Povolení analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu

Analýza chování uživatelů a entit (UEBA) v Microsoft Sentinelu analyzuje protokoly a výstrahy z připojených zdrojů dat, aby se vytvořily základní profily chování entit vaší organizace, jako jsou uživatelé, hostitelé, IP adresy a aplikace. Pomocí strojového učení UEBA identifikuje neobvyklou aktivitu, která může značit ohrožený prostředek.

Analýzu chování uživatelů a entit můžete povolit dvěma způsoby– oběma se stejným výsledkem:

• V nastavení pracovního prostoru Služby Microsoft Sentinel: Povolte UEBA pro váš pracovní prostor a vyberte zdroje dat, které se mají připojit na portálu Microsoft Defender nebo na webu Azure Portal.
• Z podporovaných datových konektorů: Povolte UEBA při konfiguraci podporovaných datových konektorů UEBA na portálu Microsoft Defender.

Tento článek vysvětluje, jak povolit UEBA a nakonfigurovat zdroje dat z nastavení pracovního prostoru Microsoft Sentinelu a z podporovaných datových konektorů.

Další informace o UEBA najdete v tématu Identifikace hrozeb pomocí analýzy chování entit.

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Důležité

Po 31. březnu 2027 už Microsoft Sentinel nebude podporován na webu Azure Portal a bude dostupný jenom na portálu Microsoft Defender. Všichni zákazníci používající Microsoft Sentinel na webu Azure Portal budou přesměrováni na portál Defender a budou používat Microsoft Sentinel jenom na portálu Defender.

Pokud na webu Azure Portal stále používáte Microsoft Sentinel, doporučujeme začít plánovat přechod na portál Defender , abyste zajistili hladký přechod a plně využili sjednoceného prostředí operací zabezpečení, které nabízí Microsoft Defender.

Požadavky

Pokud chcete tuto funkci povolit nebo zakázat (pro použití této funkce se nevyžadují tyto požadavky):

• Uživatel musí být přiřazen k roli správce zabezpečení Microsoft Entra ID ve vaší instanci nebo mít ekvivalentní oprávnění.

• Uživateli musí být přiřazena alespoň jedna z následujících rolí Azure (Další informace o Azure RBAC):

  • Vlastník na úrovni skupiny prostředků nebo vyšší
  • Přispěvatel na úrovni skupiny prostředků nebo vyšší.
  • (S nejnižšími privilegiemi) Přispěvatel Microsoft Sentinelu na úrovni nebo nad úrovní pracovního prostoru a Přispěvatel Log Analytics na úrovni nebo nad úrovní skupiny prostředků.

• Váš pracovní prostor nesmí mít aplikovány žádné zámky prostředků Azure. Přečtěte si další informace o uzamykání prostředků Azure.

Poznámka:

• K přidání funkcí UEBA do Microsoft Sentinelu není nutná žádná speciální licence a za používání není potřeba nic dalšího.
• Vzhledem k tomu, že UEBA generuje nová data a ukládá je do nových tabulek, které UEBA vytvoří ve vašem pracovním prostoru služby Log Analytics, platí další poplatky za úložiště dat .

Povolení UEBA z nastavení pracovního prostoru

Povolení UEBA z nastavení pracovního prostoru Microsoft Sentinelu:

1. Přejděte na stránku konfigurace chování entity .

   Azure Portal

   Pomocí některého z těchto tří způsobů se dostanete na stránku konfigurace chování entit :

   • V navigační nabídce Služby Microsoft Sentinel vyberte chování entit a pak v horním řádku nabídek vyberte nastavení chování entit .

   • V navigační nabídce Microsoft Sentinelu vyberte nastavení , vyberte kartu Nastavení a pak v rozbalovacím programu Analýza chování entit vyberte Nastavit UEBA.

   • Na stránce datového konektoru XDR v programu Microsoft Defender vyberte odkaz Přejít na konfigurační stránku UEBA .

   Portál Defender

   Jak se dostat na stránku konfigurace chování entity :

   1. V navigační nabídce portálu Microsoft Defender vyberte Nastavení>Microsoft Sentinel>pracovní prostory SIEM.
   2. Vyberte pracovní prostor, který chcete nakonfigurovat.
   3. Na stránce konfigurace pracovního prostoru vyberte Analýzu chování entit>Konfigurovat UEBA.

2. Na stránce konfigurace chování entit zapněte funkci UEBA.

   

3. Vyberte adresářové služby, ze kterých chcete synchronizovat entity uživatelů s Microsoft Sentinelem.

   • Lokální Active Directory (Verze Preview)
   • Microsoft Entra ID

   Pokud chcete synchronizovat entity uživatelů z místní služby Active Directory, musíte připojit tenanta Azure k Microsoft Defenderu for Identity (samostatně nebo jako součást XDR v programu Microsoft Defender) a musíte mít na řadiči domény Active Directory nainstalovaný senzor MDI. Další informace najdete v tématu Požadavky na Microsoft Defender pro identitu.

4. Výběrem možnosti Připojit všechny zdroje dat propojte všechny oprávněné zdroje dat nebo ze seznamu vyberte konkrétní zdroje dat.

   Tyto zdroje dat můžete povolit jenom z defenderu a webu Azure Portal:

   • Protokoly přihlášení
   • Protokoly auditu
   • Aktivita Azure
   • Události zabezpečení

   Tyto zdroje dat můžete povolit jenom z portálu Defender (Preview):

   • Protokoly přihlášení spravované identity AAD (Microsoft Entra ID)
   • Protokoly přihlášení služebního principálu AAD (Microsoft Entra ID)
   • AWS CloudTrail
   • Události přihlášení zařízení
   • Okta CL
   • Protokoly auditu GCP

   Další informace o zdrojích dat a anomáliích UEBA najdete v referenčních informacích k jazyku UEBA služby Microsoft Sentinel a anomáliích UEBA.

   Poznámka:

   Po povolení UEBA můžete povolit podporované zdroje dat pro UEBA přímo z podokna datového konektoru nebo na stránce Nastavení portálu Defender, jak je popsáno v tomto článku.

5. Vyberte Připojit.

6. Povolení detekce anomálií v pracovním prostoru Microsoft Sentinelu:

   1. V navigační nabídce portálu Microsoft Defender vyberte Nastavení>Microsoft Sentinel>pracovní prostory SIEM.
   2. Vyberte pracovní prostor, který chcete nakonfigurovat.
   3. Na stránce konfigurace pracovního prostoru vyberte Anomálie a zapněte možnost Zjistit anomálie.

Povolení UEBA z podporovaných konektorů

Chcete-li povolit UEBA prostřednictvím podporovaných datových konektorů na portálu Microsoft Defender:

1. V navigační nabídce portálu Microsoft Defender vyberte Konfigurace Microsoft Sentinel > Konektory dat>.

2. Vyberte datový konektor podporující UEBA. Další informace o podporovaných datových konektorech a tabulkách naleznete v referenčních informacích pro UEBA služby Microsoft Sentinel.

3. V podokně datového konektoru vyberte Otevřít stránku konektoru.

4. Na stránce s podrobnostmi o konektoru vyberte Upřesnit možnosti.

5. V části Konfigurovat UEBA přepněte tabulky, které chcete povolit pro UEBA.

   

Další informace o konfiguraci datových konektorů Služby Microsoft Sentinel najdete v tématu Připojení zdrojů dat ke službě Microsoft Sentinel pomocí datových konektorů.

Instalace řešení UEBA Essentials (volitelné)

Řešení UEBA Essentials je kolekce desítek předem připravených dotazů proaktivního vyhledávání kurátorovaných a spravovaných odborníky na zabezpečení Microsoftu. Řešení zahrnuje dotazy pro detekci anomálií ve více cloudových prostředích napříč Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a Okta.

Nainstalujte řešení, abyste mohli rychle začít s proaktivním vyhledáváním hrozeb a vyšetřováním pomocí dat UEBA, místo abyste tyto možnosti detekce vytvářeli úplně od začátku.

Další informace najdete v tématu Instalace nebo aktualizace řešení Microsoft Sentinel.

Povolte vrstvu chování UEBA (Preview)

Vrstva chování UEBA generuje rozšířené souhrny aktivit pozorovaných ve více zdrojích dat. Na rozdíl od výstrah nebo anomálií nemusí chování nutně znamenat riziko – vytvářejí abstrakční vrstvu, která optimalizuje vaše data pro vyšetřování, proaktivní vyhledávání a detekci tím, že vylepšují přehlednost, kontext a korelaci.

Další informace o vrstvě chování UEBA a jejím povolení najdete v tématu Povolení vrstvy chování UEBA v Microsoft Sentinelu.

Další kroky

Naučte se zkoumat anomálie UEBA a používat data UEBA ve vašich šetřeních:

• Zkoumání incidentů pomocí dat UEBA
• Zdroje dat UEBA a schémata tabulek