Muistiinpano
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää kirjautua sisään tai vaihtaa hakemistoa.
Tämän sivun käyttö edellyttää valtuutusta. Voit yrittää vaihtaa hakemistoa.
Poikkeavien käyttäytymisten havaitseminen organisaatiossa on usein monimutkaista ja aikaa vievää. Microsoft Sentinel UEBA (User and Entity Behavior Analytics) yksinkertaistaa tätä haastetta oppimalla jatkuvasti tiedoistasi esiin merkityksellisiä poikkeavuuksia, jotka auttavat analyytikoita havaitsemaan ja tutkimaan mahdollisia uhkia tehokkaammin.
Tässä artikkelissa kerrotaan, mitä Microsoft Sentinel User and Entity Behavior Analytics (UEBA) on, miten se toimii, miten siihen otetaan perehdytys ja miten UEBA:ta käytetään poikkeamien havaitsemiseen ja tutkimiseen uhkien tunnistamisen ominaisuuksien parantamiseksi.
UEBA:n toiminta
Microsoft Sentinel UEBA luo koneoppimisen avulla dynaamisia käyttäytymisprofiileja käyttäjille, isännille, IP-osoitteille, sovelluksille ja muille entiteeteille. Sen jälkeen se havaitsee poikkeamat vertaamalla nykyistä toimintaa vakiintuneisiin perustasoihin ja auttaa suojausryhmiä tunnistamaan uhkia, kuten vaarantuneita tilejä, sisäpiirihyökkäyksiä ja sivuttaista liikkumista.
Koska Microsoft Sentinel käyttää yhdistettyjen lähteiden tietoja, UEBA soveltaa seuraavia:
- Käyttäytymismallinnus poikkeamien havaitsemiseksi
- Vertaisryhmäanalyysi ja räjähdyssäteen arviointi poikkeavien toimintojen vaikutuksen arvioimiseksi
UEBA määrittää poikkeavien käyttäytymisten riskipisteet ottaen huomioon siihen liittyvät entiteetit, poikkeaman vakavuuden ja kontekstin, mukaan lukien:
- Poikkeamat maantieteellisten sijaintien, laitteiden ja ympäristöjen välillä
- Muutokset ajan ja toimintojen tiheyden aikana entiteetin historialliseen toimintaan verrattuna
- Vertaisryhmiin verrattuna erot
- Poikkeamat koko organisaation toimintamalleista
Tässä kaaviossa näytetään, miten otat UEBA:n käyttöön ja miten UEBA analysoi tietoja ja määrittää riskipisteet tutkimusten priorisointia varten:
Lisätietoja UEBA-taulukoista on kohdassa Poikkeamien tutkiminen UEBA-tietojen avulla.
Lisätietoja siitä, mitä poikkeamia UEBA havaitsee, on artikkelissa Microsoft Sentinel koneoppimismoduulin havaitsemat poikkeamat.
UEBA on integroitu suoraan Microsoft Sentinel ja Microsoft Defender-portaaliin, mikä tarjoaa saumattoman kokemuksen suojaustoimintatiimeille ja upotetuille käyttökokemuksille, jotka parantavat uhkien tutkintaa ja reagointia.
UEBA:n ottaminen käyttöön toimintaprofiilien luomiseksi ja poikkeamien havaitsemiseksi
Jotta voit hyödyntää UEBA:n kehittyneitä uhkien tunnistamisen ominaisuuksia täysimääräisesti, toimi
Ota UEBA käyttöön Microsoft Sentinel ja yhdistä tärkeimmät tietolähteet, kuten Microsoft Entra ID, Defender for Identity ja Office 365. Lisätietoja on kohdassa Entiteetin toiminta-analytiikan käyttöönotto.
Asenna UEBA Essentials -ratkaisu, joka on kokoelma kymmeniä microsoftin tietoturva-asiantuntijoiden kuratoimia ja ylläpitämiä valmiita metsästyskyselyitä. Ratkaisu sisältää usean pilvipalvelun poikkeamien tunnistuskyselyt Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) ja Okta. Ratkaisun asentaminen auttaa sinua aloittamaan nopeasti uhkien metsästyksen ja UEBA-tietojen käytön tutkinnassa sen sijaan, että rakentaisit nämä tunnistustoiminnot tyhjästä.
Lisätietoja Microsoft Sentinel ratkaisujen asentamisesta on artikkelissa Microsoft Sentinel ratkaisujen asentaminen tai päivittäminen.
Integroi UEBA-merkitykselliset tiedot työkirjoihin, tapaustyönkulkuihin ja metsästyskyselyihin, jotta niiden arvo maksimoidaan soc-työnkuluissa.
Poikkeamien tutkiminen UEBA-tietojen avulla
Microsoft Sentinel tallentaa UEBA-merkitykselliset tiedot useisiin taulukoihin, joista jokainen on optimoitu eri tarkoitukseen. Analyytikot korreloivat yleensä näiden taulukoiden tiedot tutkiakseen poikkeavaa käyttäytymistä lopusta loppuun.
Tässä taulukossa on yleiskatsaus kunkin UEBA-taulukon tiedoista:
| Taulukossa | Käyttötarkoitus | Avaimen tiedot |
|---|---|---|
| IdentityInfo | Entiteettien yksityiskohtaiset profiilit (käyttäjät, laitteet, ryhmät) | Luotu Microsoft Entra ID ja valinnaisesti paikallinen Active Directory Microsoft Defender for Identity kautta. Tämä on tärkeää käyttäjän toiminnan ymmärtämiseksi. |
| BehaviorAnalytics | Täydennettyjä käyttäytymistietoja maantieteellisillä toiminnoilla ja uhkien älykkyydellä | Sisältää poikkeamia perusaikataulusta priorisointituloksilla. Tiedot riippuvat käytössä olevista liittimistä (Entra ID, AWS, GCP, Okta ja niin edelleen). |
| UserPeerAnalytics | Dynaamisesti lasketut vertaisryhmät käyttäytymisen perusaikatauluja varten | Sijoittuu 20 parhaan vertaisryhmän joukkoon käyttöoikeusryhmän jäsenyyden, postitusluetteloiden ja muiden kytkentöjen perusteella. Käyttää TF-IDF -algoritmia (asiakirjan käänteinen käänteinen tiheys) -algoritmia (pienillä ryhmillä on suurempi painoarvo). |
| Poikkeavuuksia | Poikkeaviksi tunnistetut tapahtumat | Tukee tunnistamisen ja tutkimisen työnkulkuja. |
| SentinelBehaviorInfo | Yhteenveto raakalokeissa tunnistetuista toiminnoista | Kääntää raakasuojauslokit jäsennettyihin "who did what to whom" -yhteenvetoihin luonnollisen kielen selityksillä ja MITRE ATT -&CK-määrityksiin. |
| SentinelBehavior Entiteetit | Tunnistettuihin toimintoihin osallistuvien entiteettien profiilit | Tietoja tunnistetuissa toimissa mukana olleista entiteeteistä , kuten tiedostoista, prosesseista, laitteista ja käyttäjistä. |
Huomautus
UEBA-toimintakerros on erillinen ominaisuus, jonka voit ottaa käyttöön UEBA:sta riippumatta. - SentinelBehaviorInfo ja SentinelBehaviorEntities -taulukot luodaan työtilassasi vain, jos otat toimintakerroksen käyttöön.
Tässä näyttökuvassa UserPeerAnalytics on esimerkki taulukon tiedoista, joissa on kahdeksan parhaiten sijoittunutta vertaisryhmää käyttäjä Kendall Collinsille. Sentinel käyttää TF-IDF-algoritmia painojen normalisointiin vertaisarvoja laskettaessa. Pienemmillä ryhmillä on suurempi paino.
Lisätietoja UEBA-tiedoista ja niiden käytöstä on seuraavissa tiedoissa:
- UEBA-viite, joka sisältää yksityiskohtaisen viittauksen kaikkiin UEBA:han liittyviin taulukoihin ja kenttiin.
- Microsoft Sentinel koneoppimismoduulin havaitsemat poikkeamat UEBA:n havaitsemien poikkeamien luettelosta.
UEBA-pisteytys
UEBA tarjoaa kaksi pistettä, joiden avulla tietoturvaryhmät voivat priorisoida tutkimuksia ja havaita poikkeavuudet tehokkaasti:
| Näkökohta | Tutkimuksen prioriteettipisteet | Poikkeamapisteet |
|---|---|---|
| Taulukossa | BehaviorAnalytics |
Anomalies |
| Kenttä | InvestigationPriority |
AnomalyScore |
| Alue | 0–10 (0 = hyvänlaatuinen, 10 = erittäin poikkeava) |
0–1 (0 = hyvänlaatuinen, 1 = erittäin poikkeava) |
| Ilmaisin | Kuinka epätavallinen yksittäinen tapahtuma on profiilipohjaisen logiikan perusteella | Kokonaisvaltainen poikkeavuus useiden koneoppimista käyttävien tapahtumien välillä |
| Käytetään | Nopea triage- ja porautuminen yksittäisiin tapahtumiin | Mallien ja koostetun poikkeaman tunnistaminen ajan kuluessa |
| Käsittely | Lähes reaaliaikainen, tapahtumataso | Erän käsittely, toimintataso |
| Miten se lasketaan | Yhdistää entiteettipoikkeamien pisteet (käyttäjän, laitteen, maan/alueen kaltaisten entiteettien harvinaisuus) aikasarjatuloksiin (epänormaalit kuviot ajan kuluessa, kuten epäonnistuneiden kirjautumisten piikit). | Tekoälyn/koneoppimisen poikkeamien tunnistin harjoitettu työtilan telemetriatietojen perusteella |
Esimerkiksi kun käyttäjä suorittaa Azure-toiminnon ensimmäistä kertaa:
- Tutkimuksen prioriteettipisteet: Korkea, koska se on ensikertalainen.
- Poikkeamapisteet: Vähäinen, koska satunnaiset ensikertalaistoiminnot Azure ovat yleisiä eivätkä luonnostaan riskialttiita.
Vaikka nämä pisteet palvelevat eri tarkoituksia, voit odottaa korrelaatiota. Korkeat poikkeamat vastaavat usein tutkimuksen suurta prioriteettia, mutta eivät aina. Jokainen pistemäärä tarjoaa yksilöllisiä merkityksellisiä tietoja kerrostunnistuksella.
Upotetun UEBA-kokemuksen käyttäminen Defender-portaalissa
Kun tutkimuskaavioissa ja käyttäjäsivuilla on poikkeamia ja analyytikot kehottavat analyytikoita sisällyttämään poikkeamatietoja metsästyskyselyihin, UEBA helpottaa uhkien nopeampaa havaitsemista, älykkäämpää priorisointia ja tehokkaampaa tapausten käsittelyä.
Tässä osiossa esitellään UEBA Microsoft Defender portaalissa käytettävissä olevat tärkeimmät UEBA-analyytikkokokemukset.
UEBA-aloitussivun pienoissovellus
Defender-portaalin aloitussivu sisältää UEBA-pienoissovelluksen, jossa analyytikot voivat välittömästi tarkastella poikkeavaa käyttäjän toimintaa ja siten nopeuttaa uhkien tunnistamisen työnkulkuja. Jos vuokraajaa ei ole vielä otettu käyttöön UEBA:ssa, tämä pienoissovellus tarjoaa myös suojauksen järjestelmänvalvojille nopean pääsyn perehdytysprosessiin.
UEBA-merkitykselliset tiedot käyttäjätutkimuksissa
Analyytikot voivat nopeasti arvioida käyttäjäriskin käyttämällä sivupaneeleissa näkyvää UEBA-kontekstia ja Defender-portaalin kaikkien käyttäjäsivujen Yleiskatsaus-välilehteä. Kun epätavallinen käyttäytyminen havaitaan, portaali merkitsee automaattisesti käyttäjät, joilla on UEBA-poikkeamia , jotka auttavat priorisoimaan tutkimuksia viimeaikaisen toiminnan perusteella. Lisätietoja on kohdassa käyttäjän entiteettisivu Microsoft Defender.
Jokaisella käyttäjäsivulla on UEBA:n parhaat poikkeamat -osio, joka näyttää kolme ylintä poikkeamaa viimeisten 30 päivän ajalta sekä suorat linkit valmiisiin poikkeamien kyselyihin ja Sentinel tapahtumien aikajanan syvällisempää analyysia varten.
Sisäiset käyttäjän poikkeamakyselyt tapaustutkimuksissa
Tapaustutkimusten aikana analyytikot voivat käynnistää sisäisiä kyselyjä suoraan Defender-portaalin tapahtumakaavioista, jotta he voivat hakea kaikki tapaukseen liittyvät käyttäjäpoikkeamat.
Lisätietoja on artikkelissa Tapausten tutkiminen Microsoft Defender portaalissa.
Kehittyneiden metsästyskyselyiden ja mukautettujen tunnistusten rikastaminen UEBA-tiedoilla
Kun analyytikot kirjoittavat kehittyneen metsästyksen tai mukautetun tunnistuksen kyselyjä UEBA:han liittyvien taulukoiden avulla, Microsoft Defender portaali näyttää bannerin, joka kehottaa heitä liittymään Poikkeamat-taulukkoon. Tämä täydentää tutkimuksia käyttäytymiseen merkityksellisillä tiedoilla ja vahvistaa yleistä analyysia.
Lisätietoja on seuraavissa artikkeleissa:
- Etsiä ennakoivasti uhkia kehittyneellä metsästyksellä Microsoft Defender.
- KQL-liitosoperaattori.
- UEBA-tietolähteet.
- Microsoft Sentinel koneoppimismoduulin havaitsemat poikkeamat.
Koostekäyttäytymisen merkitykselliset tiedot UEBA-käyttäytymiskerroksen avulla
Vaikka UEBA luo perusprofiileja poikkeavien toimintojen havaitsemiseksi, uusi UEBA-käyttäytyminen kokoaa liittyvät tapahtumat suuren volyymin raakasuojauslokeista selkeisiin, jäsenneltyihin ja merkityksellisiin käyttäytymisiin, jotka selittävät yhdellä silmäyksellä, kuka teki mitä kenellekin.
Toimintakerros täydentää raakalokeja seuraavasti:
- Luonnollisen kielen selitykset , jotka tekevät monimutkaisista toiminnoista heti ymmärrettäviä
- MITRE ATT&CK-kartoitukset, jotka kohdistavat käyttäytymisen tunnettuihin taktiikoihin ja tekniikoihin
- Entiteettiroolin tunnistaminen , joka selventää asiaan liittyviä toimijoita ja tavoitteita
Muuttamalla pirstoutuneet lokit johdonmukaiseksi käyttäytymisobjektiksi, käyttäytyminenkerros nopeuttaa uhkien metsästystä, yksinkertaistaa tunnistamisen luontia ja tarjoaa monipuolisemman kontekstin UEBA-poikkeamien tunnistamiselle. Yhdessä nämä ominaisuudet auttavat analyytikoita ymmärtämään nopeasti, että tapahtui jotain poikkeavaa, mutta myös sitä, mitä tapahtui ja miksi sillä on merkitystä.
Lisätietoja on artikkelissa Raakasuojauslokien kääntäminen käyttäytymistietoihin UEBA-käyttäytymisen avulla Microsoft Sentinel.
Hinnoittelumalli
UEBA sisältyy Microsoft Sentinel ilman lisämaksua. UEBA-tiedot tallennetaan Log Analytics -taulukoihin, ja ne noudattavat Microsoft Sentinel vakiohinnoittelua. Lisätietoja on artikkelissa Microsoft Sentinel hinnoittelu.
Seuraavat vaiheet
Käytännön ohjeita UEBA:n toteutuksesta ja käytöstä on seuraavissa aiheissa:
- Ota entiteetin toiminta-analytiikka käyttöön Microsoft Sentinel.
- Tutki UEBA-tietoihin liittyviä tapauksia.
- Luettelo UEBA-moduulin havaitsemista UEBA-poikkeamista .
- UEBA-viite.
- Etsi turvallisuusuhkia.
Lisätietoja koulutusresursseista: