kanske inte genererar motsvarande beteenden. Anta inte att avsaknaden av ett beteende innebär att ingen aktivitet har inträffat. Granska alltid rådataloggar om du misstänker att något saknas.
  • Beteenden syftar till att minska bruset genom att aggregera och sekvensera händelser, men du kan fortfarande se för många beteendeposter. Vi välkomnar din feedback om specifika beteendetyper för att förbättra täckningen och relevansen.
  • Beteenden är inte aviseringar eller avvikelser. Det är neutrala observationer, inte klassificerade som skadliga eller godartade. Förekomsten av ett beteende betyder "det här hände", inte "det här är ett hot". Avvikelseidentifiering förblir separat i UEBA. Använd bedömning eller kombinera beteenden med UEBA-avvikelsedata för att identifiera anmärkningsvärda mönster.
  • Last updated on