Deteção avançada de ameaças com a Análise de Comportamento de Utilizadores e Entidades (UEBA) no Microsoft Sentinel

  • Aplica-se a: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

A deteção de comportamentos anómalos numa organização é, muitas vezes, complexa e morosa. A Análise de Comportamento de Utilizadores e Entidades (UEBA) do Microsoft Sentinel simplifica este desafio ao aprender continuamente com os seus dados a detetar anomalias significativas que ajudam os analistas a detetar e investigar potenciais ameaças de forma mais eficaz.

Este artigo explica o que é Microsoft Sentinel a Análise de Comportamento de Utilizadores e Entidades (UEBA), como funciona, como integrá-la e como utilizar o UEBA para detetar e investigar anomalias para melhorar as capacidades de deteção de ameaças.

Como funciona o UEBA

Microsoft Sentinel UEBA utiliza machine learning para criar perfis comportamentais dinâmicos para utilizadores, anfitriões, endereços IP, aplicações e outras entidades. Em seguida, deteta anomalias ao comparar a atividade atual com as linhas de base estabelecidas, ajudando as equipas de segurança a identificar ameaças como contas comprometidas, ataques internos e movimento lateral.

À medida que Microsoft Sentinel ingere dados de origens ligadas, aplica-se o UEBA:

  • Modelação comportamental para detetar desvios
  • Análise do grupo de elementos e avaliação do raio de explosão para avaliar o impacto da atividade anómalo

Diagrama de círculos concêntricos com o nome Utilizador, Pares e Organização, que ilustra o contexto de entidade na análise da UEBA.

A UEBA atribui classificações de risco a comportamentos anómalos, tendo em conta as entidades associadas, a gravidade da anomalia e o contexto, incluindo:

  • Desvios entre localizações geográficas, dispositivos e ambientes
  • Alterações ao longo do tempo e frequência de atividade em comparação com o comportamento histórico da entidade
  • Diferenças em comparação com os grupos de pares
  • Desvios dos padrões de comportamento em toda a organização

Este diagrama mostra como ativa o UEBA e como o UEBA analisa os dados e atribui classificações de risco para priorizar investigações:

Diagrama que mostra a arquitetura UEBA, que ilustra como os dados fluem de origens ligadas através da modelação comportamental para produzir classificações de risco.

Para obter mais informações sobre tabelas UEBA, veja Investigar anomalias com dados UEBA.

Para obter mais informações sobre as anomalias que o UEBA deteta, veja Anomalias detetadas pelo motor de machine learning Microsoft Sentinel.

O UEBA está integrado nativamente no Microsoft Sentinel e no portal Microsoft Defender, proporcionando uma experiência totalmente integrada para equipas de operações de segurança e experiências incorporadas que melhoram a investigação e resposta a ameaças.

Ativar o UEBA para criar perfis de comportamento e detetar anomalias

Para beneficiar totalmente das capacidades avançadas de deteção de ameaças da UEBA:

  1. Ative o UEBA no Microsoft Sentinel e ligue origens de dados principais, como Microsoft Entra ID, Defender para Identidade e Office 365. Para obter mais informações, veja Ativar a análise de comportamento da entidade.

  2. Instale a solução UEBA Essentials, uma coleção de dezenas de consultas de investigação pré-criadas organizadas e mantidas por especialistas em segurança da Microsoft. A solução inclui consultas de deteção de anomalias em várias clouds em Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) e Okta. A instalação da solução ajuda-o a começar rapidamente a investigar ameaças e investigações com dados UEBA, em vez de criar estas capacidades de deteção do zero.

    Para obter informações sobre como instalar soluções Microsoft Sentinel, consulte Instalar ou atualizar soluções de Microsoft Sentinel.

  3. Integre as informações do UEBA em livros, fluxos de trabalho de incidentes e consultas de investigação para maximizar o respetivo valor nos fluxos de trabalho do SOC.

Investigar anomalias com dados UEBA

Microsoft Sentinel armazena informações da UEBA em várias tabelas, cada uma otimizada para uma finalidade diferente. Normalmente, os analistas correlacionam os dados nestas tabelas para investigar comportamentos anómalos ponto a ponto.

Esta tabela fornece uma descrição geral dos dados em cada uma das tabelas UEBA:

Tabela Objetivo Detalhes principais
IdentityInfo Perfis detalhados de entidades (utilizadores, dispositivos, grupos) Criado a partir de Microsoft Entra ID e opcionalmente Active Directory no local através de Microsoft Defender para Identidade. Essencial para compreender o comportamento do utilizador.
BehaviorAnalytics Dados comportamentais melhorados com geolocalização e informações sobre ameaças Contém desvios da linha de base com classificações de atribuição de prioridades. Os dados dependem de conectores ativados (Entra ID, AWS, GCP, Okta, etc.).
UserPeerAnalytics Grupos de pares calculados dinamicamente para linhas de base comportamentais Classifica os 20 principais pares com base na associação a grupos de segurança, listas de correio e outras associações. Utiliza o algoritmo TF-IDF (frequência do termo frequência–frequência inversa do documento) (os grupos mais pequenos têm um peso mais elevado).
Anomalias Eventos identificados como anómalos Suporta fluxos de trabalho de deteção e investigação.
SentinelBehaviorInfo Resumo dos comportamentos identificados nos registos não processados Traduz registos de segurança não processados em resumos estruturados "quem fez o quê a quem" com explicações de linguagem natural e mapeamentos mitre att&CK.
SentinelBehaviorEntities Perfis de entidades envolvidas em comportamentos identificados Informações sobre entidades , como ficheiros, processos, dispositivos e utilizadores, envolvidas em comportamentos detetados.

Nota

A camada de comportamentos UEBA é uma capacidade separada que pode ativar independentemente da UEBA. As SentinelBehaviorInfo tabelas e SentinelBehaviorEntities só são criadas na área de trabalho se ativar a camada de comportamentos.

Esta captura de ecrã mostra um exemplo de dados na UserPeerAnalytics tabela com os oito pares mais bem classificados para o utilizador Kendall Collins. Sentinel utiliza o algoritmo TF-IDF para normalizar pesos ao calcular as classificações dos pares. Os grupos mais pequenos têm um peso mais elevado.

Captura de ecrã a mostrar a tabela de metadados de elementos do utilizador.

Para obter informações mais detalhadas sobre os dados UEBA e como utilizá-lo, consulte:

Classificação UEBA

A UEBA fornece duas classificações para ajudar as equipas de segurança a priorizar investigações e a detetar anomalias de forma eficaz:

Aspeto Classificação de prioridade da investigação Pontuação de anomalias
Tabela BehaviorAnalytics Anomalies
Campo InvestigationPriority AnomalyScore
Intervalo 0–10
(0 = benigno, 10 = altamente anómalo)		 0–1
(0 = benigno, 1 = altamente anómalo)
Indicador de Quão invulgar é um único evento, com base na lógica baseada em perfis Comportamento anómalo holístico em vários eventos com machine learning
Utilizado para Triagem rápida e exploração em eventos individuais Identificar padrões e anomalias agregadas ao longo do tempo
Processamento Quase em tempo real, ao nível do evento Processamento em lotes, nível de comportamento
Como é calculado Combina Pontuação de Anomalias de Entidades (raridade de entidades como utilizador, dispositivo, país/região) com Pontuação de Série Temporal (padrões anormais ao longo do tempo, como picos em inícios de sessão falhados). Detetor de anomalias de IA/ML preparado na telemetria da área de trabalho

Por exemplo, quando um utilizador executa uma operação de Azure pela primeira vez:

  • Classificação de prioridade de investigação: Alto, porque é um evento pela primeira vez.
  • Pontuação de anomalias: Baixa, porque ações ocasionais de primeira Azure são comuns e não inerentemente arriscadas.

Embora estas classificações sirvam objetivos diferentes, pode esperar alguma correlação. As pontuações de anomalias elevadas alinham-se frequentemente com a alta prioridade de investigação, mas nem sempre. Cada classificação fornece informações exclusivas para a deteção em camadas.

Utilizar experiências UEBA incorporadas no portal do Defender

Ao surgir anomalias em gráficos de investigação e páginas de utilizador, e levando os analistas a incorporar dados de anomalias em consultas de investigação, o UEBA facilita uma deteção de ameaças mais rápida, uma atribuição de prioridades mais inteligente e uma resposta a incidentes mais eficiente.

Esta secção descreve as principais experiências dos analistas da UEBA disponíveis no portal Microsoft Defender.

Widget da home page do UEBA

A home page do portal do Defender inclui um widget UEBA onde os analistas têm imediatamente visibilidade sobre o comportamento anómalo do utilizador e, por conseguinte, aceleram os fluxos de trabalho de deteção de ameaças. Se o inquilino ainda não estiver integrado no UEBA, este widget também fornece aos administradores de segurança acesso rápido ao processo de inclusão.

Captura de ecrã do widget UEBA a apresentar anomalias recentes do utilizador e um pedido para integrar se o inquilino ainda não estiver configurado.

Informações da UEBA nas investigações dos utilizadores

Os analistas podem avaliar rapidamente o risco do utilizador com o contexto UEBA apresentado nos painéis laterais e o separador Descrição geral em todas as páginas de utilizador no portal do Defender. Quando é detetado um comportamento invulgar, o portal identifica automaticamente os utilizadores com anomalias UEBA que ajudam a priorizar as investigações com base na atividade recente. Para obter mais informações, veja a página Entidade de utilizador no Microsoft Defender.

Cada página de utilizador inclui uma secção Principais anomalias da UEBA, que mostra as três principais anomalias dos últimos 30 dias, juntamente com ligações diretas para consultas de anomalias pré-criadas e a linha cronológica de eventos Sentinel para uma análise mais profunda.

Captura de ecrã que mostra o separador descrição geral da página Utilizador de um utilizador com anomalias UEBA nos últimos 30 dias.

Consultas de anomalias de utilizador incorporadas em investigações de incidentes

Durante as investigações de incidentes, os analistas podem iniciar consultas incorporadas diretamente a partir de gráficos de incidentes no portal do Defender para obter todas as anomalias do utilizador relacionadas com o caso.

Captura de ecrã a mostrar um gráfico de incidentes, a realçar a opção Go hunt Todas as anomalias do utilizador, que permite que os analistas encontrem rapidamente todas as anomalias relacionadas com o utilizador.

Para obter mais informações, veja Investigar incidentes no portal do Microsoft Defender.

Enriquecer consultas avançadas de investigação e deteções personalizadas com dados UEBA

Quando os analistas escrevem consultas de Investigação Avançada ou deteção personalizada com tabelas relacionadas com UEBA, o portal do Microsoft Defender apresenta uma faixa que os pede para aderirem à tabela Anomalias. Isto melhora as investigações com informações comportamentais e reforça a análise geral.

Captura de ecrã que mostra a página Investigação Avançada com uma faixa que pede ao analista para se juntar à tabela Anomalias e enriquecer a análise com informações comportamentais.

Para mais informações, consulte:

Agregar informações de comportamento com a camada de comportamentos UEBA

Enquanto a UEBA cria perfis de linha de base para detetar atividades anómalos, a nova camada de comportamentos UEBA agrega eventos relacionados de registos de segurança não processados de alto volume em comportamentos claros, estruturados e significativos que explicam "quem fez o quê a quem" de relance.

A camada de comportamentos melhora os registos não processados com:

  • Explicações de linguagem natural que tornam as atividades complexas imediatamente compreensíveis
  • MITRE ATT&mapeamentos CK que alinham comportamentos com táticas e técnicas conhecidas
  • Identificação da função de entidade que esclarece os atores e destinos envolvidos

Ao converter registos fragmentados em objetos de comportamento coerentes, a camada de comportamentos acelera a investigação de ameaças, simplifica a criação de deteções e fornece um contexto mais avançado para a deteção de anomalias ueBA. Em conjunto, estas capacidades ajudam os analistas a compreender rapidamente não só que algo anómalo aconteceu, mas o que aconteceu e por que é importante.

Para obter mais informações, veja Traduzir registos de segurança não processados para informações comportamentais com comportamentos UEBA no Microsoft Sentinel.

Modelo de preços

O UEBA está incluído com Microsoft Sentinel sem custos adicionais. Os dados UEBA são armazenados em tabelas do Log Analytics e seguem os preços padrão Microsoft Sentinel. Para obter mais informações, veja Microsoft Sentinel preços.

Passos seguintes

Para obter orientações práticas sobre a implementação e utilização do UEBA, veja:

Para obter recursos de preparação, veja:

  • Last updated on