Traduire les journaux de sécurité bruts en insights comportementaux à l’aide des comportements UEBA dans Microsoft Sentinel

La couche de comportement UeBA (User and Entity Behavior Analytics) dans Microsoft Sentinel agrège et résume les journaux bruts à volume élevé en modèles clairs et simples d’actions de sécurité, expliquant « qui a fait quoi à qui » de manière structurée.

Contrairement aux alertes ou anomalies, les comportements n’indiquent pas nécessairement un risque : ils créent une couche d’abstraction qui optimise vos données pour les investigations, la chasse et la détection en améliorant :

  • Efficacité : réduisez le temps d’investigation en cousant les événements connexes en récits cohérents.
  • Clarity : traduisez les journaux bruyants de bas niveau en résumés en langage brut.
  • Contexte : ajoutez MITRE ATT&mappage CK et rôles d’entité pour une pertinence de sécurité instantanée.
  • Cohérence : fournissez un schéma unifié entre diverses sources de journaux.

Cette couche d’abstraction permet une détection, une investigation et une réponse plus rapides des menaces dans l’ensemble de vos opérations de sécurité, sans nécessiter une connaissance approfondie de chaque source de journal.

Cet article explique comment fonctionne la couche de comportements UEBA, comment activer la couche de comportements et comment utiliser des comportements pour améliorer les opérations de sécurité.

Regardez le webinaire sur les comportements UEBA pour obtenir une vue d’ensemble complète et une démonstration de la couche de comportements UEBA.

Fonctionnement de la couche de comportements UEBA

Les comportements font partie des fonctionnalités UEBA (User and Entity Behavior Analytics) de Microsoft Sentinel, qui fournissent des résumés d’activité normalisés et contextualisés qui complètent la détection des anomalies et enrichissent les investigations.

Comparer les comportements, les anomalies et les alertes

Ce tableau montre en quoi les comportements diffèrent des anomalies et des alertes :

Fonctionnalité Ce qu’il représente Objectif
Anomalies Modèles qui s’écartent des bases de référence établies Mettre en évidence une activité inhabituelle ou suspecte
Alertes Signaler un problème de sécurité potentiel nécessitant une attention particulière Déclencher des workflows de réponse aux incidents
Behaviors Résumés neutres et structurés de l’activité ( normale ou anormale) basées sur des fenêtres de temps ou des déclencheurs, enrichis de mappages MITRE ATT&CK et de rôles d’entité Fournir un contexte et une clarté pour les enquêtes, la chasse et la détection

Types de comportement et enregistrements

Lorsque vous activez la couche de comportements UEBA, Microsoft Sentinel processus pris en charge les journaux de sécurité que vous collectez dans votre espace de travail Sentinel en quasi-temps réel et résume deux types de modèles de comportement :

Type de comportement Description Exemples Cas d’utilisation
Comportements agrégés Détecter les modèles basés sur les volumes en collectant les événements associés au fil des fenêtres de temps
  • L’utilisateur a accédé à plus de 50 ressources en 1 heure
  • Tentatives de connexion à partir de plus de 10 adresses IP différentes
 Convertissez des journaux à volume élevé en insights de sécurité actionnables. Ce type de comportement excelle à identifier les niveaux d’activité inhabituels.
Comportements séquencés Identifier des modèles à plusieurs étapes ou des chaînes d’attaque complexes qui ne sont pas évidents lorsque vous examinez des événements individuels Clé d’accès créée > utilisée à partir de nouveaux appels d’API avec privilèges IP > Détectez les séquences d’attaques sophistiquées et les menaces multiphases.

La couche comportements UEBA résume les comportements à des intervalles de temps adaptés spécifiques à la logique de chaque comportement, créant des enregistrements de comportement immédiatement lorsqu’elle identifie des modèles ou lorsque les fenêtres de temps se ferment.

Chaque enregistrement de comportement inclut :

  • Une description contextuelle simple : une explication en langage naturel de ce qui s’est passé en termes de sécurité - par exemple, qui a fait quoi pour qui et pourquoi c’est important.
  • Schéma unifié et références aux journaux bruts sous-jacents : tous les comportements utilisent une structure de données cohérente sur différents produits et types de journaux, de sorte que les analystes n’ont pas besoin de traduire différents formats de journal ou de joindre des tables à volume élevé.
  • Mappage MITRE ATT&CK : chaque comportement est marqué avec des tactiques et techniques MITRE pertinentes, fournissant un contexte standard en un coup d’œil. Vous ne voyez pas seulement ce qui s’est passé, mais également comment cela s’intègre dans un framework d’attaque ou chronologie.
  • Mappage des relations d’entité : chaque comportement identifie les entités impliquées (utilisateurs, hôtes, adresses IP) et leurs rôles (acteur, cible ou autre).

Couche d’abstraction des comportements

Ce diagramme illustre la façon dont la couche de comportements UEBA transforme les journaux bruts en enregistrements de comportement structurés qui améliorent les opérations de sécurité :

Diagramme montrant comment la couche de comportements UEBA transforme les journaux bruts en enregistrements de comportement structurés qui améliorent les opérations de sécurité.

Comportement du stockage et des tables

La couche comportements UEBA stocke les enregistrements de comportement dans deux types de tables :

  • Table d’informations sur le comportement , qui contient le titre du comportement, la description, les mappages MITRE, les catégories et les liens vers les journaux bruts, et
  • Table d’entités liées au comportement , qui répertorie toutes les entités impliquées dans le comportement et leurs rôles.

Ces tables s’intègrent en toute transparence à vos workflows existants pour les règles de détection, les enquêtes et l’analyse des incidents. Ils traitent tous les types d’activités de sécurité( pas seulement les événements suspects) et fournissent une visibilité complète des modèles de comportement normaux et anormaux.

Pour plus d’informations sur l’utilisation des tables de comportements, consultez Bonnes pratiques et conseils de dépannage pour interroger les comportements.

Importante

L’IA générative alimente la couche Comportements UEBA pour créer et mettre à l’échelle les insights qu’elle fournit. Microsoft a conçu la fonctionnalité Comportements basée sur les principes de confidentialité et d’IA responsable pour garantir la transparence et l’explicabilité. Les comportements n’introduisent pas de nouveaux risques de conformité ou des analyses opaques de « boîte noire » dans votre SOC. Pour plus d’informations sur la façon dont l’IA est appliquée dans cette fonctionnalité et sur l’approche de Microsoft en matière d’IA responsable, consultez FAQ sur l’IA responsable pour la couche de comportements Microsoft UEBA.

Cas d’usage et exemples

Voici comment les analystes, les chasseurs et les ingénieurs de détection peuvent utiliser les comportements pendant les enquêtes, la chasse et la création d’alertes.

Investigation et enrichissement des incidents

Les comportements donnent aux analystes SOC une clarté immédiate sur ce qui s’est passé autour d’une alerte, sans pivoter sur plusieurs tables de journaux brutes.

  • Flux de travail sans comportements : Les analystes ont souvent besoin de reconstruire manuellement les chronologies en interrogeant des tables spécifiques à l’événement et en regroupant les résultats.

    Exemple : Une alerte se déclenche sur une activité AWS suspecte. L’analyste interroge la AWSCloudTrail table, puis effectue un pivot vers les données de pare-feu pour comprendre ce que l’utilisateur ou l’hôte a fait. Cela nécessite une connaissance de chaque schéma et ralentit le tri.

  • Flux de travail avec des comportements : La couche de comportements UEBA agrège automatiquement les événements associés en entrées de comportement qui peuvent être attachées à un incident ou interrogées à la demande.

    Exemple: Une alerte indique une exfiltration d’informations d’identification possible. Dans le BehaviorInfo tableau, l’analyste voit le comportement Accès suspect au secret de masse via AWS IAM by User123 mappé à la technique MITRE T1552 (informations d’identification non sécurisées). La couche de comportements UEBA a généré ce comportement en agrégeant 20 entrées de journal AWS. L’analyste comprend immédiatement que User123 a accédé à de nombreux secrets ( contexte crucial pour remonter l’incident) sans examiner manuellement les 20 entrées de journal.

Recherche de menaces

Les comportements permettent aux chasseurs de rechercher des TTPs et des résumés d’activité, plutôt que d’écrire des jointures complexes ou de normaliser les journaux bruts par eux-mêmes.

  • Flux de travail sans comportements : Les chasses nécessitent des KQL complexes, des jointures de table et une connaissance de chaque format de source de données. Une activité importante peut être enfouie dans des jeux de données volumineux avec peu de contexte de sécurité intégré.

    Exemple: La recherche de signes de reconnaissance peut nécessiter l’analyse des AWSCloudTrail événements et certains modèles de connexion de pare-feu séparément. Le contexte existe principalement dans les incidents et les alertes, ce qui rend la chasse proactive plus difficile.

  • Flux de travail avec des comportements : Les comportements sont normalisés, enrichis et mappés aux tactiques et techniques MITRE. Les chasseurs peuvent rechercher des modèles significatifs sans dépendre du schéma de chaque source.

    Un chasseur peut filtrer la table BehaviorInfo par tactique (Categories), technique, titre ou entité. Par exemple :

    BehaviorInfo 
| where Categories has "Discovery" 
| summarize count() by Title

    Les chasseurs peuvent également :

    • Identifiez les comportements rares, en utilisant count distinct sur le Title champ .
    • Explorez un type de comportement intéressant, identifiez les entités impliquées et examinez plus en détail.
    • Explorez les journaux bruts à l’aide des BehaviorId colonnes et AdditionalFields , qui font souvent référence aux journaux bruts sous-jacents.

    Exemple: Un chasseur recherchant des informations d’identification furtives interroge les comportements avec « énumérer les informations d’identification » dans la Title colonne. Les résultats retournent quelques instances de « Tentative de vidage des informations d’identification à partir du coffre par l’utilisateur AdminJoe » (dérivée des CyberArk journaux). Bien que les alertes n’aient pas été déclenchées, ce comportement est rare pour AdminJoe et invite à une investigation plus approfondie, ce qui est difficile à détecter dans les journaux d’audit détaillés du coffre.

    Les chasseurs peuvent également chasser en :

    • Tactique MITRE :

      // Find behaviors by MITRE tactic
BehaviorInfo
| where Categories == "Lateral Movement"

    • Technique :

      // Find behaviors by MITRE technique
BehaviorInfo
| where AttackTechniques has "T1078" // Valid Accounts
| extend AF = parse_json(AdditionalFields)
| extend TableName = tostring(AF.TableName)
| project TimeGenerated, Title, Description, TableName

    • Utilisateur spécifique :

      // Find all behaviors for a specific user over last 7 days
BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(7d)
| where EntityType == "User" and AccountUpn == "user@domain.com"
| project TimeGenerated, Title, Description, Categories
| order by TimeGenerated desc

    • Comportements rares (anomalies potentielles) :

      // Find rare behaviors (potential anomalies)
BehaviorInfo
| where TimeGenerated >= ago(30d)
| summarize Count=count() by Title
| where Count < 5 // Behaviors seen less than 5 times
| order by Count asc

Alertes et automatisation

Les comportements simplifient la logique de règle en fournissant des signaux normalisés de haute qualité avec un contexte intégré, et offrent de nouvelles possibilités de corrélation.

  • Flux de travail sans comportements : Les règles de corrélation inter-sources sont complexes, car chaque format de journal est différent. Les règles nécessitent souvent les éléments suivants :

    • Logique de normalisation
    • Conditions spécifiques au schéma
    • Plusieurs règles distinctes
    • Dépendance vis-à-vis des alertes plutôt que de l’activité brute

    L’automatisation peut également se déclencher trop fréquemment si elle est pilotée par des événements de bas niveau.

  • Flux de travail avec des comportements : Les comportements agrègent déjà les événements associés et incluent des mappages MITRE, des rôles d’entité et des schémas cohérents, afin que les ingénieurs de détection puissent créer des règles de détection plus simples et plus claires.

    Exemple: Pour alerter sur une séquence potentielle de compromission de clé et d’escalade de privilèges, un ingénieur de détection écrit une règle de détection à l’aide de la logique suivante : « Alerte si un utilisateur a un comportement « Création de nouvelle clé d’accès AWS » suivi d’un comportement « Élévation de privilèges dans AWS » dans un délai d’une heure. »

    Sans la couche de comportements UEBA, cette règle nécessiterait l’assemblage des événements bruts AWSCloudTrail et leur interprétation dans la logique de la règle. Avec les comportements, il est simple et résilient de journaliser les modifications de schéma, car le schéma est unifié.

    Les comportements servent également de déclencheurs fiables pour l’automatisation. Au lieu de créer des alertes pour les activités non risquées, utilisez des comportements pour déclencher l’automatisation, par exemple pour envoyer un e-mail ou lancer une vérification.

Sources de données et comportements pris en charge

La liste des sources de données prises en charge et des fournisseurs ou services qui envoient des journaux à ces sources de données évolue. La couche comportements UEBA agrège automatiquement les insights pour tous les fournisseurs pris en charge en fonction des journaux que vous collectez.

La couche comportements UEBA se concentre actuellement sur ces sources de données non-Microsoft qui, traditionnellement, manquent de contexte comportemental facile dans Microsoft Sentinel :

Source de données Fournisseurs, services et journaux pris en charge Connector Comportements pris en charge
CommonSecurityLog1
  • Cyber Ark Vault
  • Palo Alto Menaces
AWSCloudTrail
  • EC2
  • IAM
  • S3
  • EKS
  • Gestionnaire de secrets
GCPAuditLogs
  • journaux d’activité Administration
  • Journaux d’accès aux données
  • Journaux de transparence d’accès

1CommonSecurityLog peut contenir des journaux d’activité de nombreux fournisseurs. La couche comportements UEBA génère uniquement des comportements pour les fournisseurs et les types de journaux pris en charge. Si la table reçoit des journaux d’un fournisseur non pris en charge, vous ne verrez aucun comportement même si la source de données est connectée.

Importante

Vous devez activer ces sources séparément des autres fonctionnalités UEBA. Par exemple, si vous avez activé AWSCloudTrail pour l’analytique et les anomalies UEBA, vous devez toujours l’activer séparément pour les comportements.

Configuration requise

Pour utiliser la couche de comportements UEBA, vous avez besoin des éléments suivants :

Autorisations requises

Pour activer et utiliser la couche de comportements UEBA, vous avez besoin des autorisations suivantes :

Action de l'utilisateur Autorisation requise
Activer les comportements Au moins le rôle Administrateur de la sécurité dans Microsoft Entra ID et le rôle Contributeur Microsoft Sentinel dans votre espace de travail Sentinel.
Tables de comportements de requête
  • Le rôle Lecteur de sécurité ou Opérateur de sécurité dans Microsoft Entra ID pour exécuter des requêtes de repérage avancé dans le portail Defender.
  • Accès en lecture aux BehaviorInfo tables et BehaviorEntities dans votre espace de travail Sentinel.
  • Accès en lecture aux tables sources pour explorer les événements bruts.

Pour plus d’informations sur le RBAC unifié dans le portail Defender, consultez Microsoft Defender XDR contrôle d’accès en fonction du rôle (RBAC) unifié.

Activer la couche de comportements UEBA

Pour commencer à agréger les comportements UEBA, veillez à connecter au moins une source de données prise en charge. La couche comportements UEBA agrège uniquement les comportements lorsque les sources de données prises en charge sont connectées et envoient activement des journaux au niveau Analytics.

Pour activer la couche de comportements UEBA dans votre espace de travail :

  1. Dans le portail Defender, sélectionnez Paramètres > système > Microsoft Sentinel > espaces de travail SIEM.

  2. Sélectionnez l’espace de travail Sentinel dans lequel vous souhaitez activer la couche de comportements UEBA.

  3. Sélectionnez Activer l’analyse du > comportement Configurer UEBA > Nouveau ! Couche Comportements.

  4. Activez la couche Activer les comportements.

  5. Sélectionnez Connecter toutes les sources de données ou sélectionnez les sources de données spécifiques dans la liste.

    Si vous n’avez pas encore connecté de sources de données prises en charge à votre espace de travail Sentinel, sélectionnez Accéder au hub de contenu pour rechercher et connecter les connecteurs appropriés.

    Capture d’écran montrant la page De couche Activer les comportements dans le portail Defender.

  6. Sélectionnez Connexion.

Importante

Vous pouvez actuellement activer les comportements dans un seul espace de travail de votre locataire.

Modèle de tarification

L’utilisation de la couche de comportements UEBA entraîne les coûts suivants :

  • Aucun coût de licence supplémentaire : Les comportements sont inclus dans Microsoft Sentinel. Vous n’avez pas besoin d’une référence SKU, d’un module complémentaire UEBA ou d’une licence supplémentaire. Si votre espace de travail est connecté à Sentinel et intégré au portail Defender, vous pouvez utiliser des comportements sans coût supplémentaire.

  • Frais d’ingestion des données de journal : Les enregistrements de comportement sont stockés dans les SentinelBehaviorInfo tables et SentinelBehaviorEntities de votre espace de travail Sentinel. Chaque comportement contribue au volume d’ingestion des données de votre espace de travail et est facturé à votre taux d’ingestion Log Analytics/Sentinel existant. Les comportements sont additifs : ils ne remplacent pas vos journaux bruts existants.

Bonnes pratiques et conseils de dépannage pour les comportements d’interrogation

Cette section explique comment interroger les comportements à partir du portail Defender et de votre espace de travail Sentinel. Bien que les schémas soient identiques, l’étendue des données diffère :

  • Dans le portail Defender, les tables de comportement incluent les comportements UEBA et les comportements des services Defender connectés, tels que Microsoft Defender for Cloud Apps et Microsoft Defender pour le cloud.
  • Dans l’espace de travail Sentinel, les tables de comportement incluent uniquement les comportements UEBA générés à partir des journaux ingérés dans cet espace de travail spécifique.

Ce tableau indique les tables de comportement à utiliser dans chaque environnement :

Environnement Tables à utiliser Cas d’utilisation
Portail Defender - Repérage avancé BehaviorInfo
BehaviorEntities		 Règles de détection, investigation des incidents, repérage des menaces dans le portail Defender
espace de travail Sentinel SentinelBehaviorInfo
SentinelBehaviorEntities		 classeurs Azure Monitor, analyse de l’ingestion, requêtes KQL dans Sentinel espace de travail

Pour obtenir des exemples plus pratiques d’utilisation de comportements, consultez Cas d’utilisation et exemples.

Pour plus d’informations sur Langage de requête Kusto (KQL), consultez Vue d’ensemble du langage de requête Kusto.

  • Filtrer les comportements UEBA dans le portail Defender

    Les BehaviorInfo tables et BehaviorEntities incluent tous les comportements UEBA et peuvent également inclure des comportements provenant des services Microsoft Defender.

    Pour filtrer les comportements de la couche de comportements UEBA Microsoft Sentinel, utilisez la ServiceSource colonne . Par exemple :

    BehaviorInfo
| where ServiceSource == "Microsoft Sentinel"

    Capture d’écran de la table BehaviorInfo filtrée par colonne ServiceSource avec la valeur Microsoft Sentinel.

  • Descendre dans la hiérarchie des comportements aux journaux bruts

    Utilisez la AdditionalFields colonne dans BehaviorInfo, qui contient des références aux ID d’événement d’origine dans le SupportingEvidence champ .

    Capture d’écran de la table BehaviorInfo montrant la colonne AdditionalFields avec des références aux ID d’événement et au champ SupportingEvidence pour les requêtes de journal brutes.

    Exécutez une requête sur la valeur du SupportingEvidence champ pour rechercher les journaux bruts qui ont contribué à un comportement.

    Capture d’écran montrant une requête sur la valeur du champ SupportingEvidence et les résultats de la requête qui montrent les journaux bruts qui ont contribué à un comportement.

  • Joindre BehaviorInfo et BehaviorEntities

    Utilisez le BehaviorId champ pour joindre BehaviorInfoBehaviorEntitiesà .

    Par exemple :

    BehaviorInfo
| join kind=inner BehaviorEntities on BehaviorId
| where TimeGenerated >= ago(1d)
| project TimeGenerated, Title, Description, EntityType, EntityRole, AccountUpn

    Cela vous donne chaque comportement et chaque entité impliquée dans celui-ci. Les AccountUpn informations d’identification ou de l’entité se trouve dans BehaviorEntities, tandis que BehaviorInfo peuvent faire référence à « Utilisateur » ou « Hôte » dans le texte.

  • Surveiller l’ingestion des données de comportement

    Pour surveiller l’ingestion des données de comportement, interrogez la table à la Usage recherche d’entrées liées à SentinelBehaviorInfo et SentinelBehaviorEntities.

  • Créer des règles d’automatisation, de classeurs et de détection basées sur des comportements

    • Utilisez la BehaviorInfo table comme source de données pour les règles de détection ou les playbooks d’automatisation dans le portail Defender. Par exemple, créez une règle de requête planifiée qui se déclenche lorsqu’un comportement spécifique apparaît.
    • Pour Azure les classeurs Monitor et tous les artefacts créés directement sur votre espace de travail Sentinel, veillez à interroger les SentinelBehaviorInfo tables et dans SentinelBehaviorEntities votre espace de travail Sentinel.

Résolution des problèmes

  • Si les comportements ne sont pas générés : vérifiez que les sources de données prises en charge envoient activement des journaux au niveau Analytics, vérifiez que le bouton bascule de la source de données est activé et attendez 15 à 30 minutes après l’activation.
  • Je vois moins de comportements que prévu : notre couverture des types de comportements pris en charge est partielle et croissante. Pour plus d’informations, consultez Sources de données et comportements pris en charge. La couche de comportements UEBA peut également ne pas être en mesure de détecter un modèle de comportement s’il existe très peu d’instances d’un type de comportement spécifique.
  • Nombre de comportements : un seul comportement peut représenter des dizaines ou des centaines d’événements bruts, conçu pour réduire le bruit.

Limitations

Ces limitations s’appliquent actuellement à la couche de comportements UEBA :

  • Vous pouvez activer les comportements sur un seul espace de travail Sentinel par locataire.
  • La couche comportements UEBA génère des comportements pour un ensemble limité de sources de données et de fournisseurs ou services pris en charge.
  • La couche comportements UEBA ne capture pas actuellement toutes les techniques d’action ou d’attaque possibles, même pour les sources prises en charge. Certains événements peuvent ne pas produire de comportements correspondants. Ne supposez pas que l’absence d’un comportement signifie qu’aucune activité ne s’est produite. Passez toujours en revue les journaux bruts si vous pensez qu’il manque quelque chose.
  • Les comportements visent à réduire le bruit en agrégeant et en séquenceant les événements, mais il se peut que vous voyiez encore trop d’enregistrements de comportement. Nous vous invitons à nous faire part de vos commentaires sur des types de comportements spécifiques afin d’améliorer la couverture et la pertinence.
  • Les comportements ne sont pas des alertes ou des anomalies. Il s’agit d’observations neutres, non classées comme malveillantes ou bénignes. La présence d’un comportement signifie « cela s’est produit », et non « il s’agit d’une menace ». La détection d’anomalie reste distincte dans UEBA. Utilisez le jugement ou combinez des comportements avec des données d’anomalie UEBA pour identifier des modèles remarquables.
  • Last updated on