Übersetzen von unformatierten Sicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhaltensweisen in Microsoft Sentinel

Die Verhaltensschicht "User and Entity Behavior Analytics" (UEBA) in Microsoft Sentinel aggregiert und fasst unformatierte Protokolle mit großem Volumen in klaren, klarsprachigen Mustern von Sicherheitsaktionen zusammen und erklärt, "wer was mit wem getan hat" auf strukturierte Weise.

Im Gegensatz zu Warnungen oder Anomalien weisen Verhaltensweisen nicht unbedingt auf Risiken hin– sie erstellen eine Abstraktionsebene, die Ihre Daten für Untersuchungen, Suche und Erkennung optimiert, indem sie Folgendes verbessern:

  • Effizienz: Reduzieren Sie die Untersuchungszeit, indem Sie verwandte Ereignisse in zusammenhängende Geschichten zusammenfügen.
  • Clarity: Übersetzen Sie verrauschte Protokolle auf niedriger Ebene in klarsprachige Zusammenfassungen.
  • Kontext: Fügen Sie MITRE ATT&CK-Zuordnungs- und Entitätsrollen für sofortige Sicherheitsrelevanz hinzu.
  • Konsistenz: Stellen Sie ein einheitliches Schema für verschiedene Protokollquellen bereit.

Diese Abstraktionsebene ermöglicht eine schnellere Bedrohungserkennung, -untersuchung und -reaktion in Ihren Sicherheitsvorgängen, ohne dass sie mit jeder Protokollquelle vertraut sind.

In diesem Artikel wird erläutert, wie die UEBA-Verhaltensebene funktioniert, wie die Verhaltensschicht aktiviert wird und wie Sie Verhalten verwenden, um Sicherheitsvorgänge zu verbessern.

Sehen Sie sich das Webinar zu UEBA-Verhalten an, um eine vollständige Übersicht und Demo der UEBA-Verhaltensebene zu erhalten.

Funktionsweise der UEBA-Verhaltensschicht

Verhaltensweisen sind Teil der UEBA-Funktionen (User and Entity Behavior Analytics) von Microsoft Sentinel und bieten normalisierte, kontextbezogene Aktivitätszusammenfassungen, die die Anomalieerkennung ergänzen und Untersuchungen bereichern.

Vergleichen von Verhaltensweisen, Anomalien und Warnungen

Diese Tabelle zeigt, wie sich Verhalten von Anomalien und Warnungen unterscheiden:

Funktion Was es darstellt Zweck
Anomalien Muster, die von etablierten Baselines abweichen Hervorheben ungewöhnlicher oder verdächtiger Aktivitäten
Benachrichtigungen Signalisieren eines potenziellen Sicherheitsproblems, das Aufmerksamkeit erfordert Auslösen von Workflows zur Reaktion auf Vorfälle
Behaviors Neutrale, strukturierte Zusammenfassungen der Aktivität – normal oder ungewöhnlich – basierend auf Zeitfenstern oder Triggern, angereichert mit MITRE ATT&CK-Zuordnungen und Entitätsrollen Bereitstellen von Kontext und Klarheit für Untersuchungen, Hunting und Erkennung

Verhaltenstypen und Datensätze

Wenn Sie die UEBA-Verhaltensschicht aktivieren, verarbeitet Microsoft Sentinel unterstützte Sicherheitsprotokolle, die Sie nahezu in Echtzeit in Ihrem Sentinel Arbeitsbereich sammeln, und fasst zwei Arten von Verhaltensmustern zusammen:

Verhaltenstyp Beschreibung Beispiele Anwendungsfall
Aggregierte Verhaltensweisen Erkennen von volumebasierten Mustern durch Sammeln verwandter Ereignisse in Zeitfenstern
  • Benutzer hat in einer Stunde auf mehr als 50 Ressourcen zugegriffen
  • Anmeldeversuche von mehr als 10 verschiedenen IP-Adressen
 Konvertieren Sie Protokolle mit hohem Volumen in umsetzbare Sicherheitserkenntnisse. Dieser Verhaltenstyp zeichnet sich durch die Identifizierung ungewöhnlicher Aktivitätsebenen aus.
Sequenziertes Verhalten Identifizieren von mehrstufigen Mustern oder komplexen Angriffsketten, die beim Betrachten einzelner Ereignisse nicht offensichtlich sind Zugriffsschlüssel, der aus neuen ip-privilegierten API-Aufrufen > erstellt wurde > Erkennen komplexer Angriffssequenzen und mehrstufiger Bedrohungen.

Die UEBA-Verhaltensebene fasst Verhaltensweisen in maßgeschneiderten Zeitintervallen zusammen, die für die logik jedes Verhaltens spezifisch sind, und erstellt Verhaltensdatensätze sofort, wenn Muster identifiziert werden oder wenn die Zeitfenster geschlossen werden.

Jeder Verhaltensdatensatz enthält Folgendes:

  • Eine einfache, kontextbezogene Beschreibung: Eine Erklärung in natürlicher Sprache, was in sicherheitsrelevanten Begriffen passiert ist - zum Beispiel, wer was mit wem gemacht hat und warum es wichtig ist.
  • Einheitliches Schema und Verweise auf die zugrunde liegenden Rohprotokolle: Alle Verhaltensweisen verwenden eine konsistente Datenstruktur für verschiedene Produkte und Protokolltypen, sodass Analysten keine unterschiedlichen Protokollformate übersetzen oder Tabellen mit hohem Volumen verknüpfen müssen.
  • MITRE ATT&CK-Zuordnung: Jedes Verhalten ist mit relevanten MITRE-Taktiken und -Techniken gekennzeichnet, sodass branchenüblicher Kontext auf einen Blick bereitgestellt wird. Sie sehen nicht nur, was passiert ist, sondern auch, wie es in ein Angriffsframework oder Zeitleiste passt.
  • Entitätsbeziehungszuordnung: Jedes Verhalten identifiziert die beteiligten Entitäten (Benutzer, Hosts, IP-Adressen) und deren Rollen (Akteur, Ziel oder andere).

Die Abstraktionsebene für Verhaltensweisen

Dieses Diagramm veranschaulicht, wie die UEBA-Verhaltensebene unformatierte Protokolle in strukturierte Verhaltensdatensätze transformiert, die die Sicherheitsvorgänge verbessern:

Diagramm, das zeigt, wie die UEBA-Verhaltensebene unformatierte Protokolle in strukturierte Verhaltensdatensätze transformiert, die sicherheitsrelevante Vorgänge verbessern.

Verhaltensspeicher und -tabellen

Die UEBA-Verhaltensschicht speichert Verhaltensdatensätze in zwei Arten von Tabellen:

  • Eine Verhaltensinformationstabelle , die den Verhaltenstitel, die Beschreibung, MITRE-Zuordnungen, Kategorien und Links zu unformatierten Protokollen enthält, und
  • Eine Verhaltensbezogene Entitätstabelle , in der alle am Verhalten beteiligten Entitäten und ihre Rollen aufgelistet sind.

Diese Tabellen lassen sich nahtlos in Ihre vorhandenen Workflows für Erkennungsregeln, Untersuchungen und Incidentanalysen integrieren. Sie verarbeiten alle Arten von Sicherheitsaktivitäten – nicht nur verdächtige Ereignisse – und bieten einen umfassenden Einblick in normale und anomale Verhaltensmuster.

Informationen zur Verwendung von Verhaltenstabellen finden Sie unter Bewährte Methoden und Tipps zur Problembehandlung für Abfrageverhalten.

Wichtig

Generative KI unterstützt die UEBA-Verhaltensebene, um die von ihr bereitgestellten Erkenntnisse zu erstellen und zu skalieren. Microsoft hat die Verhaltensfunktion basierend auf Datenschutz- und verantwortungsvollen KI-Prinzipien entworfen, um Transparenz und Erklärbarkeit sicherzustellen. Verhaltensweisen führen nicht zu neuen Compliancerisiken oder undurchsichtigen "Blackbox"-Analysen in Ihr SOC. Ausführliche Informationen zur Anwendung von KI in diesem Feature und zum Microsoft-Ansatz für verantwortungsvolle KI finden Sie unter Häufig gestellte Fragen zur verantwortungsvollen KI für die Microsoft UEBA-Verhaltensebene.

Anwendungsfälle und Beispiele

Hier erfahren Sie, wie Analysten, Jäger und Erkennungstechniker Verhaltensweisen bei Untersuchungen, Der Suche und der Erstellung von Warnungen verwenden können.

Untersuchung und Incidentanreicherung

Verhaltensweisen geben SOC-Analysten sofortige Klarheit darüber, was um eine Warnung herum passiert ist, ohne sich über mehrere rohe Protokolltabellen hinweg zu pivotieren.

  • Workflow ohne Verhalten: Analysten müssen Zeitachsen häufig manuell rekonstruieren, indem sie ereignisspezifische Tabellen abfragen und Ergebnisse zusammenfügen.

    Beispiel: Eine Warnung wird bei einer verdächtigen AWS-Aktivität ausgelöst. Der Analyst fragt die AWSCloudTrail Tabelle ab und pivotiert dann zu Firewalldaten, um zu verstehen, was der Benutzer oder Host getan hat. Dies erfordert Kenntnisse der einzelnen Schemas und verlangsamt die Selektierung.

  • Workflow mit Verhalten: Die UEBA-Verhaltensebene aggregiert verwandte Ereignisse automatisch zu Verhaltenseinträgen, die an einen Incident angefügt oder bei Bedarf abgefragt werden können.

    Beispiel: Eine Warnung weist auf eine mögliche Exfiltration von Anmeldeinformationen hin. In der BehaviorInfo Tabelle sieht der Analyst das Verhalten Verdächtiger Massenzugriff auf Geheimnisse über AWS IAM von User123 , das MITRE-Technik T1552 (Unsecured Credentials) zugeordnet ist. Die UEBA-Verhaltensschicht hat dieses Verhalten durch Aggregieren von 20 AWS-Protokolleinträgen generiert. Der Analyst versteht sofort, dass User123 auf viele Geheimnisse zugegriffen hat – ein entscheidender Kontext, um den Incident zu eskalieren – ohne alle 20 Protokolleinträge manuell zu überprüfen.

Bedrohungssuche

Verhaltensweisen ermöglichen es Jägern, nach TTPs und Aktivitätszusammenfassungen zu suchen, anstatt komplexe Joins zu schreiben oder rohe Protokolle selbst zu normalisieren.

  • Workflow ohne Verhalten: Hunts erfordern komplexe KQL, Tabellenjoins und Vertrautheit mit jedem Datenquellenformat. Wichtige Aktivitäten können in großen Datasets mit wenig integriertem Sicherheitskontext verborgen werden.

    Beispiel: Die Suche nach Anzeichen von Reconnaissance kann eine separate Überprüfung AWSCloudTrail von Ereignissen und bestimmten Firewallverbindungsmustern erfordern. Der Kontext ist hauptsächlich in Incidents und Warnungen vorhanden, was die proaktive Suche erschwert.

  • Workflow mit Verhalten: Verhaltensweisen werden normalisiert, angereichert und den MITRE-Taktiken und -Techniken zugeordnet. Jäger können nach aussagekräftigen Mustern suchen, ohne vom Schema der einzelnen Quellen abhängig zu sein.

    Ein Jäger kann die BehaviorInfo-Tabelle nach Taktik (Categories), Technik, Titel oder Entität filtern. Zum Beispiel:

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Jäger können auch:

    • Identifizieren Sie seltene Verhaltensweisen mithilfe count distinct von auf dem Title Feld.
    • Untersuchen Sie einen interessanten Verhaltenstyp, identifizieren Sie die beteiligten Entitäten, und untersuchen Sie es weiter.
    • Führen Sie einen Drilldown zu rohen Protokollen mithilfe der BehaviorId Spalten und AdditionalFields aus, die häufig auf die zugrunde liegenden rohen Protokolle verweisen.

    Beispiel: Ein Jäger sucht nach heimlichen Anmeldeinformationen-Zugriffsabfragen für Verhaltensweisen mit "Anmeldeinformationen aufzählen" in der Title Spalte. Die Ergebnisse geben einige Instanzen von "Versuchter Speicherabbild von Anmeldeinformationen aus tresor by user AdminJoe" (abgeleitet aus CyberArk Protokollen) zurück. Obwohl keine Warnungen ausgelöst wurden, ist dieses Verhalten für AdminJoe ungewöhnlich und fordert weitere Untersuchungen auf, was in ausführlichen Tresorüberwachungsprotokollen schwer zu erkennen ist.

    Jäger können auch jagen durch:

    • MITRE-Taktik:

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Technik:

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Spezifischer Benutzer:

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Seltene Verhaltensweisen (potenzielle Anomalien):

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Warnungen und Automatisierung

Verhaltensweisen vereinfachen die Regellogik, indem sie normalisierte, hochwertige Signale mit integriertem Kontext bereitstellen und neue Korrelationsmöglichkeiten ermöglichen.

  • Workflow ohne Verhalten: Quellübergreifende Korrelationsregeln sind komplex, da jedes Protokollformat anders ist. Regeln erfordern häufig Folgendes:

    • Normalisierungslogik
    • Schemaspezifische Bedingungen
    • Mehrere separate Regeln
    • Abhängigkeit von Warnungen anstelle von rohen Aktivitäten

    Automatisierung kann auch zu häufig ausgelöst werden, wenn sie von Ereignissen auf niedriger Ebene gesteuert wird.

  • Workflow mit Verhalten: Verhaltensweisen aggregieren bereits verwandte Ereignisse und umfassen MITRE-Zuordnungen, Entitätsrollen und konsistente Schemas, sodass Erkennungstechniker einfachere, klarere Erkennungsregeln erstellen können.

    Beispiel: Ein Erkennungstechniker schreibt eine Erkennungsregel mit dieser Logik: "Warnung, wenn ein Benutzer das Verhalten "Erstellung eines neuen AWS-Zugriffsschlüssels" aufweist, gefolgt von einem "Rechteerweiterungsverhalten in AWS" innerhalb von 1 Stunde."

    Ohne die UEBA-Verhaltensschicht würde diese Regel das Zusammenfügen von Rohereignissen AWSCloudTrail und deren Interpretation in der Regellogik erfordern. Mit Verhaltensweisen ist es einfach und resilient gegenüber Protokollschemaänderungen, da das Schema vereinheitlicht ist.

    Verhaltensweisen dienen auch als zuverlässige Trigger für die Automatisierung. Anstatt Warnungen für nicht riskante Aktivitäten zu erstellen, verwenden Sie Verhaltensweisen, um die Automatisierung auszulösen, z. B. um eine E-Mail zu senden oder die Überprüfung zu initiieren.

Unterstützte Datenquellen und Verhaltensweisen

Die Liste der unterstützten Datenquellen und Anbieter oder Dienste, die Protokolle an diese Datenquellen senden, wird ständig weiterentwickelt. Die UEBA-Verhaltensebene aggregiert automatisch Erkenntnisse für alle unterstützten Anbieter basierend auf den von Ihnen erfassten Protokollen.

Die UEBA-Verhaltensschicht konzentriert sich derzeit auf diese nicht von Microsoft stammenden Datenquellen, denen in Microsoft Sentinel traditionell kein einfacher Verhaltenskontext fehlt:

Datenquelle Unterstützte Anbieter, Dienste und Protokolle Connector Unterstützte Verhaltensweisen
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto Bedrohungen
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Geheimnis-Manager
GCPAuditLogs
  • Admin-Aktivitätsprotokolle
  • Datenzugriffsprotokolle
  • Zugreifen auf Transparenzprotokolle

1CommonSecurityLog kann Protokolle von vielen Anbietern enthalten. Die UEBA-Verhaltensebene generiert nur Verhalten für unterstützte Anbieter und Protokolltypen. Wenn die Tabelle Protokolle von einem nicht unterstützten Anbieter empfängt, werden keine Verhaltensweisen angezeigt, obwohl die Datenquelle verbunden ist.

Wichtig

Sie müssen diese Quellen getrennt von anderen UEBA-Funktionen aktivieren. Wenn Sie beispielsweise AWSCloudTrail für UEBA-Analysen und -Anomalien aktiviert haben, müssen Sie es trotzdem separat für Verhaltensweisen aktivieren.

Voraussetzungen

Um die UEBA-Verhaltensschicht verwenden zu können, benötigen Sie Folgendes:

Erforderliche Berechtigungen

Zum Aktivieren und Verwenden der UEBA-Verhaltensebene benötigen Sie die folgenden Berechtigungen:

Benutzeraktion Erforderliche Berechtigung
Aktivieren von Verhaltensweisen Mindestens die Rolle "Sicherheitsadministrator" in Microsoft Entra ID und die Rolle "mitwirkender Microsoft Sentinel" in Ihrem Sentinel Arbeitsbereich.
Tabellen mit Abfrageverhalten
  • Die Rolle "Sicherheitsleseberechtigter" oder "Sicherheitsoperator" in Microsoft Entra ID zum Ausführen von Abfragen für die erweiterte Suche im Defender-Portal.
  • Lesezugriff auf die BehaviorInfo Tabellen und BehaviorEntities in Ihrem Sentinel Arbeitsbereich.
  • Lesezugriff auf Quelltabellen, um einen Drilldown zu Unformatierten Ereignissen auszuführen.

Weitere Informationen zur einheitlichen rollenbasierten Zugriffssteuerung (RBAC) im Defender-Portal finden Sie unter Microsoft Defender XDR Einheitliche rollenbasierte Zugriffssteuerung (RBAC).

Aktivieren der UEBA-Verhaltensebene

Stellen Sie sicher, dass Sie mindestens eine unterstützte Datenquelle verbinden, um mit dem Aggregieren von UEBA-Verhalten zu beginnen. Die UEBA-Verhaltensschicht aggregiert Verhaltensweisen nur, wenn unterstützte Datenquellen verbunden sind und Protokolle aktiv an den Analytics-Tarif senden.

So aktivieren Sie die UEBA-Verhaltensebene in Ihrem Arbeitsbereich:

  1. Wählen Sie im Defender-Portal die Option Systemeinstellungen >> Microsoft Sentinel > SIEM-Arbeitsbereiche aus.

  2. Wählen Sie den Sentinel Arbeitsbereich aus, in dem Sie die UEBA-Verhaltensebene aktivieren möchten.

  3. Wählen Sie Verhaltensanalysen > aktivieren UEBA > neu konfigurieren aus. Verhaltensschicht.

  4. Schalten Sie die Ebene "Verhalten aktivieren" ein.

  5. Wählen Sie Alle Datenquellen verbinden aus, oder wählen Sie die spezifischen Datenquellen aus der Liste aus.

    Wenn Sie noch keine unterstützten Datenquellen mit Ihrem Sentinel Arbeitsbereich verbunden haben, wählen Sie Zum Inhaltshub wechseln aus, um die relevanten Connectors zu suchen und zu verbinden.

    Screenshot: Seite der Ebene

  6. Wählen Sie Verbinden aus.

Wichtig

Sie können derzeit Verhaltensweisen in einem einzelnen Arbeitsbereich in Ihrem Mandanten aktivieren.

Preismodell

Die Verwendung der UEBA-Verhaltensschicht führt zu den folgenden Kosten:

  • Keine zusätzlichen Lizenzkosten: Verhaltensweisen sind teil von Microsoft Sentinel. Sie benötigen keine separate SKU, kein UEBA-Add-On oder keine zusätzliche Lizenzierung. Wenn Ihr Arbeitsbereich mit Sentinel verbunden und in das Defender-Portal integriert ist, können Sie Verhaltensweisen ohne zusätzliche Featurekosten verwenden.

  • Gebühren für die Erfassung von Protokolldaten: Verhaltensdatensätze werden in den SentinelBehaviorInfo Tabellen und SentinelBehaviorEntities in Ihrem Sentinel Arbeitsbereich gespeichert. Jedes Verhalten trägt zum Datenerfassungsvolumen Ihres Arbeitsbereichs bei und wird zu Ihrer vorhandenen Log Analytics/Sentinel Erfassungsrate abgerechnet. Verhalten sind additiv und ersetzen nicht Ihre vorhandenen rohen Protokolle.

Bewährte Methoden und Tipps zur Problembehandlung für Abfrageverhalten

In diesem Abschnitt wird erläutert, wie Sie Verhaltensweisen sowohl über das Defender-Portal als auch über Ihren Sentinel Arbeitsbereich abfragen. Während die Schemas identisch sind, unterscheidet sich der Datenbereich:

  • Im Defender-Portal enthalten die Verhaltenstabellen UEBA-Verhaltensweisen und -Verhaltensweisen von verbundenen Defender-Diensten, z. B. Microsoft Defender for Cloud Apps und Microsoft Defender für Cloud.
  • Im Sentinel Arbeitsbereich enthalten die Verhaltenstabellen nur UEBA-Verhaltensweisen, die aus Protokollen generiert werden, die in diesem bestimmten Arbeitsbereich erfasst wurden.

Diese Tabelle zeigt, welche Verhaltenstabellen in den einzelnen Umgebungen verwendet werden sollen:

Umgebung Zu verwendende Tabellen Anwendungsfälle
Defender-Portal: Erweiterte Suche BehaviorInfo
BehaviorEntities		 Erkennungsregeln, Untersuchung von Vorfällen, Bedrohungssuche im Defender-Portal
Sentinel Arbeitsbereich SentinelBehaviorInfo
SentinelBehaviorEntities		 Azure Überwachen von Arbeitsmappen, Erfassungsüberwachung, KQL-Abfragen in Sentinel Arbeitsbereich

Weitere praktische Beispiele für die Verwendung von Verhaltensweisen finden Sie unter Anwendungsfälle und Beispiele.

Weitere Informationen zu Kusto-Abfragesprache (KQL) finden Sie unter Übersicht über die Kusto-Abfragesprache.

  • Filtern nach UEBA-Verhalten im Defender-Portal

    Die BehaviorInfo Tabellen und BehaviorEntities enthalten alle UEBA-Verhaltensweisen und können auch Verhaltensweisen von Microsoft Defender-Diensten enthalten.

    Verwenden Sie die ServiceSource -Spalte, um nach Verhalten aus der Microsoft Sentinel UEBA-Verhaltensebene zu filtern. Zum Beispiel:

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Screenshot: Tabelle

  • Drilldown von Verhalten zu rohen Protokollen

    Verwenden Sie die AdditionalFields Spalte in BehaviorInfo, die Verweise auf die ursprünglichen Ereignis-IDs im SupportingEvidence Feld enthält.

    Screenshot der BehaviorInfo-Tabelle mit der Spalte AdditionalFields mit Verweisen auf Ereignis-IDs und dem Feld SupportingEvidence für unformatierte Protokollabfragen.

    Führen Sie eine Abfrage für den SupportingEvidence Feldwert aus, um die unformatierten Protokolle zu finden, die zu einem Verhalten beigetragen haben.

    Screenshot: Abfrage des Feldwerts

  • Join BehaviorInfo und BehaviorEntities

    Verwenden Sie das BehaviorId -Feld, um mit BehaviorEntitieszu verbindenBehaviorInfo.

    Zum Beispiel:

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Dadurch erhalten Sie jedes Verhalten und jede daran beteiligte Entität. Die AccountUpn oder die identifizierenden Informationen für die Entität befinden sich in BehaviorEntities, während BehaviorInfo im Text möglicherweise auf "Benutzer" oder "Host" verwiesen wird.

  • Überwachen der Verhaltensdatenerfassung

    Um die Verhaltensdatenerfassung zu SentinelBehaviorInfo überwachen, fragen Sie die Usage Tabelle nach Einträgen im Zusammenhang mit und SentinelBehaviorEntitiesab.

  • Erstellen von Automatisierungs-, Arbeitsmappen- und Erkennungsregeln basierend auf Verhaltensweisen

    • Verwenden Sie die BehaviorInfo Tabelle als Datenquelle für Erkennungsregeln oder Automatisierungsplaybooks im Defender-Portal. Erstellen Sie beispielsweise eine geplante Abfrageregel, die ausgelöst wird, wenn ein bestimmtes Verhalten angezeigt wird.
    • Stellen Sie für Azure Überwachen von Arbeitsmappen und allen Artefakten, die direkt in Ihrem Sentinel Arbeitsbereich erstellt wurden, sicher, dass Sie die SentinelBehaviorInfo Tabellen und SentinelBehaviorEntities in Ihrem Sentinel Arbeitsbereich abfragen.

Problembehandlung

  • Wenn keine Verhaltensweisen generiert werden: Stellen Sie sicher, dass unterstützte Datenquellen aktiv Protokolle an den Analytics-Tarif senden, vergewissern Sie sich, dass der Datenquellenschalter aktiviert ist, und warten Sie nach der Aktivierung 15 bis 30 Minuten.
  • Ich sehe weniger Verhaltensweisen als erwartet: Unsere Abdeckung unterstützter Verhaltenstypen ist teilweise und wächst. Weitere Informationen finden Sie unter Unterstützte Datenquellen und Verhaltensweisen. Die UEBA-Verhaltensschicht kann möglicherweise auch kein Verhaltensmuster erkennen, wenn nur sehr wenige Instanzen eines bestimmten Verhaltenstyps vorhanden sind.
  • Verhaltensanzahl: Ein einzelnes Verhalten kann Dutzende oder Hunderte von unformatierten Ereignissen darstellen – dies wurde entwickelt, um Rauschen zu reduzieren.

Begrenzungen

Diese Einschränkungen gelten derzeit für die UEBA-Verhaltensschicht:

  • Sie können Verhaltensweisen für einen einzelnen Sentinel Arbeitsbereich pro Mandant aktivieren.
  • Die UEBA-Verhaltensschicht generiert Verhaltensweisen für eine begrenzte Anzahl unterstützter Datenquellen und Anbieter oder Dienste.
  • Die UEBA-Verhaltensebene erfasst derzeit nicht jede mögliche Aktion oder Angriffstechnik, auch nicht für unterstützte Quellen. Einige Ereignisse erzeugen möglicherweise kein entsprechendes Verhalten. Gehen Sie nicht davon aus, dass das Fehlen eines Verhaltens bedeutet, dass keine Aktivität aufgetreten ist. Überprüfen Sie immer unformatierte Protokolle, wenn Sie vermuten, dass etwas fehlt.
  • Verhalten zielen darauf ab, Rauschen durch Aggregieren und Sequenzieren von Ereignissen zu reduzieren, aber möglicherweise werden immer noch zu viele Verhaltensdatensätze angezeigt. Wir freuen uns über Ihr Feedback zu bestimmten Verhaltenstypen, um die Abdeckung und Relevanz zu verbessern.
  • Verhaltensweisen sind keine Warnungen oder Anomalien. Es handelt sich um neutrale Beobachtungen, die nicht als böswillig oder gutartig eingestuft werden. Das Vorhandensein eines Verhaltens bedeutet "dies ist passiert", nicht "dies ist eine Bedrohung". Die Anomalieerkennung bleibt in UEBA getrennt. Verwenden Sie Beurteilungsverhalten, oder kombinieren Sie Verhaltensweisen mit UEBA-Anomaliedaten, um beachtenswerte Muster zu identifizieren.
  • Last updated on