Merk
Tilgang til denne siden krever autorisasjon. Du kan prøve å logge på eller endre kataloger.
Tilgang til denne siden krever autorisasjon. Du kan prøve å endre kataloger.
Det er ofte komplisert og tidkrevende å oppdage uregelmessig virkemåte i en organisasjon. Microsoft Sentinel's User and Entity Behavior Analytics (UEBA) forenkler denne utfordringen ved kontinuerlig å lære fra dataene dine for å vise meningsfulle avvik som hjelper analytikere med å oppdage og undersøke potensielle trusler mer effektivt.
Denne artikkelen forklarer hva Microsoft Sentinel bruker- og enhetsatferdsanalyse (UEBA) er, hvordan det fungerer, hvordan du bruker UEBA til å oppdage og undersøke avvik for å forbedre trusselregistreringsfunksjonene dine.
Slik fungerer UEBA
Microsoft Sentinel UEBA bruker maskinlæring til å bygge dynamiske atferdsprofiler for brukere, verter, IP-adresser, programmer og andre enheter. Den oppdager deretter avvik ved å sammenligne gjeldende aktivitet med etablerte grunnlinjer, slik at sikkerhetsteamene kan identifisere trusler som kompromitterte kontoer, innsideangrep og sidebevegelse.
Etter hvert som Microsoft Sentinel inntar data fra tilkoblede kilder, gjelder UEBA:
- Atferdsmodellering for å oppdage avvik
- Nodegruppeanalyse og evaluering av eksplosjonsradius for å vurdere virkningen av uregelmessig aktivitet
UEBA tilordner risikoresultater til uregelmessige virkemåter, med tanke på de tilknyttede enhetene, alvorlighetsgraden av avviket og konteksten, inkludert:
- Avvik på tvers av geografiske plasseringer, enheter og miljøer
- Endringer over tid og aktivitetsfrekvens sammenlignet med enhetens historiske virkemåte
- Forskjeller sammenlignet med nodegrupper
- Avvik fra atferdsmønstre for hele organisasjonen
Dette diagrammet viser hvordan du aktiverer UEBA, og hvordan UEBA analyserer data og tilordner risikoresultater for å prioritere undersøkelser:
Hvis du vil ha mer informasjon om UEBA-tabeller, kan du se Undersøke avvik ved hjelp av UEBA-data.
Hvis du vil ha mer informasjon om hvilke avvik UEBA oppdager, kan du se avvik som oppdages av Microsoft Sentinel maskinlæringsmotor.
UEBA er integrert i Microsoft Sentinel og Microsoft Defender portal, noe som gir en sømløs opplevelse for sikkerhetsoperasjonsteam og innebygde opplevelser som forbedrer trusselundersøkelse og respons.
Aktiver UEBA for å opprette virkemåteprofiler og oppdage avvik
For å dra full nytte av UEBAs avanserte trusselregistreringsfunksjoner:
Aktiver UEBA i Microsoft Sentinel og koble til viktige datakilder, for eksempel Microsoft Entra ID, Defender for Identity og Office 365. Hvis du vil ha mer informasjon, kan du se Aktivere analyse av enhetsvirkemåte.
Installer UEBA Essentials-løsningen, en samling av dusinvis av forhåndsbygde jaktspørringer kuratert og vedlikeholdt av Microsofts sikkerhetseksperter. Løsningen inkluderer spørringer for avviksregistrering med flere skyer på tvers av Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) og Okta. Når du installerer løsningen, kan du komme raskt i gang med trusseljakt og undersøkelser ved hjelp av UEBA-data, i stedet for å bygge disse gjenkjenningsfunksjonene fra grunnen av.
Hvis du vil ha informasjon om hvordan du installerer Microsoft Sentinel løsninger, kan du se Installere eller oppdatere Microsoft Sentinel løsninger.
Integrer UEBA-innsikt i arbeidsbøker, hendelsesarbeidsflyter og jaktspørringer for å maksimere verdien på tvers av SOC-arbeidsflytene.
Undersøke avvik ved hjelp av UEBA-data
Microsoft Sentinel lagrer UEBA-innsikt på tvers av flere tabeller, optimalisert for ulike formål. Analytikere korrelerer vanligvis data på tvers av disse tabellene for å undersøke avvikende virkemåte fra ende til ende.
Denne tabellen gir en oversikt over dataene i hver av UEBA-tabellene:
| Tabellen | Formål | Nøkkeldetaljer |
|---|---|---|
| IdentityInfo | Detaljerte profiler av enheter (brukere, enheter, grupper) | Bygget fra Microsoft Entra ID og eventuelt lokal Active Directory gjennom Microsoft Defender for identitet. Viktig for å forstå brukeratferd. |
| BehaviorAnalytics | Berikede atferdsdata med geolokasjon og trusselintelligens | Inneholder avvik fra opprinnelig plan med prioriteringsresultater. Data avhenger av aktiverte koblinger (Entra ID, AWS, GCP, Okta og så videre). |
| UserPeerAnalytics | Dynamisk beregnede nodegrupper for atferdsmessige grunnlinjer | Rangerer de 20 beste nodene basert på medlemskap i sikkerhetsgrupper, adresselister og andre tilknytninger. Bruker algoritmen TF-IDF (termfrekvens-invers dokumentfrekvens) (mindre grupper har høyere vekt). |
| Anomalier | Hendelser identifisert som uregelmessige | Støtter arbeidsflyter for gjenkjenning og undersøkelse. |
| SentinelBehaviorInfo | Sammendrag av virkemåter identifisert i rålogger | Oversetter rå sikkerhetslogger til strukturerte «hvem gjorde hva til hvem»-sammendrag med forklaringer på naturlig språk og MITRE ATT&CK-tilordninger. |
| SentinelBehaviorEntities | Profiler av enheter som er involvert i identifisert virkemåte | Informasjon om enheter , for eksempel filer, prosesser, enheter og brukere - involvert i oppdaget atferd. |
Obs!
UEBA-virkemåtelaget er en separat funksjon som du aktiverer uavhengig av UEBA. Tabellene SentinelBehaviorInfo og SentinelBehaviorEntities opprettes bare i arbeidsområdet hvis du aktiverer virkemåtelaget.
Dette skjermbildet viser et eksempel på data i UserPeerAnalytics tabellen med de åtte høyest rangerte nodene for brukeren Kendall Collins. Sentinel bruker TF-IDF-algoritmen til å normalisere vektinger ved beregning av noderangeringer. Mindre grupper har høyere vekt.
Hvis du vil ha mer detaljert informasjon om UEBA-data og hvordan du bruker dem, kan du se:
- UEBA-referanse for en detaljert referanse til alle UEBA-relaterte tabeller og felt.
- Avvik oppdaget av Microsoft Sentinel maskinlæringsmotor for en liste over avvik som UEBA oppdager.
UEBA-poengsum
UEBA gir to resultater for å hjelpe sikkerhetsteam med å prioritere undersøkelser og oppdage avvik effektivt:
| Aspekt | Prioritetspoengsum for undersøkelse | Avvikspoengsum |
|---|---|---|
| Tabellen | BehaviorAnalytics |
Anomalies |
| Felt | InvestigationPriority |
AnomalyScore |
| Området | 0–10 (0 = godartet, 10 = svært uregelmessig) |
0–1 (0 = godartet, 1 = svært uregelmessig) |
| Indikator for | Hvor uvanlig en enkelt hendelse er, basert på profildrevet logikk | Helhetlig avviksatferd på tvers av flere hendelser ved hjelp av maskinlæring |
| Brukes til | Rask triage og drilling i enkelthendelser | Identifisering av mønstre og aggregerte avvik over tid |
| Behandling | Nær sanntid, hendelsesnivå | Satsvis behandling, virkemåtenivå |
| Slik beregnes det | Kombinerer avvikspoengsum for enhet (sjeldenhet for enheter som bruker, enhet, land/område) med tidsseriepoengsum (unormale mønstre over tid, for eksempel pigger i mislykkede pålogginger). | AI/ML-avviksdetektor opplært på arbeidsområdets telemetri |
Når en bruker for eksempel utfører en Azure operasjon for første gang:
- Prioritetspoengsum for undersøkelse: Høy, fordi det er en førstegangshendelse.
- Avvikspoengsum: Lav, fordi sporadiske førstegangshandlinger Azure er vanlige og ikke iboende risikable.
Selv om disse resultatene tjener ulike formål, kan du forvente litt korrelasjon. Høye avviksresultater samsvarer ofte med høy undersøkelsesprioritet, men ikke alltid. Hver poengsum gir unik innsikt for lagvis gjenkjenning.
Bruk innebygde UEBA-opplevelser i Defender-portalen
Ved å vise avvik i undersøkelsesgrafer og brukersider og be analytikere om å innlemme avviksdata i jaktspørringer, forenkler UEBA raskere trusselregistrering, smartere prioritering og mer effektiv hendelsesrespons.
Denne delen beskriver de viktigste UEBA-analytikeropplevelsene som er tilgjengelige i Microsoft Defender-portalen.
Kontrollprogram for UEBA-hjemmeside
Hjemmesiden for Defender-portalen inneholder et UEBA-kontrollprogram der analytikere umiddelbart har innsyn i uregelmessig brukeratferd og dermed akselererer arbeidsflyter for trusselregistrering. Hvis leieren ikke er pålastet ennå til UEBA, gir dette kontrollprogrammet også sikkerhetsadministratorer rask tilgang til pålastingsprosessen.
UEBA-innsikt i brukerundersøkelser
Analytikere kan raskt vurdere brukerrisiko ved hjelp av UEBA-kontekst som vises i sidepaneler og Oversikt-fanen på alle brukersidene i Defender-portalen. Når uvanlig virkemåte oppdages, koder portalen automatisk brukere med UEBA-avvik som bidrar til å prioritere undersøkelser basert på nylig aktivitet. Hvis du vil ha mer informasjon, kan du se brukerenhetssiden i Microsoft Defender.
Hver brukerside inneholder en inndeling for de øverste UEBA-avvikene, som viser de tre øverste avvikene fra de siste 30 dagene, sammen med direkte koblinger til forhåndsbygde avviksspørringer og tidslinjen for Sentinel hendelser for dypere analyse.
Innebygde brukeravviksspørringer i hendelsesundersøkelser
Under hendelsesundersøkelser kan analytikere starte innebygde spørringer direkte fra hendelsesgrafer i Defender-portalen for å hente alle brukeravvik knyttet til saken.
Hvis du vil ha mer informasjon, kan du se Undersøke hendelser i portalen for Microsoft Defender.
Berike avanserte jaktspørringer og egendefinerte gjenkjenninger med UEBA-data
Når analytikere skriver avansert jakt eller egendefinerte gjenkjenningsspørringer ved hjelp av UEBA-relaterte tabeller, viser Microsoft Defender-portalen et banner som ber dem om å bli med i avvikstabellen. Dette beriker undersøkelser med atferdsinnsikt og styrker den generelle analysen.
Hvis du vil ha mer informasjon, kan du se:
- Proaktivt jakten på trusler med avansert jakt i Microsoft Defender.
- KQL-sammenføyningsoperator.
- UEBA-datakilder.
- Avvik oppdaget av Microsoft Sentinel maskinlæringsmotor.
Aggreger virkemåteinnsikt med UEBA-virkemåtelaget
Mens UEBA bygger grunnlinjeprofiler for å oppdage uregelmessig aktivitet, aggregerer det nye UEBA-atferdslaget relaterte hendelser fra store volum rå sikkerhetslogger til klare, strukturerte, meningsfulle atferder som forklarer "hvem gjorde hva til hvem" med et øyekast.
Virkemåtelaget beriker rå logger med:
- Forklaringer på naturlig språk som gjør komplekse aktiviteter umiddelbart forståelige
- MITRE ATT&CK-tilordninger som justerer atferd med kjente taktikker og teknikker
- Enhetsrolleidentifikasjon som klargjør de involverte aktørene og målene
Ved å konvertere fragmenterte logger til sammenhengende virkemåteobjekter akselererer atferdslaget trusseljakt, forenkler gjenkjenningsredigering og gir rikere kontekst for UEBA-avviksregistrering. Sammen hjelper disse funksjonene analytikere raskt å forstå ikke bare at noe uregelmessig skjedde, men hva som skjedde og hvorfor det betyr noe.
Hvis du vil ha mer informasjon, kan du se Oversette rå sikkerhetslogger til atferdsinnsikt ved hjelp av UEBA-virkemåter i Microsoft Sentinel.
Prismodell
UEBA er inkludert i Microsoft Sentinel uten ekstra kostnad. UEBA-data lagres i Log Analytics-tabeller og følger standard priser for Microsoft Sentinel. Hvis du vil ha mer informasjon, kan du se Microsoft Sentinel priser.
Neste trinn
Hvis du vil ha praktisk veiledning om UEBA-implementering og -bruk, kan du se:
- Aktiver analyse av virkemåte for enhet i Microsoft Sentinel.
- Undersøk hendelser med UEBA-data.
- Liste over UEBA-avvik som oppdages av UEBA-motoren.
- UEBA-referanse.
- Jakten på sikkerhetstrusler.
Hvis du vil ha opplæringsressurser, kan du se: