قم بتمكين تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Azure Sentinel
في خطوة النشر السابقة، قمت بتمكين محتوى أمان Microsoft Sentinel الذي تحتاجه لحماية أنظمتك. في هذه المقالة، ستتعلم كيفية تمكين واستخدام ميزة UEBA لتبسيط عملية التحليل. هذه المقالة هي جزء من دليل النشر ل Microsoft Sentinel.
نظراً لأن Microsoft Sentinel يجمع السجلات والتنبيهات من جميع مصادر البيانات المتصلة به، فإنه يقوم بتحليلها وإنشاء ملفات تعريف سلوكية أساسية لكيانات مؤسستك (مثل المستخدمين، والمضيفين، وIP، والتطبيقات) عبر الزمن وأفق مجموعة النظراء. باستخدام مجموعة متنوعة من التقنيات وقدرات التعلم الآلي يمكن لـ Microsoft Azure Sentinel بعد ذلك تحديد النشاط الغريب ومساعدتك في تحديد ما إذا تم اختراق أحد الأصول أم لا. تعرف على المزيد حول UEBA.
إشعار
للحصول على معلومات حول توافر الميزات في سحابة حكومة الولايات المتحدة، راجع جداول Microsoft Azure Sentinel في توافر الميزات السحابية لعملاء حكومة الولايات المتحدة .
هام
يتوفر Microsoft Sentinel كجزء من المعاينة العامة للنظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender. لمزيد من المعلومات، راجع Microsoft Sentinel في مدخل Microsoft Defender.
المتطلبات الأساسية
لتمكين هذه الميزة أو تعطيلها (هذه المتطلبات الأساسية غير مطلوبة لاستخدام الميزة):
يجب تعيين أدوار Microsoft Entra ID Global مسؤول istrator أو Security مسؤول istrator في المستأجر الخاص بك.
يجب تعيين واحد على الأقل من أدوار Azure التالية للمستخدم (تعرف على المزيد حول Azure RBAC):
- Microsoft Sentinel Contributor على مستويات مساحة العمل أو مجموعة الموارد.
- مساهم Log Analytics على مستوى مجموعة الموارد أو الاشتراك.
يجب ألا يكون لمساحة العمل الخاصة بك أي تأمينات موارد Azure مطبقة عليها. تعرف على المزيد حول تأمين موارد Azure.
إشعار
- لا يلزم ترخيص خاص لإضافة وظائف UEBA إلى Microsoft Sentinel، ولا توجد تكلفة إضافية لاستخدامه.
- ومع ذلك، نظرًا لأن UEBA ينشئ بيانات جديدة ويخزنها في جداول جديدة ينشئها UEBA في مساحة عمل Log Analytics، فسيتم تطبيق رسوم تخزين بيانات إضافية.
كيفية تمكين تحليلات سلوك المستخدم والكيان
- مستخدمو Microsoft Sentinel في مدخل Microsoft Azure، اتبع الإرشادات الموجودة في علامة تبويب مدخل Microsoft Azure.
- مستخدمو Microsoft Sentinel كجزء من النظام الأساسي لعمليات الأمان الموحدة في مدخل Microsoft Defender، اتبع الإرشادات الموجودة في علامة تبويب مدخل Defender.
انتقل إلى صفحة تكوين سلوك الكيان.
استخدم أي من هذه الطرق الثلاث للوصول إلى صفحة تكوين سلوك الكيان:
حدّد سلوك الكيان من قائمة التنقل في Microsoft Sentinel، ثم حدّد من شريط القائمة العلوي إعدادات سلوك الكيان.
حدّد إعدادات من قائمة التنقل في Microsoft Sentinel، ثم حدّد علامة التبويب إعدادات، وضمن موسعتحليلات سلوك الكيان ، حدّد تمكين UEBA.
من صفحة موصل بيانات Microsoft Defender XDR، حدد الارتباط Go the UEBA configuration page .
في صفحة تكوين سلوك الكيان، قم بتبديل إلى تشغيل.
ضع علامة على خانات الاختيار بجوار أنواع مصادر Active Directory التي تريد من خلالها مزامنة كيانات المستخدم مع Microsoft Sentinel.
- "Active Directory" المحلي (إصدار أولي)
- معرِّف Microsoft Entra
لمزامنة كيانات المستخدم من Active Directory محلي، يجب إلحاق مستأجر Azure ب Microsoft Defender for Identity (إما مستقل أو كجزء من Microsoft Defender XDR) ويجب أن يكون مستشعر MDI مثبتا على وحدة تحكم مجال Active Directory. لمزيد من المعلومات، راجع المتطلبات الأساسية في Microsoft Defender for Identity.
ضع علامة على خانات الاختيار بجوار مصادر البيانات التي تريد تمكين UEBA عليها.
إشعار
أسفل قائمة مصادر البيانات الموجودة، سترى قائمة بمصادر البيانات المدعومة من UEBA التي لم تتصل بها بعد.
بمجرد تمكين UEBA، سيكون لديك الخيار، عند توصيل مصادر بيانات جديدة، لتمكينها ل UEBA مباشرة من جزء موصل البيانات إذا كانت قادرة على UEBA.
حدد تطبيق. إذا قمت بالوصول إلى هذه الصفحة من خلال صفحة سلوك الكيان، فسيتم إرجاعك هناك.
الخطوات التالية
في هذه المقالة، تعلمت كيفية تمكين وتكوين تحليلات سلوك المستخدم والكيان (UEBA) في Microsoft Sentinel. لمزيد من المعلومات حول UEBA: