Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Gebruikers- en entiteitsgedraganalyse (UEBA) in Microsoft Sentinel analyseert logboeken en waarschuwingen van verbonden gegevensbronnen om basislijngedragsprofielen te maken van de entiteiten van uw organisatie, zoals gebruikers, hosts, IP-adressen en toepassingen. Met behulp van machine learning identificeert UEBA afwijkende activiteiten die kunnen duiden op een gecompromitteerde asset.
U kunt gebruikers- en entiteitsgedraganalyse op twee manieren inschakelen, beide met hetzelfde resultaat:
- In de Microsoft Sentinel werkruimte-instellingen: schakel UEBA in voor uw werkruimte en selecteer welke gegevensbronnen u wilt verbinden in de Microsoft Defender portal of Azure Portal.
- Van ondersteunde gegevensconnectors: schakel UEBA in wanneer u door UEBA ondersteunde gegevensconnectors configureert in de Microsoft Defender portal.
In dit artikel wordt uitgelegd hoe u UEBA inschakelt en gegevensbronnen configureert vanuit uw Microsoft Sentinel werkruimte-instellingen en vanuit ondersteunde gegevensconnectors.
Zie Bedreigingen identificeren met analyse van entiteitsgedrag voor meer informatie over UEBA.
Opmerking
Zie voor informatie over de beschikbaarheid van functies in clouds van de Amerikaanse overheid de Microsoft Sentinel tabellen in Beschikbaarheid van cloudfuncties voor klanten van de Amerikaanse overheid.
Belangrijk
Na 31 maart 2027 worden Microsoft Sentinel niet meer ondersteund in de Azure Portal en zijn ze alleen beschikbaar in de Microsoft Defender portal. Alle klanten die Microsoft Sentinel in de Azure Portal gebruiken, worden omgeleid naar de Defender-portal en gebruiken alleen Microsoft Sentinel in de Defender-portal.
Als u nog steeds Microsoft Sentinel in de Azure Portal gebruikt, wordt u aangeraden uw overgang naar de Defender-portal te plannen om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden geboden.
Vereisten
Deze functie in- of uitschakelen (deze vereisten zijn niet vereist om de functie te gebruiken):
Uw gebruiker moet zijn toegewezen aan de rol Microsoft Entra ID Beveiligingsbeheerder in uw tenant of de gelijkwaardige machtigingen.
Aan uw gebruiker moet ten minste een van de volgende Azure rollen zijn toegewezen (meer informatie over Azure RBAC):
- Eigenaar op het niveau van de resourcegroep of hoger.
- Inzender op het niveau van de resourcegroep of hoger.
- (Met minimale bevoegdheden) Microsoft Sentinel Inzender op werkruimteniveau of hoger en Log Analytics-inzender op het niveau van de resourcegroep of hoger.
Er mogen geen Azure resourcevergrendelingen op uw werkruimte zijn toegepast. Meer informatie over Azure resourcevergrendeling.
Opmerking
- Er is geen speciale licentie vereist om UEBA-functionaliteit toe te voegen aan Microsoft Sentinel en er zijn geen extra kosten voor het gebruik ervan.
- Omdat UEBA echter nieuwe gegevens genereert en opslaat in nieuwe tabellen die UEBA maakt in uw Log Analytics-werkruimte, zijn er extra kosten voor gegevensopslag van toepassing.
UEBA inschakelen vanuit werkruimte-instellingen
UEBA inschakelen vanuit uw Microsoft Sentinel werkruimte-instellingen:
Ga naar de configuratiepagina voor entiteitsgedrag .
Gebruik een van deze drie manieren om naar de configuratiepagina Voor entiteitsgedrag te gaan:
Selecteer Entiteitsgedrag in het navigatiemenu Microsoft Sentinel en selecteer vervolgens Instellingen voor entiteitsgedrag in de bovenste menubalk.
Selecteer Instellingen in het navigatiemenu Microsoft Sentinel, selecteer het tabblad Instellingen en selecteer vervolgens onder het uitbreidingsvenster Analyse van entiteitsgedragde optie UEBA instellen.
Selecteer op de pagina Microsoft Defender XDR gegevensconnector de koppeling Naar de UEBA-configuratiepagina gaan.
Schakel op de pagina Entiteitsgedragconfiguratie de optie UEBA-functie inschakelen in.
Selecteer de adreslijstservices waaruit u gebruikersentiteiten wilt synchroniseren met Microsoft Sentinel.
- Active Directory on-premises (preview)
- Microsoft Entra ID
Als u gebruikersentiteiten vanuit on-premises Active Directory wilt synchroniseren, moet u uw Azure tenant onboarden naar Microsoft Defender for Identity (zelfstandig of als onderdeel van Microsoft Defender XDR) en u moet de MDI-sensor op uw Active Directory-domeincontroller hebben geïnstalleerd. Zie vereisten voor Microsoft Defender for Identity voor meer informatie.
Selecteer Alle gegevensbronnen verbinden om alle in aanmerking komende gegevensbronnen te verbinden of selecteer specifieke gegevensbronnen in de lijst.
U kunt deze gegevensbronnen alleen inschakelen vanuit de Defender- en de Azure portals:
- Aanmeldingslogboeken
- Auditlogboeken
- Azure-activiteit
- Beveiligingsevenementen
U kunt deze gegevensbronnen alleen inschakelen vanuit de Defender-portal (preview):
- Aanmeldingslogboeken voor AAD Managed Identity (Microsoft Entra ID)
- Aanmeldingslogboeken voor AAD-service-principals (Microsoft Entra ID)
- AWS CloudTrail
- Apparaataanmeldingsevenementen
- Okta CL
- GCP-auditlogboeken
Zie Microsoft Sentinel UEBA-verwijzing en UEBA-afwijkingen voor meer informatie over UEBA-gegevensbronnen en -afwijkingen.
Opmerking
Nadat u UEBA hebt ingeschakeld, kunt u ondersteunde gegevensbronnen voor UEBA rechtstreeks vanuit het deelvenster gegevensconnector of via de pagina Instellingen van de Defender-portal inschakelen, zoals beschreven in dit artikel.
Selecteer Verbinding maken.
Anomaliedetectie inschakelen in uw Microsoft Sentinel werkruimte:
- Selecteer instellingen>Microsoft Sentinel>SIEM-werkruimten in het navigatiemenu van de Microsoft Defender portal.
- Selecteer de werkruimte die u wilt configureren.
- Selecteer afwijkingen op de configuratiepagina van de werkruimte en schakel Anomalieën detecteren in.
UEBA inschakelen vanuit ondersteunde connectors
UEBA inschakelen vanuit ondersteunde gegevensconnectors in Microsoft Defender portal:
Selecteer in het navigatiemenu van de Microsoft Defender portal Microsoft Sentinel > Connectors voor configuratiegegevens>.
Selecteer een door UEBA ondersteunde gegevensconnector die UEBA ondersteunt. Zie Microsoft Sentinel UEBA-verwijzing voor meer informatie over door UEBA ondersteunde gegevensconnectors en tabellen.
Selecteer in het deelvenster gegevensconnector de optie Connectorpagina openen.
Selecteer op de pagina Connectordetailsde optie Geavanceerde opties.
Schakel onder UEBA configureren de tabellen in die u wilt inschakelen voor UEBA.
Zie Gegevensbronnen verbinden met Microsoft Sentinel met behulp van gegevensconnectors voor meer informatie over het configureren van Microsoft Sentinel gegevensconnectors.
De oplossing UEBA Essentials installeren (optioneel)
De UEBA Essentials-oplossing is een verzameling van tientallen vooraf gebouwde opsporingsquery's die zijn samengesteld en onderhouden door Beveiligingsexperts van Microsoft. De oplossing omvat anomaliedetectiequery's in meerdere clouds in Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) en Okta.
Installeer de oplossing om snel aan de slag te gaan met het opsporen en onderzoeken van bedreigingen met behulp van UEBA-gegevens, in plaats van deze detectiemogelijkheden helemaal opnieuw te bouwen.
Zie Microsoft Sentinel-oplossingen installeren of bijwerken voor meer informatie.
De UEBA-gedragslaag inschakelen (preview)
De UEBA-gedragslaag genereert verrijkte samenvattingen van activiteiten die zijn waargenomen in meerdere gegevensbronnen. In tegenstelling tot waarschuwingen of afwijkingen duidt gedrag niet noodzakelijkerwijs op risico. Ze creëren een abstractielaag die uw gegevens optimaliseert voor onderzoek, opsporing en detectie door de helderheid, context en correlatie te verbeteren.
Zie De UEBA-gedragslaag inschakelen in Microsoft Sentinel voor meer informatie over de UEBA-gedragslaag en hoe u deze kunt inschakelen.
Volgende stappen
Meer informatie over het onderzoeken van UEBA-afwijkingen en het gebruik van UEBA-gegevens in uw onderzoeken: