Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel

Analýza chování uživatelů a entit (UEBA) v Microsoft Sentinel analyzuje protokoly a výstrahy z připojených zdrojů dat a vytváří základní profily chování entit vaší organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. Pomocí strojového učení identifikuje UEBA neobvyklou aktivitu, která může indikovat ohrožený prostředek.

Analýzu chování uživatelů a entit můžete povolit dvěma způsoby, oba se stejným výsledkem:

• V Microsoft Sentinel nastavení pracovního prostoru: Povolte pro svůj pracovní prostor UEBA a vyberte zdroje dat, které se mají připojit na portálu Microsoft Defender nebo Azure Portal.
• Z podporovaných datových konektorů: Povolte UEBA při konfiguraci datových konektorů podporovaných rozhraním UEBA na portálu Microsoft Defender.

Tento článek vysvětluje, jak povolit UEBA a nakonfigurovat zdroje dat z nastavení Microsoft Sentinel pracovního prostoru a z podporovaných datových konektorů.

Další informace o rozhraní UEBA najdete v tématu Identifikace hrozeb pomocí analýzy chování entit.

Poznámka

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinel v tématu Dostupnost cloudových funkcí pro zákazníky státní správy USA.

Důležité

Po 31. březnu 2027 už se Microsoft Sentinel nebudou v Azure Portal podporovat a budou dostupné jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel v Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud v Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender, abyste zajistili hladký přechod a plně využili jednotné prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Pokud chcete tuto funkci povolit nebo zakázat (pro použití této funkce se tyto požadavky nevyžadují):

• Uživatel musí být ve vašem tenantovi přiřazený k roli správce zabezpečení Microsoft Entra ID nebo k ekvivalentním oprávněním.

• Uživateli musí být přiřazena alespoň jedna z následujících rolí Azure (Další informace o Azure RBAC):

  • Vlastník na úrovni skupiny prostředků nebo vyšší
  • Přispěvatel na úrovni skupiny prostředků nebo vyšší
  • (Nejméně privilegované) Microsoft Sentinel Přispěvatel na úrovni pracovního prostoru nebo vyšší a Přispěvatel Log Analytics na úrovni skupiny prostředků nebo vyšší.

• V pracovním prostoru nesmí být použity žádné Azure zámky prostředků. Přečtěte si další informace o zamykání Azure prostředků.

Poznámka

• K přidání funkcí UEBA do Microsoft Sentinel se nevyžaduje žádná speciální licence a za její používání se nenákladí žádné další náklady.
• Vzhledem k tomu, že rozhraní UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, účtují se další poplatky za úložiště dat .

Povolení UEBA z nastavení pracovního prostoru

Povolení UEBA z nastavení pracovního prostoru Microsoft Sentinel:

1. Přejděte na stránku konfigurace chování entit .

   Azure Portal

   Na stránku konfigurace chování entit se dostanete jedním z těchto tří způsobů:

   • V navigační nabídce Microsoft Sentinel vyberte Chování entity a pak v horním řádku nabídek vyberte Nastavení chování entit.

   • V navigační nabídce Microsoft Sentinel vyberte Nastavení, vyberte kartu Nastavení a pak v rozbaleném okně Analýza chování entit vyberte Nastavit UEBA.

   • Na stránce Microsoft Defender XDR datový konektor vyberte odkaz Přejít na stránku konfigurace UEBA.

   Portál Defender

   Pokud se chcete dostat na stránku konfigurace chování entit :

   1. V navigační nabídce Microsoft Defender portálu vyberte Nastavení>Microsoft Sentinel>SIEM pracovní prostory.
   2. Vyberte pracovní prostor, který chcete nakonfigurovat.
   3. Na stránce konfigurace pracovního prostoru vyberte Analýza >chování entitKonfigurovat UEBA.

2. Na stránce Konfigurace chování entit přepněte možnost Zapnout funkci UEBA.

   

3. Vyberte adresářové služby, ze kterých chcete synchronizovat entity uživatelů s Microsoft Sentinel.

   • Místní služba Active Directory (Preview)
   • Microsoft Entra ID

   Pokud chcete synchronizovat entity uživatelů z místní Active Directory, musíte nasadit tenanta Azure do Microsoft Defender for Identity (buď samostatně, nebo jako součást Microsoft Defender XDR) a ve službě Active Directory musíte mít nainstalovaný senzor MDI. řadič domény. Další informace najdete v tématu požadavky Microsoft Defender for Identity.

4. Vyberte Připojit všechny zdroje dat a připojte všechny oprávněné zdroje dat nebo vyberte konkrétní zdroje dat ze seznamu.

   Tyto zdroje dat můžete povolit jenom z portálů Defender a Azure:

   • Protokoly přihlašování
   • Protokoly auditu
   • aktivita Azure
   • Události zabezpečení

   Tyto zdroje dat můžete povolit jenom na portálu Defender (Preview):

   • Protokoly přihlášení spravované identity AAD (Microsoft Entra ID)
   • Protokoly přihlášení instančních objektů služby AAD (Microsoft Entra ID)
   • AWS CloudTrail
   • Události přihlášení zařízení
   • Okta CL
   • Protokoly auditu GCP

   Další informace o zdrojích dat a anomáliích UEBA najdete v tématech Microsoft Sentinel Referenční informace k UEBA a Anomálie UEBA.

   Poznámka

   Po povolení UEBA můžete povolit podporované zdroje dat pro UEBA přímo z podokna datového konektoru nebo na stránce Nastavení portálu Defender, jak je popsáno v tomto článku.

5. Vyberte Připojit.

6. Povolení detekce anomálií v pracovním prostoru Microsoft Sentinel:

   1. V navigační nabídce Microsoft Defender portálu vyberte Nastavení>Microsoft Sentinel>SIEM pracovní prostory.
   2. Vyberte pracovní prostor, který chcete nakonfigurovat.
   3. Na stránce konfigurace pracovního prostoru vyberte Anomálie a zapněte možnost Zjistit anomálie.

Povolení UEBA z podporovaných konektorů

Povolení UEBA z podporovaných datových konektorů na portálu Microsoft Defender:

1. V navigační nabídce Microsoft Defender portálu vyberte konektory Microsoft Sentinel > Konfigurační > data.

2. Vyberte datový konektor podporovaný rozhraním UEBA, který podporuje UEBA. Další informace o datových konektorech a tabulkách podporovaných rozhraním UEBA najdete v referenčních informacích Microsoft Sentinel UEBA.

3. V podokně datového konektoru vyberte Otevřít stránku konektoru.

4. Na stránce Podrobnosti konektoru vyberte Upřesnit možnosti.

5. V části Konfigurovat UEBA přepněte tabulky, které chcete povolit pro UEBA.

   

Další informace o konfiguraci Microsoft Sentinel datových konektorů najdete v tématu Připojení zdrojů dat k Microsoft Sentinel pomocí datových konektorů.

Instalace řešení UEBA Essentials (volitelné)

Řešení UEBA Essentials je kolekce desítek předem připravených dotazů proaktivního vyhledávání, které kurátorují a spravují odborníci na zabezpečení Microsoftu. Řešení zahrnuje dotazy na detekci anomálií ve více cloudech ve službách Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a Okta.

Nainstalujte řešení, abyste mohli rychle začít s proaktivního vyhledáváním hrozeb a vyšetřováním s využitím dat UEBA, místo abyste tyto možnosti detekce vytvářeli úplně od začátku.

Další informace najdete v tématu Instalace nebo aktualizace řešení Microsoft Sentinel.

Povolení vrstvy chování UEBA (Preview)

Vrstva chování UEBA generuje rozšířené souhrny aktivit pozorovaných ve více zdrojích dat. Na rozdíl od výstrah nebo anomálií chování nemusí nutně značit riziko – vytváří abstrakční vrstvu, která optimalizuje data pro účely šetření, proaktivního vyhledávání a detekce tím, že zlepšuje srozumitelnost, kontext a korelaci.

Další informace o vrstvě chování UEBA a jejím povolení najdete v tématu Povolení vrstvy chování UEBA v Microsoft Sentinel.

Další kroky

Naučte se zkoumat anomálie UEBA a používat data UEBA při vyšetřování:

• Zkoumání incidentů s využitím dat UEBA
• Zdroje dat A schémata tabulek UEBA