Ota käyttöön käyttäjä- ja entiteettitoiminta-analytiikka (UEBA) Microsoft Sentinel

  • Koskee seuraavia:: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Käyttäjä- ja entiteettitoiminta-analytiikka (UEBA) analysoi Microsoft Sentinel yhdistettyjen tietolähteiden lokeja ja hälytyksiä luodakseen perustason käyttäytymisprofiileja organisaatiosi entiteeteille, kuten käyttäjille, isännille, IP-osoitteille ja sovelluksille. Koneoppimisen avulla UEBA tunnistaa poikkeavan toiminnan, joka voi viitata vaarantuneeseen resurssiin.

Voit ottaa käyttäjä- ja entiteettitoiminta-analytiikan käyttöön kahdella tavalla, joilla kummallakin on sama tulos:

  • Microsoft Sentinel työtilan asetuksista: Ota UEBA käyttöön työtilassasi ja valitse tietolähteet, joihin yhteys muodostetaan Microsoft Defender-portaalissa tai Azure-portaali.
  • Tuetuista tietoliittimistä: Ota UEBA käyttöön, kun määrität UEBA:n tukemat tietoliittimet Microsoft Defender portaalissa.

Tässä artikkelissa kerrotaan, miten voit ottaa UEBA:n käyttöön ja määrittää tietolähteitä Microsoft Sentinel työtilan asetuksista ja tuetuista tietoliittimistä.

Lisätietoja UEBA:sta on kohdassa Uhkien tunnistaminen entiteetin käyttäytymisanalytiikalla.

Huomautus

Lisätietoja ominaisuuksien saatavuudesta Yhdysvaltain valtionhallinnon pilvipalveluissa on kohdassa Microsoft Sentinel taulukot Pilvipalvelun ominaisuuksien käytettävyydestä Yhdysvaltain valtionhallinnon asiakkaille.

Tärkeää

31.3.2027 jälkeen Microsoft Sentinel ei enää tueta Azure-portaali ja se on käytettävissä vain Microsoft Defender-portaalissa. Kaikki asiakkaat, jotka käyttävät Microsoft Sentinel Azure-portaali, ohjataan Defender-portaaliin ja he käyttävät Microsoft Sentinel vain Defender-portaalissa.

Jos käytät edelleen Microsoft Sentinel Azure-portaali, suosittelemme, että aloitat Defender-portaaliin siirtymisen suunnittelun, jotta siirtyminen olisi sujuvaa ja jotta voit hyödyntää täysin Microsoft Defender tarjoamaa yhtenäistä suojaustoimintokokemusta.

Ennakkovaatimukset

Voit ottaa tämän ominaisuuden käyttöön tai poistaa sen käytöstä (näitä edellytyksiä ei tarvita ominaisuuden käyttämiseen):

  • Käyttäjälle on määritettävä Microsoft Entra ID suojauksen järjestelmänvalvojan rooli vuokraajassasi tai vastaavat käyttöoikeudet.

  • Käyttäjälle on määritettävä vähintään yksi seuraavista Azure rooleista (lisätietoja Azure RBAC:stä):

    • Omistaja resurssiryhmätasolla tai sitä uudemmilla tasoilla.
    • Osallistuja resurssiryhmätasolla tai sitä uudemmilla tasoilla.
    • (Vähiten etuoikeutetut) Microsoft Sentinel Osallistuja työtilatasolla tai sen yläpuolella ja Log Analytics Contributor resurssiryhmän tasolla tai yläpuolella.

  • Työtilassa ei saa olla Azure resurssilukkoja. Lisätietoja Azure resurssien lukitsemisesta.

Huomautus

  • UEBA-toimintojen lisääminen Microsoft Sentinel ei edellytä erityistä käyttöoikeutta, eikä sen käyttämisestä ole lisämaksuja.
  • Koska UEBA kuitenkin luo uusia tietoja ja tallentaa ne uusiin taulukoihin, jotka UEBA luo Log Analytics -työtilassasi, sovelletaan ylimääräisiä tietojen tallennusmaksuja .

Ota UEBA käyttöön työtilan asetuksista

Voit ottaa UEBA:n käyttöön Microsoft Sentinel työtilan asetuksista seuraavasti:

  1. Siirry entiteetin toiminnan määrityssivulle .

    Pääset entiteetin toiminnan määrityssivulle jollakin seuraavista kolmesta tavasta:

    • Valitse entiteetin toiminta Microsoft Sentinel siirtymisvalikosta ja valitse sitten yläreunan valikkoriviltä Entiteetin toiminta-asetukset.

    • Valitse asetukset Microsoft Sentinel siirtymisvalikosta, valitse Asetukset-välilehti ja valitse sitten Entiteettikäyttäytymisen analytiikan laajennus -kohdassa Aseta UEBA.

    • Valitse Microsoft Defender XDR tietoliittimen sivulta Siirry UEBA-määrityssivun linkki.

  2. Ota Käyttöön UEBA-ominaisuusEntiteetin toiminnan määritys -sivulla.

    Näyttökuva UEBA-määritysasetuksista.

  3. Valitse hakemistopalvelut, joista haluat synkronoida käyttäjäentiteetit Microsoft Sentinel kanssa.

    • Paikallinen Active Directory (esikatselu)
    • Microsoft Entra ID

    Jos haluat synkronoida käyttäjäentiteettejä paikallinen Active Directory, sinun on otettava Azure vuokraajasi Microsoft Defender for Identity (joko erilliseksi tai osana Microsoft Defender XDR) ja sinulla on oltava MDI-tunnistin asennettuna Active Directory -toimialueen ohjauskoneeseen. Lisätietoja on kohdassa Microsoft Defender for Identity edellytykset.

  4. Yhdistä kaikki oikeutetut tietolähteet valitsemalla Yhdistä kaikki tietolähteet tai valitse luettelosta tietyt tietolähteet.

    Voit ottaa nämä tietolähteet käyttöön vain Defender- ja Azure portaaleissa:

    • Kirjautumistunnukset
    • Valvontalokit
    • Azure toiminto
    • Suojaustapahtumat

    Voit ottaa nämä tietolähteet käyttöön vain Defender-portaalissa (esikatselu):

    • AAD:n hallittujen käyttäjätietojen kirjautumislokit (Microsoft Entra ID)
    • AAD-palvelun päänimen kirjautumislokit (Microsoft Entra ID)
    • AWS CloudTrail
    • Laitteen kirjautumistapahtumat
    • Okta CL
    • GCP-valvontalokit

    Lisätietoja UEBA-tietolähteistä ja poikkeamista on kohdassa Microsoft Sentinel UEBA-viittaus ja UEBA-poikkeamat.

    Huomautus

    Kun olet ottanut UEBA:n käyttöön, voit ottaa UEBA:n tuetut tietolähteet käyttöön suoraan tietoyhdistimen ruudusta tai Defender-portaalin Asetukset-sivulta tässä artikkelissa kuvatulla tavalla.

  5. Valitse Yhdistä.

  6. Ota poikkeamien tunnistaminen käyttöön Microsoft Sentinel työtilassa:

    1. Valitse Microsoft Defender portaalin siirtymisvalikosta Asetukset>Microsoft Sentinel>SIEM-työtilat.
    2. Valitse työtila, jonka haluat määrittää.
    3. Valitse työtilan määrityssivulta Poikkeamat ja vaihda kohtaa Tunnista poikkeamat.

Ota UEBA käyttöön tuetuista liittimistä

UEBA:n ottaminen käyttöön tuetuista tietoliittimistä Microsoft Defender portaalissa:

  1. Valitse Microsoft Defender portaalin siirtymisvalikosta Microsoft Sentinel > Määritystietojen > liittimet.

  2. Valitse UEBA:n tukema tietoyhdistin, joka tukee UEBA:ta. Lisätietoja UEBA:n tuetuista tietoliittimistä ja taulukoista on kohdassa UEBA Microsoft Sentinel viittaus.

  3. Valitse tietoyhdistinruudusta Avaa liitinsivu.

  4. Valitse Liittimen tiedot -sivulla Lisäasetukset.

  5. Vaihda UEBA:n määritys -kohdassa ne taulukot, jotka haluat ottaa käyttöön UEBA:ssa.

    Näyttökuva UEBA-määrityksistä tietoyhdistimessä.

Lisätietoja tietoyhdistimien Microsoft Sentinel määrittämisestä on artikkelissa Tietolähteiden yhdistäminen Microsoft Sentinel tietoliittimien avulla.

Asenna UEBA Essentials -ratkaisu (valinnainen)

UEBA Essentials -ratkaisu on kokoelma kymmeniä valmiita metsästyskyselyitä, jotka Microsoftin tietoturva-asiantuntijat ovat kuratoineet ja ylläpitäneet. Ratkaisu sisältää usean pilvipalvelun poikkeamien tunnistuskyselyt Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) ja Okta.

Asenna ratkaisu, jonka avulla voit aloittaa nopeasti uhkien metsästyksen ja UEBA-tietojen käytön tutkimukset sen sijaan, että rakentaisi näitä tunnistusominaisuuksia alusta alkaen.

Lisätietoja on artikkelissa Microsoft Sentinel ratkaisujen asentaminen tai päivittäminen.

Ota UEBA-toimintakerros käyttöön (esikatselu)

UEBA-toimintakerros luo täydennettyjä yhteenvetoja toiminnoista, joita on havaittu useissa tietolähteissä. Toisin kuin hälytykset tai poikkeamat, toiminta ei välttämättä tarkoita riskiä – ne luovat abstraktiokerroksen, joka optimoi tietosi tutkimuksia, metsästystä ja havaitsemista varten lisäämällä selkeyttä, kontekstia ja korrelaatiota.

Lisätietoja UEBA-toimintakerroksesta ja sen käyttöönotosta on kohdassa Ota UEBA-toimintakerros käyttöön Microsoft Sentinel.

Seuraavat vaiheet

Opi tutkimaan UEBA-poikkeamia ja käyttämään UEBA-tietoja tutkimuksissasi:

  • Last updated on