Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Das Erkennen von anomalem Verhalten innerhalb eines organization ist häufig komplex und zeitaufwändig. Microsoft Sentinel User and Entity Behavior Analytics (UEBA) vereinfacht diese Herausforderung, indem kontinuierlich aus Ihren Daten gelernt wird, um aussagekräftige Anomalien aufzudecken, die Analysten dabei unterstützen, potenzielle Bedrohungen effektiver zu erkennen und zu untersuchen.
In diesem Artikel wird erläutert, was Microsoft Sentinel User and Entity Behavior Analytics (UEBA) ist, wie sie funktioniert, wie sie integriert wird und wie Sie UEBA verwenden, um Anomalien zu erkennen und zu untersuchen, um Ihre Funktionen zur Bedrohungserkennung zu verbessern.
Funktionsweise von UEBA
Microsoft Sentinel UEBA verwendet maschinelles Lernen, um dynamische Verhaltensprofile für Benutzer, Hosts, IP-Adressen, Anwendungen und andere Entitäten zu erstellen. Anschließend werden Anomalien erkannt, indem die aktuelle Aktivität mit etablierten Baselines verglichen wird, sodass Sicherheitsteams Bedrohungen wie kompromittierte Konten, Insiderangriffe und Lateral Movement identifizieren können.
Da Microsoft Sentinel Daten aus verbundenen Quellen erfasst, gilt UEBA:
- Verhaltensmodellierung zum Erkennen von Abweichungen
- Analyse von Peergruppen und Auswertung des Strahlradius zur Bewertung der Auswirkungen von anomalen Aktivitäten
UEBA weist anomale Verhaltensweisen Risikobewertungen zu, wobei die zugeordneten Entitäten, der Schweregrad der Anomalie und der Kontext berücksichtigt werden, einschließlich:
- Abweichungen zwischen geografischen Standorten, Geräten und Umgebungen
- Änderungen im Laufe der Zeit und aktivitätshäufigkeit im Vergleich zum historischen Verhalten der Entität
- Unterschiede im Vergleich zu Peergruppen
- Abweichungen von organization Verhaltensmustern
Dieses Diagramm zeigt, wie Sie UEBA aktivieren und wie UEBA Daten analysiert und Risikobewertungen zuweist, um Untersuchungen zu priorisieren:
Weitere Informationen zu UEBA-Tabellen finden Sie unter Untersuchen von Anomalien mithilfe von UEBA-Daten.
Weitere Informationen dazu, welche Anomalien von der UEBA erkannt werden, finden Sie unter Anomalien, die von der Microsoft Sentinel Machine Learning-Engine erkannt wurden.
UEBA ist nativ in Microsoft Sentinel und das Microsoft Defender-Portal integriert und bietet eine nahtlose Erfahrung für Sicherheitsteams und eingebettete Umgebungen, die die Untersuchung und Reaktion auf Bedrohungen verbessern.
Aktivieren von UEBA zum Erstellen von Verhaltensprofilen und Erkennen von Anomalien
So profitieren Sie von den erweiterten UEBA-Funktionen zur Bedrohungserkennung:
Aktivieren Sie UEBA in Microsoft Sentinel und verbinden Sie wichtige Datenquellen wie Microsoft Entra ID, Defender for Identity und Office 365. Weitere Informationen finden Sie unter Aktivieren von Entitätsverhaltensanalysen.
Installieren Sie die UEBA Essentials-Lösung, eine Sammlung von Dutzenden vordefinierter Huntingabfragen, die von Microsoft-Sicherheitsexperten zusammengestellt und verwaltet werden. Die Lösung umfasst Multi-Cloud-Anomalieerkennungsabfragen für Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) und Okta. Durch die Installation der Lösung können Sie schnell mit der Bedrohungssuche und Untersuchungen mithilfe von UEBA-Daten beginnen, anstatt diese Erkennungsfunktionen von Grund auf neu zu erstellen.
Informationen zum Installieren Microsoft Sentinel Lösungen finden Sie unter Installieren oder Aktualisieren Microsoft Sentinel Lösungen.
Integrieren Sie UEBA-Erkenntnisse in Arbeitsmappen, Incidentworkflows und Hunting-Abfragen, um deren Nutzen für Ihre SOC-Workflows zu maximieren.
Untersuchen von Anomalien mithilfe von UEBA-Daten
Microsoft Sentinel speichert UEBA-Erkenntnisse über mehrere Tabellen hinweg, die jeweils für einen anderen Zweck optimiert sind. Analysten korrelieren Daten in der Regel in diesen Tabellen, um anomales Verhalten end-to-end zu untersuchen.
Diese Tabelle enthält eine Übersicht über die Daten in den einzelnen UEBA-Tabellen:
| Tabelle | Zweck | Wichtige Details |
|---|---|---|
| IdentityInfo | Detaillierte Profile von Entitäten (Benutzer, Geräte, Gruppen) | Erstellt aus Microsoft Entra ID und optional lokales Active Directory bis Microsoft Defender for Identity. Wichtig für das Verständnis des Benutzerverhaltens. |
| BehaviorAnalytics | Angereicherte Verhaltensdaten mit Geolocation und Threat Intelligence | Enthält Abweichungen von der Baseline mit Priorisierungsbewertungen. Daten hängen von aktivierten Connectors (Entra-ID, AWS, GCP, Okta usw.) ab. |
| UserPeerAnalytics | Dynamisch berechnete Peergruppen für Verhaltensbaselines | Bewertet die 20 besten Peers basierend auf der Mitgliedschaft in Sicherheitsgruppen, Mailinglisten und anderen Zuordnungen. Verwendet den TF-IDF-Algorithmus (Term frequency–inverse document frequency) (kleinere Gruppen haben eine höhere Gewichtung). |
| Anomalien | Ereignisse, die als anormale Ereignisse identifiziert werden | Unterstützt Erkennungs- und Untersuchungsworkflows. |
| SentinelBehaviorInfo | Zusammenfassung der in rohen Protokollen identifizierten Verhaltensweisen | Übersetzt unformatierte Sicherheitsprotokolle in strukturierte "Wer hat was mit wem gemacht"-Zusammenfassungen mit Erklärungen in natürlicher Sprache und MITRE ATT&CK-Zuordnungen. |
| SentinelBehaviorEntities | Profile von Entitäten, die an identifizierten Verhaltensweisen beteiligt sind | Informationen zu Entitäten wie Dateien, Prozessen, Geräten und Benutzern, die an erkannten Verhaltensweisen beteiligt sind. |
Hinweis
Die UEBA-Verhaltensschicht ist eine separate Funktion, die Sie unabhängig von UEBA aktivieren. Die SentinelBehaviorInfo Tabellen und SentinelBehaviorEntities werden nur in Ihrem Arbeitsbereich erstellt, wenn Sie die Verhaltensebene aktivieren.
Dieser Screenshot zeigt ein Beispiel für Daten in der UserPeerAnalytics Tabelle mit den acht Peers mit dem höchsten Rang für den Benutzer Kendall Collins. Sentinel verwendet den TF-IDF-Algorithmus, um Gewichtungen bei der Berechnung von Peer-Rängen zu normalisieren. Kleinere Gruppen haben ein höheres Gewicht.
Ausführlichere Informationen zu UEBA-Daten und deren Verwendung finden Sie unter:
- UEBA-Referenz für eine ausführliche Referenz zu allen UEBA-bezogenen Tabellen und Feldern.
- Vom Microsoft Sentinel Machine Learning-Engine erkannte Anomalien für eine Liste von Anomalien, die UEBA erkennt.
UEBA-Bewertung
UEBA bietet zwei Bewertungen, mit denen Sicherheitsteams Untersuchungen priorisieren und Anomalien effektiv erkennen können:
| Aspekt | Bewertung der Untersuchungspriorität | Anomaliebewertung |
|---|---|---|
| Table | BehaviorAnalytics |
Anomalies |
| Field | InvestigationPriority |
AnomalyScore |
| Range | 0–10 (0 = gutartig, 10 = hochgradig anomale) |
0–1 (0 = gutartig, 1 = hochgradig anomale) |
| Indikator für | Wie ungewöhnlich ein einzelnes Ereignis ist, basierend auf profilgesteuerter Logik | Ganzheitliches anomales Verhalten über mehrere Ereignisse hinweg mithilfe von Machine Learning |
| Verwendet für | Schnelle Selektierung und Drilldown in einzelne Ereignisse | Identifizieren von Mustern und aggregierten Anomalien im Laufe der Zeit |
| Verarbeitung | Nahezu in Echtzeit auf Ereignisebene | Batchverarbeitung, Verhaltensebene |
| Berechnungsweise | Kombiniert entitätsanomale Bewertung (Seltenheit von Entitäten wie Benutzer, Gerät, Land/Region) mit Zeitreihenbewertung (ungewöhnliche Muster im Laufe der Zeit, z. B. Spitzen bei fehlerhaften Anmeldungen). | KI/ML-Anomalieerkennung, die mit den Telemetriedaten Ihres Arbeitsbereichs trainiert wurde |
Wenn ein Benutzer beispielsweise zum ersten Mal einen Azure Vorgang ausführt:
- Bewertung der Untersuchungspriorität: Hoch, da es sich um ein erstmaliges Ereignis handelt.
- Anomaliebewertung: Niedrig, da gelegentliche erste Azure Aktionen häufig und nicht grundsätzlich riskant sind.
Obwohl diese Bewertungen unterschiedlichen Zwecken dienen, können Sie eine gewisse Korrelation erwarten. Hohe Anomaliebewertungen entsprechen häufig einer hohen Untersuchungspriorität, aber nicht immer. Jede Bewertung bietet eindeutige Erkenntnisse für die mehrstufige Erkennung.
Verwenden eingebetteter UEBA-Umgebungen im Defender-Portal
Durch das Auftreten von Anomalien in Untersuchungsdiagrammen und Benutzerseiten und die Aufforderung von Analysten, Anomaliedaten in Hunting-Abfragen zu integrieren, ermöglicht UEBA eine schnellere Bedrohungserkennung, eine intelligentere Priorisierung und eine effizientere Reaktion auf Vorfälle.
In diesem Abschnitt werden die wichtigsten UEBA-Analystenerfahrungen beschrieben, die im Microsoft Defender-Portal verfügbar sind.
UEBA-Startseitenwidget
Die Startseite des Defender-Portals enthält ein UEBA-Widget, in dem Analysten sofort Einblick in anomales Benutzerverhalten haben und daher Workflows zur Bedrohungserkennung beschleunigen. Wenn der Mandant noch nicht in UEBA integriert wurde, bietet dieses Widget auch Sicherheitsadministratoren schnellen Zugriff auf den Onboardingprozess.
UEBA-Erkenntnisse in Benutzeruntersuchungen
Analysten können das Benutzerrisiko schnell bewerten, indem sie den UEBA-Kontext verwenden, der in den Seitenbereichen und auf der Registerkarte Übersicht auf allen Benutzerseiten im Defender-Portal angezeigt wird. Wenn ungewöhnliches Verhalten erkannt wird, markiert das Portal Benutzer automatisch mit UEBA-Anomalien , um Untersuchungen basierend auf aktuellen Aktivitäten zu priorisieren. Weitere Informationen finden Sie unter Benutzerentitätsseite in Microsoft Defender.
Jede Benutzerseite enthält einen Abschnitt Top-UEBA-Anomalien, in dem die drei wichtigsten Anomalien der letzten 30 Tage sowie direkte Links zu vordefinierten Anomalieabfragen und den Sentinel Ereignissen angezeigt werden, die für eine tiefere Analyse Zeitleiste.
Integrierte Benutzeranomalieabfragen in Incidentuntersuchungen
Bei Incidentuntersuchungen können Analysten integrierte Abfragen direkt aus Incidentdiagrammen im Defender-Portal starten, um alle Benutzeranomalien im Zusammenhang mit dem Fall abzurufen.
Weitere Informationen finden Sie unter Untersuchen von Incidents im Microsoft Defender-Portal.
Erweiterte Suchabfragen und benutzerdefinierte Erkennungen mit UEBA-Daten anreichern
Wenn Analysten Erweiterte Suche oder benutzerdefinierte Erkennungsabfragen mithilfe von UEBA-bezogenen Tabellen schreiben, zeigt das Microsoft Defender-Portal ein Banner an, das sie auffordert, die Tabelle Anomalien zu verknüpfen. Dies bereichert Untersuchungen mit Verhaltenserkenntnissen und stärkt die Gesamtanalyse.
Weitere Informationen finden Sie unter:
- Proaktive Suche nach Bedrohungen mit erweiterter Suche in Microsoft Defender.
- KQL-Joinoperator.
- UEBA-Datenquellen.
- Von der Microsoft Sentinel Machine Learning-Engine erkannte Anomalien.
Aggregieren von Verhaltenserkenntnissen mit der UEBA-Verhaltensebene
Während UEBA Baselineprofile erstellt, um anomale Aktivitäten zu erkennen, aggregiert die neue UEBA-Verhaltensschicht verwandte Ereignisse aus großvolumigen rohen Sicherheitsprotokollen zu klaren, strukturierten und aussagekräftigen Verhaltensweisen, die auf einen Blick erklären, "wer was mit wem getan hat".
Die Verhaltensschicht reichert rohe Protokolle mit Folgendem an:
- Erklärungen in natürlicher Sprache , die komplexe Aktivitäten sofort verständlich machen
- MITRE ATT&CK-Zuordnungen , die Das Verhalten an bekannten Taktiken und Techniken ausrichten
- Identifizierung der Entitätsrolle , die die beteiligten Akteure und Ziele verdeutlicht
Durch die Konvertierung fragmentierter Protokolle in kohärente Verhaltensobjekte beschleunigt die Verhaltensebene die Bedrohungssuche, vereinfacht die Erkennungserstellung und bietet einen umfassenderen Kontext für die UEBA-Anomalieerkennung. Zusammen helfen diese Funktionen Analysten dabei, nicht nur zu verstehen , dass etwas anomales passiert ist, sondern auch, was passiert ist und warum es wichtig ist.
Weitere Informationen finden Sie unter Übersetzen von unformatierten Sicherheitsprotokollen in Verhaltenserkenntnisse mithilfe von UEBA-Verhalten in Microsoft Sentinel.
Preismodell
UEBA ist in Microsoft Sentinel ohne zusätzliche Kosten enthalten. UEBA-Daten werden in Log Analytics-Tabellen gespeichert und entsprechen den Standardpreisen Microsoft Sentinel. Weitere Informationen finden Sie unter Microsoft Sentinel Preise.
Nächste Schritte
Praktische Anleitungen zur Implementierung und Verwendung von UEBA finden Sie unter:
- Aktivieren Sie die Analyse des Entitätsverhaltens in Microsoft Sentinel.
- Untersuchen sie Vorfälle mit UEBA-Daten.
- Liste der von der UEBA-Engine erkannten UEBA-Anomalien .
- UEBA-Referenz.
- Suchen nach Sicherheitsbedrohungen.
Schulungsressourcen finden Sie unter: