Kommentar
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Det är ofta komplicerat och tidskrävande att identifiera avvikande beteende i en organisation. Microsoft Sentinel användar- och entitetsbeteendeanalys (UEBA) förenklar den här utmaningen genom att kontinuerligt lära sig från dina data för att visa meningsfulla avvikelser som hjälper analytiker att identifiera och undersöka potentiella hot mer effektivt.
Den här artikeln förklarar vad Microsoft Sentinel UEBA (User and Entity Behavior Analytics) är, hur det fungerar, hur du registrerar det och hur du använder UEBA för att identifiera och undersöka avvikelser för att förbättra hotidentifieringsfunktionerna.
Så här fungerar UEBA
Microsoft Sentinel UEBA använder maskininlärning för att skapa dynamiska beteendeprofiler för användare, värdar, IP-adresser, program och andra entiteter. Den identifierar sedan avvikelser genom att jämföra aktuell aktivitet med etablerade baslinjer, vilket hjälper säkerhetsteam att identifiera hot som komprometterade konton, insiderattacker och lateral förflyttning.
När Microsoft Sentinel matar in data från anslutna källor gäller UEBA:
- Beteendemodellering för att identifiera avvikelser
- Utvärdering av peer-gruppanalys och blastradie för att utvärdera effekten av avvikande aktivitet
UEBA tilldelar riskpoäng till avvikande beteenden, med hänsyn till associerade entiteter, allvarlighetsgraden för avvikelsen och kontexten, inklusive:
- Avvikelser mellan geografiska platser, enheter och miljöer
- Ändringar över tid och aktivitetsfrekvens jämfört med entitetens historiska beteende
- Skillnader jämfört med peer-grupper
- Avvikelser från organisationsomfattande beteendemönster
Det här diagrammet visar hur du aktiverar UEBA och hur UEBA analyserar data och tilldelar riskpoäng för att prioritera undersökningar:
Mer information om UEBA-tabeller finns i Undersöka avvikelser med UEBA-data.
Mer information om vilka avvikelser UEBA identifierar finns i Avvikelser som identifieras av Microsoft Sentinel maskininlärningsmotor.
UEBA är inbyggt integrerat i Microsoft Sentinel och Microsoft Defender portalen, vilket ger en sömlös upplevelse för säkerhetsteam och inbäddade upplevelser som förbättrar hotundersökning och svar.
Aktivera UEBA för att skapa beteendeprofiler och identifiera avvikelser
Så här drar du full nytta av UEBA:s avancerade funktioner för hotidentifiering:
Aktivera UEBA i Microsoft Sentinel och anslut viktiga datakällor, till exempel Microsoft Entra ID, Defender för identitet och Office 365. Mer information finns i Aktivera analys av entitetsbeteende.
Installera UEBA Essentials-lösningen, en samling med dussintals färdiga jaktfrågor som kurerats och underhålls av Microsofts säkerhetsexperter. Lösningen innehåller avvikelseidentifieringsfrågor för flera moln i Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) och Okta. Genom att installera lösningen kan du snabbt komma igång med hotjakt och undersökningar med UEBA-data, i stället för att skapa dessa identifieringsfunktioner från grunden.
Information om hur du installerar Microsoft Sentinel lösningar finns i Installera eller uppdatera Microsoft Sentinel lösningar.
Integrera UEBA-insikter i arbetsböcker, incidentarbetsflöden och jaktfrågor för att maximera deras värde i dina SOC-arbetsflöden.
Undersöka avvikelser med UEBA-data
Microsoft Sentinel lagrar UEBA-insikter i flera tabeller, var och en optimerad för olika syften. Analytiker korrelerar ofta data i dessa tabeller för att undersöka avvikande beteende från slutpunkt till slutpunkt.
Den här tabellen innehåller en översikt över data i var och en av UEBA-tabellerna:
| Tabell | Syfte | Nyckelinformation |
|---|---|---|
| IdentityInfo | Detaljerade profiler för entiteter (användare, enheter, grupper) | Byggt från Microsoft Entra ID och valfritt lokal Active Directory via Microsoft Defender for Identity. Viktigt för att förstå användarbeteende. |
| BehaviorAnalytics | Berikade beteendedata med geoplats och hotinformation | Innehåller avvikelser från baslinjen med prioriteringspoäng. Data är beroende av aktiverade anslutningsappar (Entra ID, AWS, GCP, Okta och så vidare). |
| UserPeerAnalytics | Dynamiskt beräknade peer-grupper för beteendebaslinjer | Rangordnar de 20 främsta peer-datorerna baserat på medlemskap i säkerhetsgrupper, e-postlistor och andra associationer. Använder TF-IDF-algoritmen (termfrekvens– omvänd dokumentfrekvens) (mindre grupper har högre vikt). |
| Anomalier | Händelser som identifierats som avvikande | Stöder arbetsflöden för identifiering och undersökning. |
| SentinelBehaviorInfo | Sammanfattning av beteenden som identifieras i rådataloggar | Översätter råa säkerhetsloggar till strukturerade "who did what to who"-sammanfattningar med förklaringar av naturligt språk och MITRE ATT&CK-mappningar. |
| SentinelBehaviorEntiteter | Profiler för entiteter som är inblandade i identifierade beteenden | Information om entiteter – till exempel filer, processer, enheter och användare – som är inblandade i identifierade beteenden. |
Obs!
UEBA-beteendeskiktet är en separat funktion som du aktiverar oberoende av UEBA. Tabellerna SentinelBehaviorInfo och SentinelBehaviorEntities skapas bara på din arbetsyta om du aktiverar beteendeskiktet.
Den här skärmbilden UserPeerAnalytics visar ett exempel på data i tabellen med de åtta högst rankade peer-datorerna för användaren Kendall Collins. Sentinel använder TF-IDF-algoritmen för att normalisera vikter vid beräkning av peer-rangordningar. Mindre grupper har högre vikt.
Mer detaljerad information om UEBA-data och hur du använder dem finns i:
- UEBA-referens för en detaljerad referens av alla UEBA-relaterade tabeller och fält.
- Avvikelser som identifieras av Microsoft Sentinel maskininlärningsmotor för en lista över avvikelser som identifieras av UEBA.
UEBA-bedömning
UEBA ger två poäng som hjälper säkerhetsteam att prioritera undersökningar och effektivt identifiera avvikelser:
| Aspekt | Prioritetspoäng för undersökning | Avvikelsepoäng |
|---|---|---|
| Tabell | BehaviorAnalytics |
Anomalies |
| Fält | InvestigationPriority |
AnomalyScore |
| Område | 0–10 (0 = godartad, 10 = mycket avvikande) |
0–1 (0 = godartad, 1 = mycket avvikande) |
| Indikator för | Hur ovanlig en enskild händelse är, baserat på profildriven logik | Holistiskt avvikande beteende för flera händelser med hjälp av maskininlärning |
| Används för | Snabb sortering och detaljgranskning i enskilda händelser | Identifiera mönster och aggregerade avvikelser över tid |
| Bearbetning | Händelsenivå nära realtid | Batchbearbetning, beteendenivå |
| Hur den beräknas | Kombinerar entitetsavvikelsepoäng (sällsynthet hos entiteter som användare, enhet, land/region) med Time Series Score (onormala mönster över tid, till exempel toppar i misslyckade inloggningar). | AI/ML-avvikelseidentifiering tränad på arbetsytans telemetri |
Till exempel när en användare utför en Azure åtgärd för första gången:
- Prioritetspoäng för undersökning: Hög, eftersom det är en förstagångshändelse.
- Avvikelsepoäng: Låg, eftersom tillfälliga första gången Azure åtgärder är vanliga och inte i sig riskfyllda.
Även om dessa poäng har olika syften kan du förvänta dig en del korrelation. Höga avvikelsepoäng överensstämmer ofta med hög undersökningsprioritet, men inte alltid. Varje poäng ger unik insikt för identifiering i lager.
Använda inbäddade UEBA-upplevelser i Defender-portalen
Genom att visa avvikelser i undersökningsdiagram och användarsidor och uppmana analytiker att införliva avvikelsedata i jaktfrågor underlättar UEBA snabbare hotidentifiering, smartare prioritering och effektivare incidenthantering.
Det här avsnittet beskriver de viktigaste UEBA-analytikerupplevelserna som är tillgängliga i Microsoft Defender-portalen.
UEBA-widget för startsida
Startsidan för Defender-portalen innehåller en UEBA-widget där analytiker omedelbart har insyn i avvikande användarbeteende och därmed påskyndar arbetsflöden för hotidentifiering. Om klienten ännu inte har registrerats i UEBA ger den här widgeten även säkerhetsadministratörer snabb åtkomst till onboarding-processen.
UEBA-insikter i användarundersökningar
Analytiker kan snabbt bedöma användarrisker med UEBA-kontext som visas i sidopaneler och fliken Översikt på alla användarsidor i Defender-portalen. När ovanligt beteende identifieras taggar portalen automatiskt användare med UEBA-avvikelser som hjälper till att prioritera undersökningar baserat på den senaste aktiviteten. Mer information finns på sidan Användarentitet i Microsoft Defender.
Varje användarsida innehåller ett avsnitt med de främsta UEBA-avvikelserna, som visar de tre främsta avvikelserna från de senaste 30 dagarna, tillsammans med direkta länkar till färdiga avvikelsefrågor och tidslinjen för Sentinel händelser för djupare analys.
Inbyggda avvikelsefrågor för användare i incidentundersökningar
Under incidentundersökningar kan analytiker starta inbyggda frågor direkt från incidentdiagram i Defender-portalen för att hämta alla användaravvikelser som är relaterade till ärendet.
Mer information finns i Undersöka incidenter i Microsoft Defender-portalen.
Utöka avancerade jaktfrågor och anpassade identifieringar med UEBA-data
När analytiker skriver avancerade jaktfrågor eller anpassade identifieringsfrågor med UEBA-relaterade tabeller visar Microsoft Defender-portalen en banderoll som uppmanar dem att ansluta till tabellen Avvikelser. Detta berikar undersökningar med beteendeinsikter och stärker den övergripande analysen.
Mer information finns i:
- Jaga proaktivt efter hot med avancerad jakt i Microsoft Defender.
- KQL-kopplingsoperator.
- UEBA-datakällor.
- Avvikelser som identifierats av Microsoft Sentinel maskininlärningsmotorn.
Aggregera beteendeinsikter med UEBA-beteendeskiktet
UEBA skapar baslinjeprofiler för att identifiera avvikande aktivitet, men det nya UEBA-beteendeskiktet aggregerar relaterade händelser från råa säkerhetsloggar med stora volymer till tydliga, strukturerade och meningsfulla beteenden som förklarar "vem som gjorde vad mot vem" snabbt.
Beteendelagret berikar rådataloggar med:
- Förklaringar till naturligt språk som gör komplexa aktiviteter omedelbart begripliga
- MITRE ATT&CK-mappningar som överensstämmer med kända taktiker och tekniker
- Identifiering av entitetsroll som klargör de berörda aktörerna och målen
Genom att konvertera fragmenterade loggar till sammanhängande beteendeobjekt påskyndar beteendeskiktet hotjakt, förenklar identifieringsredigering och ger bättre kontext för UEBA-avvikelseidentifiering. Tillsammans hjälper dessa funktioner analytiker att snabbt förstå inte bara att något avvikande hände, utan vad som hände och varför det spelar roll.
Mer information finns i Översätta råa säkerhetsloggar till beteendeinsikter med UEBA-beteenden i Microsoft Sentinel.
Prismodell
UEBA ingår i Microsoft Sentinel utan extra kostnad. UEBA-data lagras i Log Analytics-tabeller och följer standardpriser för Microsoft Sentinel. Mer information finns i Microsoft Sentinel prissättning.
Nästa steg
Praktisk vägledning om implementering och användning av UEBA finns i:
- Aktivera analys av entitetsbeteende i Microsoft Sentinel.
- Undersök incidenter med UEBA-data.
- Lista över UEBA-avvikelser som identifierats av UEBA-motorn.
- UEBA-referens.
- Jaga säkerhetshot.
Information om träningsresurser finns i: