Aktiver UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel

  • Gjelder for: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

UEBA (User and Entity Behavior Analytics) i Microsoft Sentinel analyserer logger og varsler fra tilkoblede datakilder for å bygge atferdsprofiler for opprinnelig plan for organisasjonens enheter, for eksempel brukere, verter, IP-adresser og programmer. Ved hjelp av maskinlæring identifiserer UEBA uregelmessig aktivitet som kan indikere en kompromittert ressurs.

Du kan aktivere analyse av virkemåte for bruker og enhet på to måter, begge med samme resultat:

  • Fra innstillingene for Microsoft Sentinel arbeidsområde: Aktiver UEBA for arbeidsområdet, og velg hvilke datakilder som skal kobles til i Microsoft Defender portal eller Azure Portal.
  • Fra støttede datakoblinger: Aktiver UEBA når du konfigurerer UEBA-støttede datakoblinger i Microsoft Defender-portalen.

Denne artikkelen forklarer hvordan du aktiverer UEBA og konfigurerer datakilder fra innstillingene for Microsoft Sentinel arbeidsområdet og fra støttede datakoblinger.

Hvis du vil ha mer informasjon om UEBA, kan du se Identifisere trusler med enhetsatferdsanalyse.

Obs!

Hvis du vil ha informasjon om funksjonstilgjengelighet i US Government-skyer, kan du se Microsoft Sentinel tabeller i skyfunksjonstilgjengelighet for US Government-kunder.

Viktig

Etter 31. mars 2027 vil Microsoft Sentinel ikke lenger støttes i Azure Portal og vil bare være tilgjengelig i Microsoft Defender-portalen. Alle kunder som bruker Microsoft Sentinel i Azure Portal, blir omdirigert til Defender-portalen og vil bare bruke Microsoft Sentinel i Defender-portalen.

Hvis du fortsatt bruker Microsoft Sentinel i Azure Portal, anbefaler vi at du begynner å planlegge overgangen til Defender-portalen for å sikre en jevn overgang og dra full nytte av opplevelsen av enhetlige sikkerhetsoperasjoner som tilbys av Microsoft Defender.

Forutsetninger

Hvis du vil aktivere eller deaktivere denne funksjonen (disse forutsetningene er ikke nødvendige for å bruke funksjonen):

  • Brukeren må være tilordnet rollen Microsoft Entra ID sikkerhetsadministrator i leieren eller tilsvarende tillatelser.

  • Brukeren må være tilordnet minst én av følgende Azure roller (Mer informasjon om Azure RBAC):

    • Eier på ressursgruppenivå eller høyere.
    • Bidragsyter på ressursgruppenivå eller høyere.
    • (Minst privilegert) Microsoft Sentinel bidragsyter på arbeidsområdenivå eller høyere, og Logg analysebidragsyter på ressursgruppenivå eller høyere.

  • Arbeidsområdet kan ikke ha noen Azure ressurslåser. Mer informasjon om Azure ressurslåsing.

Obs!

  • Det kreves ingen spesiell lisens for å legge til UEBA-funksjonalitet i Microsoft Sentinel, og det er ingen ekstra kostnader for å bruke den.
  • Siden UEBA genererer nye data og lagrer dem i nye tabeller som UEBA oppretter i Log Analytics-arbeidsområdet, gjelder imidlertid ekstra datalagringskostnader .

Aktiver UEBA fra innstillinger for arbeidsområde

Slik aktiverer du UEBA fra innstillingene for Microsoft Sentinel arbeidsområde:

  1. Gå til konfigurasjonssiden for enhetsvirkemåte .

    Bruk en av disse tre måtene for å gå til konfigurasjonssiden for enhetsvirkemåte :

    • Velg enhetsvirkemåte fra navigasjonsmenyen Microsoft Sentinel, og velg deretter innstillinger for enhetsvirkemåte fra den øverste menylinjen.

    • Velg Innstillinger fra Microsoft Sentinel navigasjonsmeny, velg Innstillinger-fanen, og velg deretter Angi UEBA under analyseutvideren for enhetsvirkemåte.

    • Velg koblingen Gå til UEBA-konfigurasjonssiden fra Microsoft Defender XDR datakoblingssiden.

  2. Aktiver/deaktiver Aktiver UEBA-funksjonen påkonfigurasjonssiden for enhetsvirkemåte.

    Skjermbilde av konfigurasjonsinnstillinger for UEBA.

  3. Velg katalogtjenestene du vil synkronisere brukerenheter med Microsoft Sentinel fra.

    • Active Directory lokalt (forhåndsversjon)
    • Microsoft Entra ID

    Hvis du vil synkronisere brukerenheter fra lokal Active Directory, må du omlaste Azure-leieren til Microsoft Defender for identitet (enten frittstående eller som en del av Microsoft Defender XDR), og du må ha MDI-sensoren installert på Active Directory Domenekontroller. Hvis du vil ha mer informasjon, kan du se Microsoft Defender for identitet forutsetninger.

  4. Velg Koble til alle datakilder for å koble til alle kvalifiserte datakilder, eller velg bestemte datakilder fra listen.

    Du kan bare aktivere disse datakildene fra Defender- og Azure-portalene:

    • Påloggingslogger
    • Overvåkingslogger
    • Azure aktivitet
    • Sikkerhetshendelser

    Du kan bare aktivere disse datakildene fra Defender-portalen (forhåndsvisning):

    • Påloggingslogger for AAD-administrert identitet (Microsoft Entra ID)
    • Påloggingslogger for AAD-tjenestekontohaver (Microsoft Entra ID)
    • AWS CloudTrail
    • Påloggingshendelser for enhet
    • Okta CL
    • GCP-overvåkingslogger

    Hvis du vil ha mer informasjon om UEBA-datakilder og avvik, kan du se Microsoft Sentinel UEBA-referanse og UEBA-avvik.

    Obs!

    Når du har aktivert UEBA, kan du aktivere støttede datakilder for UEBA direkte fra datakoblingsruten, eller fra siden Innstillinger for Defender-portalen, som beskrevet i denne artikkelen.

  5. Velg Koble til.

  6. Aktiver avviksregistrering i Microsoft Sentinel-arbeidsområdet:

    1. Velg Innstillinger>Microsoft Sentinel>SIEM-arbeidsområder fra Microsoft Defender portalnavigasjonsmenyen.
    2. Velg arbeidsområdet du vil konfigurere.
    3. Velg Avvik fra konfigurasjonssiden for arbeidsområdet, og aktiver / deaktiver identifiser avvik.

Aktiver UEBA fra støttede koblinger

Slik aktiverer du UEBA fra støttede datakoblinger i Microsoft Defender portalen:

  1. Velg > Microsoft Sentinel Konfigurasjonsdata-koblinger > fra Microsoft Defender portalnavigasjonsmenyen.

  2. Velg en UEBA-støttet datakobling som støtter UEBA. Hvis du vil ha mer informasjon om UEBA-støttede datakoblinger og -tabeller, kan du se Microsoft Sentinel UEBA-referanse.

  3. Velg Åpne kobling-siden fra datakoblingsruten.

  4. Velg Avanserte alternativersiden Koblingsdetaljer.

  5. Aktiver/deaktiver tabellene du vil aktivere for UEBA, under Konfigurer UEBA.

    Skjermbilde av UEBA-konfigurasjon i datakobling.

Hvis du vil ha mer informasjon om hvordan du konfigurerer Microsoft Sentinel datakoblinger, kan du se Koble datakilder til Microsoft Sentinel ved hjelp av datakoblinger.

Installer UEBA Essentials-løsningen (valgfritt)

UEBA Essentials-løsningen er en samling av dusinvis av forhåndsbygde jaktspørringer kuratert og vedlikeholdt av Microsofts sikkerhetseksperter. Løsningen inkluderer spørringer for avviksregistrering med flere skyer på tvers av Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) og Okta.

Installer løsningen for å komme raskt i gang med trusseljakt og undersøkelser ved hjelp av UEBA-data, i stedet for å bygge disse gjenkjenningsfunksjonene fra grunnen av.

Hvis du vil ha mer informasjon, kan du se Installere eller oppdatere Microsoft Sentinel løsninger.

Aktiver UEBA-virkemåtelaget (forhåndsversjon)

UEBA-virkemåtelaget genererer berikede sammendrag av aktiviteten som er observert på tvers av flere datakilder. I motsetning til varsler eller avvik indikerer ikke virkemåter nødvendigvis risiko – de oppretter et abstraksjonslag som optimaliserer dataene for undersøkelser, jakt og gjenkjenning ved å forbedre klarhet, kontekst og korrelasjon.

Hvis du vil ha mer informasjon om UEBA-virkemåtelaget og hvordan du aktiverer det, kan du se Aktivere UEBA-virkemåtelaget i Microsoft Sentinel.

Neste trinn

Finn ut hvordan du undersøker UEBA-avvik og bruker UEBA-data i undersøkelsene dine:

  • Last updated on