Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu

• Platí pro:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

V předchozím kroku nasazení jste povolili obsah zabezpečení služby Microsoft Sentinel, který potřebujete k ochraně vašich systémů. V tomto článku se dozvíte, jak povolit a používat funkci UEBA ke zjednodušení procesu analýzy. Tento článek je součástí průvodce nasazením pro Microsoft Sentinel.

Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) v rámci časového a partnerského horizontu skupin. Pomocí různých technik a schopností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli došlo k ohrožení zabezpečení prostředku. Přečtěte si další informace o UEBA.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Microsoft Sentinel je k dispozici jako součást veřejné verze Preview pro jednotnou platformu operací zabezpečení na portálu Microsoft Defender. Další informace najdete v tématu Microsoft Sentinel na portálu Microsoft Defender.

Požadavky

Pokud chcete tuto funkci povolit nebo zakázat (pro použití této funkce se nevyžadují tyto požadavky):

• Vašemu uživateli musí být přiřazeny role globálního Správa istratoru nebo Správa istratoru Microsoft Entra ID ve vašem tenantovi.

• Uživateli musí být přiřazena alespoň jedna z následujících rolí Azure (Další informace o Azure RBAC):

  • Přispěvatel Microsoft Sentinelu na úrovni pracovního prostoru nebo skupiny prostředků
  • Přispěvatel Log Analytics na úrovni skupiny prostředků nebo předplatného

• Váš pracovní prostor nesmí obsahovat žádné zámky prostředků Azure. Přečtěte si další informace o uzamykání prostředků Azure.

Poznámka:

• K přidání funkcí UEBA do Služby Microsoft Sentinel není nutná žádná speciální licence a za její použití nejsou žádné další náklady.
• Protože ale UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, budou platit další poplatky za úložiště dat.

Povolení analýzy chování uživatelů a entit

• Uživatelé služby Microsoft Sentinel na webu Azure Portal postupujte podle pokynů na kartě Azure Portal .
• Uživatelé Služby Microsoft Sentinel jako součást sjednocené platformy operací zabezpečení na portálu Microsoft Defenderu postupujte podle pokynů na kartě portálu Defender.

1. Přejděte na stránku konfigurace chování entity.

   Azure Portal

   Pomocí některého z těchto tří způsobů se dostanete na stránku konfigurace chování entit:

   • V navigační nabídce Služby Microsoft Sentinel vyberte chování entit a pak v horním řádku nabídek vyberte nastavení chování entit.

   • V navigační nabídce Microsoft Sentinelu vyberte Nastavení, vyberte kartu Nastavení a pak v rozbalovači Analýzy chování entit vyberte Nastavit UEBA.

   • Na stránce datového konektoru XDR v programu Microsoft Defender vyberte odkaz Přejít na konfigurační stránku UEBA.

   Portál Defenderu

   Jak se dostat na stránku konfigurace chování entity:

   1. V navigační nabídce portálu Microsoft Defender vyberte Nastavení.
   2. Na stránce Nastavení vyberte Microsoft Sentinel.
   3. V další nabídce vyberte Analýzu chování entit.
   4. Pak vyberte Nastavit UEBA , která otevře novou kartu prohlížeče se stránkou Konfigurace chování entit na webu Azure Portal.

2. Na stránce Konfigurace chování entity přepněte přepínač na Zapnuto.

   

3. Zaškrtněte políčka vedle typů zdrojů služby Active Directory, ze kterých chcete synchronizovat entity uživatelů se službou Microsoft Sentinel.

   • Místní služba Active Directory (Preview)
   • Microsoft Entra ID

   Pokud chcete synchronizovat entity uživatelů z místní Active Directory, musí být váš tenant Azure onboardovaný k Microsoft Defenderu for Identity (samostatně nebo jako součást XDR v programu Microsoft Defender) a musíte mít na řadiči domény Active Directory nainstalovaný senzor MDI. Další informace najdete v požadavcích microsoft Defenderu for Identity.

4. Zaškrtněte políčka vedle zdrojů dat, u kterých chcete povolit UEBA.

   Poznámka:

   Pod seznamem existujících zdrojů dat se zobrazí seznam zdrojů dat podporovaných jazykem UEBA, které jste ještě nepřipojili.

   Jakmile povolíte UEBA, budete mít možnost při připojování nových zdrojů dat povolit UEBA přímo z podokna datového konektoru, pokud jsou podporující UEBA.

5. Vyberte Použít. Pokud jste na tuto stránku přistupovali prostřednictvím stránky chování entity, vrátíte se tam.

Další kroky

V tomto článku jste zjistili, jak povolit a nakonfigurovat analýzu chování uživatelů a entit (UEBA) v Microsoft Sentinelu. Další informace o UEBA:

Zkoumání entit pomocí stránek entit