Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La détection d’un comportement anormal au sein d’un organization est souvent complexe et fastidieuse. L’analyse du comportement des utilisateurs et des entités (UEBA) de Microsoft Sentinel simplifie ce défi en apprenant en permanence à partir de vos données pour faire apparaître des anomalies significatives qui aident les analystes à détecter et à examiner les menaces potentielles plus efficacement.
Cet article explique ce qu’est Microsoft Sentinel l’analyse du comportement des utilisateurs et des entités (UEBA), comment elle fonctionne, comment l’intégrer et comment utiliser UEBA pour détecter et examiner les anomalies afin d’améliorer vos fonctionnalités de détection des menaces.
Fonctionnement de l’UEBA
Microsoft Sentinel UEBA utilise le Machine Learning pour créer des profils comportementaux dynamiques pour les utilisateurs, les hôtes, les adresses IP, les applications et d’autres entités. Il détecte ensuite les anomalies en comparant l’activité actuelle aux bases de référence établies, ce qui aide les équipes de sécurité à identifier les menaces telles que les comptes compromis, les attaques internes et les mouvements latéraux.
Lorsque Microsoft Sentinel ingère des données à partir de sources connectées, UEBA s’applique :
- Modélisation comportementale pour détecter les écarts
- Analyse des groupes de pairs et évaluation du rayon d’explosion pour évaluer l’impact d’une activité anormale
UEBA attribue des scores de risque à des comportements anormaux, en tenant compte des entités associées, de la gravité de l’anomalie et du contexte, notamment :
- Écarts entre les emplacements géographiques, les appareils et les environnements
- Changements au fil du temps et de la fréquence d’activité par rapport au comportement historique de l’entité
- Différences par rapport aux groupes d’homologues
- Écarts par rapport aux modèles de comportement à l’échelle du organization
Ce diagramme montre comment vous activez UEBA et comment UEBA analyse les données et affecte des scores de risque pour hiérarchiser les investigations :
Pour plus d’informations sur les tables UEBA, consultez Examiner les anomalies à l’aide de données UEBA.
Pour plus d’informations sur les anomalies détectées par UEBA, consultez Anomalies détectées par le moteur machine learning Microsoft Sentinel.
UEBA est intégré en mode natif à Microsoft Sentinel et au portail Microsoft Defender, offrant ainsi une expérience transparente aux équipes des opérations de sécurité et des expériences incorporées qui améliorent l’investigation et la réponse aux menaces.
Activer UEBA pour créer des profils de comportement et détecter les anomalies
Pour tirer pleinement parti des fonctionnalités avancées de détection des menaces d’UEBA :
Activez UEBA dans Microsoft Sentinel et connectez des sources de données clés, telles que Microsoft Entra ID, Defender pour Identity et Office 365. Pour plus d’informations, consultez Activer l’analyse du comportement des entités.
Installez la solution UEBA Essentials, une collection de dizaines de requêtes de repérage prédéfinies organisées et gérées par des experts en sécurité Microsoft. La solution inclut des requêtes de détection d’anomalie multicloud dans Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) et Okta. L’installation de la solution vous aide à démarrer rapidement avec la chasse aux menaces et les investigations à l’aide des données UEBA, au lieu de créer ces fonctionnalités de détection à partir de zéro.
Pour plus d’informations sur l’installation de solutions Microsoft Sentinel, consultez Installer ou mettre à jour des solutions Microsoft Sentinel.
Intégrez les insights UEBA dans des classeurs, des workflows d’incidents et des requêtes de repérage pour optimiser leur valeur dans vos workflows SOC.
Examiner les anomalies à l’aide des données UEBA
Microsoft Sentinel stocke les insights UEBA sur plusieurs tables, chacune optimisée pour un objectif différent. Les analystes mettent généralement en corrélation les données de ces tables pour examiner le comportement anormal de bout en bout.
Ce tableau fournit une vue d’ensemble des données dans chacune des tables UEBA :
| Tableau | Objectif | Détails clés |
|---|---|---|
| IdentityInfo | Profils détaillés des entités (utilisateurs, appareils, groupes) | Créé à partir de Microsoft Entra ID et éventuellement Active Directory local à Microsoft Defender pour Identity. Essentiel pour comprendre le comportement des utilisateurs. |
| BehaviorAnalytics | Données comportementales enrichies avec géolocalisation et renseignement sur les menaces | Contient des écarts par rapport à la ligne de base avec des scores de hiérarchisation. Les données dépendent des connecteurs activés (ID Entra, AWS, GCP, Okta, etc.). |
| UserPeerAnalytics | Groupes d’homologues calculés dynamiquement pour les bases de référence comportementales | Classe les 20 premiers pairs en fonction de l’appartenance aux groupes de sécurité, des listes de diffusion et d’autres associations. Utilise l’algorithme TF-IDF (fréquence de terme–fréquence de document inverse) (les groupes plus petits ont un poids plus élevé). |
| Anomalies | Événements identifiés comme anormaux | Prend en charge les workflows de détection et d’investigation. |
| SentinelBehaviorInfo | Résumé des comportements identifiés dans les journaux bruts | Traduit les journaux de sécurité bruts en résumés structurés « qui a fait quoi à qui » avec des explications en langage naturel et des mappages MITRE ATT&CK. |
| SentinelBehaviorEntities | Profils des entités impliquées dans les comportements identifiés | Informations sur les entités , telles que les fichiers, les processus, les appareils et les utilisateurs, impliquées dans les comportements détectés. |
Remarque
La couche de comportements UEBA est une fonctionnalité distincte que vous activez indépendamment d’UEBA. Les SentinelBehaviorInfo tables et SentinelBehaviorEntities ne sont créées dans votre espace de travail que si vous activez la couche de comportements.
Cette capture d’écran montre un exemple de données dans la UserPeerAnalytics table avec les huit pairs les mieux classés pour l’utilisateur Kendall Collins. Sentinel utilise l’algorithme TF-IDF pour normaliser les pondérations lors du calcul des rangs homologues. Les groupes plus petits ont un poids plus élevé.
Pour plus d’informations sur les données UEBA et leur utilisation, consultez :
- Référence UEBA pour obtenir une référence détaillée de toutes les tables et champs liés à UEBA.
- Anomalies détectées par le moteur d’apprentissage automatique Microsoft Sentinel pour obtenir la liste des anomalies détectées par UEBA.
Scoring UEBA
UEBA fournit deux scores pour aider les équipes de sécurité à hiérarchiser les investigations et détecter efficacement les anomalies :
| Aspect | Score de priorité d’examen | Score d’anomalie |
|---|---|---|
| Tableau | BehaviorAnalytics |
Anomalies |
| Field | InvestigationPriority |
AnomalyScore |
| Range | 0–10 (0 = bénin, 10 = hautement anormal) |
0–1 (0 = bénin, 1 = hautement anormal) |
| Indicateur de | À quel point un événement unique est inhabituel, en fonction de la logique basée sur un profil | Comportement anormal holistique sur plusieurs événements à l’aide du Machine Learning |
| Utilisé pour | Tri rapide et exploration d’événements uniques | Identification des modèles et des anomalies agrégées au fil du temps |
| Traitement | Quasi-temps réel, au niveau de l’événement | Traitement par lots, au niveau du comportement |
| Comment il est calculé | Combine le score d’anomalie d’entité (rareté d’entités telles que l’utilisateur, l’appareil, le pays/la région) avec le score de série chronologique (modèles anormaux au fil du temps, tels que les pics dans les connexions ayant échoué). | Détecteur d’anomalies IA/ML formé sur les données de télémétrie de votre espace de travail |
Par exemple, lorsqu’un utilisateur effectue une opération de Azure pour la première fois :
- Score de priorité d’investigation : Élevé, car il s’agit d’un premier événement.
- Score d’anomalie : Faible, car les actions occasionnelles Azure sont courantes et ne sont pas intrinsèquement risquées.
Bien que ces scores servent des objectifs différents, vous pouvez vous attendre à une certaine corrélation. Les scores d’anomalie élevés s’alignent souvent sur une priorité d’investigation élevée, mais pas toujours. Chaque score fournit des insights uniques pour la détection en couches.
Utiliser des expériences UEBA incorporées dans le portail Defender
En exposant les anomalies dans les graphiques d’investigation et les pages utilisateur, et en invitant les analystes à incorporer des données d’anomalie dans les requêtes de repérage, UEBA facilite la détection des menaces plus rapide, une hiérarchisation plus intelligente et une réponse plus efficace aux incidents.
Cette section décrit les principales expériences d’analyste UEBA disponibles dans le portail Microsoft Defender.
Widget de page d’accueil UEBA
La page d’accueil du portail Defender inclut un widget UEBA dans lequel les analystes ont immédiatement une visibilité sur le comportement anormal des utilisateurs et accélèrent donc les flux de travail de détection des menaces. Si le locataire n’est pas encore intégré à UEBA, ce widget fournit également aux administrateurs de la sécurité un accès rapide au processus d’intégration.
Insights UEBA dans les enquêtes utilisateur
Les analystes peuvent évaluer rapidement les risques des utilisateurs à l’aide du contexte UEBA affiché dans les panneaux latéraux et de l’onglet Vue d’ensemble sur toutes les pages utilisateur du portail Defender. Quand un comportement inhabituel est détecté, le portail marque automatiquement les utilisateurs avec des anomalies UEBA , ce qui permet de hiérarchiser les investigations en fonction de l’activité récente. Pour plus d’informations, consultez la page Entité utilisateur dans Microsoft Defender.
Chaque page utilisateur comprend une section Principales anomalies UEBA, montrant les trois principales anomalies des 30 derniers jours, ainsi que des liens directs vers des requêtes d’anomalie prédéfinies et les événements Sentinel chronologie pour une analyse plus approfondie.
Requêtes d’anomalie utilisateur intégrées dans les enquêtes sur les incidents
Pendant les enquêtes sur les incidents, les analystes peuvent lancer des requêtes intégrées directement à partir de graphiques d’incident dans le portail Defender pour récupérer toutes les anomalies utilisateur liées au cas.
Pour plus d’informations, consultez Examiner les incidents dans le portail Microsoft Defender.
Enrichir les requêtes de repérage avancées et les détections personnalisées avec des données UEBA
Lorsque les analystes écrivent des requêtes de détection avancée ou de détection personnalisée à l’aide de tables liées à UEBA, le portail Microsoft Defender affiche une bannière qui les invite à rejoindre la table Anomalies. Cela enrichit les investigations avec des insights comportementaux et renforce l’analyse globale.
Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Chassez de manière proactive les menaces avec une chasse avancée dans Microsoft Defender.
- Opérateur de jointure KQL.
- Sources de données UEBA.
- Anomalies détectées par le moteur machine learning Microsoft Sentinel.
Agréger des insights sur le comportement avec la couche de comportements UEBA
Alors que UEBA crée des profils de base pour détecter les activités anormales, la nouvelle couche comportements UEBA agrège les événements connexes des journaux de sécurité bruts à volume élevé en comportements clairs, structurés et significatifs qui expliquent « qui a fait quoi à qui » en un coup d’œil.
La couche comportements enrichit les journaux bruts avec :
- Explications en langage naturel qui rendent les activités complexes immédiatement compréhensibles
- MITRE ATT&mappages CK qui alignent les comportements sur les tactiques et techniques connues
- Identification des rôles d’entité qui clarifie les acteurs et les cibles impliqués
En convertissant des journaux fragmentés en objets de comportement cohérents, la couche comportements accélère la chasse aux menaces, simplifie la création de détection et fournit un contexte plus riche pour la détection des anomalies UEBA. Ensemble, ces fonctionnalités aident les analystes à comprendre rapidement non seulement que quelque chose d’anormal s’est produit, mais aussi ce qui s’est passé et pourquoi c’est important.
Pour plus d’informations, consultez Traduire des journaux de sécurité bruts en insights comportementaux à l’aide des comportements UEBA dans Microsoft Sentinel.
Modèle de tarification
UEBA est inclus avec Microsoft Sentinel sans frais supplémentaires. Les données UEBA sont stockées dans des tables Log Analytics et suivent les tarifs standard Microsoft Sentinel. Pour plus d’informations, consultez tarification Microsoft Sentinel.
Étapes suivantes
Pour obtenir des conseils pratiques sur l’implémentation et l’utilisation d’UEBA, consultez :
- Activez l’analyse du comportement des entités dans Microsoft Sentinel.
- Examiner les incidents avec les données UEBA.
- Liste des anomalies UEBA détectées par le moteur UEBA.
- Référence UEBA.
- Recherchez les menaces de sécurité.
Pour obtenir des ressources de formation, consultez :