Identifikace pokročilých hrozeb pomocí analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinelu

Poznámka:

Informace o dostupnosti funkcí v cloudech státní správy USA najdete v tabulkách Microsoft Sentinelu v dostupnosti funkcí cloudu pro zákazníky státní správy USA.

Identifikace hrozeb ve vaší organizaci a jejich potenciální dopad – ať už ohrožená entita nebo škodlivý insider – byla vždy časově náročná a náročná na práci. Probíhání výstrah, propojení bodů a aktivní proaktivní proaktivní vyhledávání se sčítají až do obrovského množství času a úsilí expedovaných s minimálními výnosy a možnost sofistikovaných hrozeb jednoduše vyhýbá zjišťování. Obzvláště nebezpečné hrozby, jako je nula-den, cílená a pokročilá trvalá hrozba, mohou být pro vaši organizaci nejbezpečnější, aby jejich detekce byla důležitější.

Funkce UEBA v Microsoft Sentinelu eliminuje družbu z úloh analytiků a nejistotu z jejich úsilí a poskytuje vysoce věrnou inteligenci s možností akcí, aby se mohli soustředit na šetření a nápravu.

Co je Analýza chování uživatelů a entit (UEBA)?

Vzhledem k tomu, že Microsoft Sentinel shromažďuje protokoly a výstrahy ze všech připojených zdrojů dat, analyzuje je a vytváří základní profily chování entit vaší organizace (například uživatelů, hostitelů, IP adres a aplikací) v rámci časového a partnerského horizontu skupin. Pomocí různých technik a schopností strojového učení může Microsoft Sentinel identifikovat neobvyklou aktivitu a pomoct určit, jestli došlo k ohrožení zabezpečení prostředku. Nejen to, ale může také zjistit relativní citlivost konkrétních prostředků, identifikovat partnerské skupiny prostředků a vyhodnotit potenciální dopad jakéhokoli ohroženého prostředku (jeho "poloměr výbuchu"). S těmito informacemi můžete efektivně určit prioritu vyšetřování a zpracování incidentů.

Architektura analýz UEBA

Entity behavior analytics architecture

Analýzy řízené zabezpečením

Microsoft Sentinel je inspirovaný paradigmatem Společnosti Sentinel pro řešení UEBA, který vychází ze tří referenčních rámců:

  • Případy použití: Stanovením priority pro relevantní vektory útoku a scénáře na základě výzkumu zabezpečení v souladu s architekturou MITRE ATT&CK taktiky, technik a dílčích technik, které umístí různé entity jako oběti, pachatele nebo kontingenční body do řetězu kill; Microsoft Sentinel se zaměřuje konkrétně na nejcennější protokoly, které každý zdroj dat může poskytnout.

  • Zdroje dat: Microsoft Sentinel jako první a především podporuje zdroje dat Azure, ale promyšleně vybírá zdroje dat třetích stran, aby poskytovala data, která odpovídají našim scénářům hrozeb.

  • Analýza: Použití různých algoritmů strojového učení (ML) identifikuje Microsoft Sentinel neobvyklé aktivity a prezentuje důkazy jasně a stručně ve formě kontextových rozšiřování, některé příklady, které se zobrazují níže.

    Behavior analytics outside-in approach

Microsoft Sentinel představuje artefakty, které pomáhají analytikům zabezpečení porozumět neobvyklým aktivitám v kontextu a ve srovnání s profilem standardních hodnot uživatele. Akce prováděné uživatelem (nebo hostitelem nebo adresou) se vyhodnocují kontextově, kde výsledek "true" označuje identifikovanou anomálii:

  • v různých geografických umístěních, zařízeních a prostředích.
  • napříč časovými a frekvenčními horizonty (ve srovnání s vlastní historií uživatele).
  • ve srovnání s chováním partnerských vztahů.
  • ve srovnání s chováním organizace. Entity context

Informace o entitě uživatele, které Microsoft Sentinel používá k sestavení svých profilů uživatelů, pocházejí z vašeho ID Microsoft Entra (nebo vašeho místní Active Directory, nyní ve verzi Preview). Když povolíte UEBA, synchronizuje id Microsoft Entra s Microsoft Sentinelem a uloží informace do interní databáze viditelné prostřednictvím tabulky IdentityInfo v Log Analytics.

Teď ve verzi Preview můžete synchronizovat také informace o místní Active Directory entitu uživatele pomocí programu Microsoft Defender for Identity.

Informace o povolení UEBA (User and Entity Behavior Analytics) v Microsoft Sentinelu najdete v tématu Povolení analýzy chování uživatelů a entit v Microsoft Sentinelu , kde se dozvíte, jak povolit UEBA a synchronizovat identity uživatelů.

Vyhodnocování

Každá aktivita má skóre "Skóre priority šetření", které určuje pravděpodobnost konkrétního uživatele provádějícího konkrétní aktivitu na základě chování uživatele a jejich partnerských vztahů. Aktivity, které jsou identifikovány jako nejnormální, dostávají nejvyšší skóre (v měřítku 0–10).

Podívejte se, jak se v Programu Microsoft Defender for Cloud Apps používá analýza chování, například jak to funguje.

Přečtěte si další informace o entitách v Microsoft Sentinelu a podívejte se na úplný seznam podporovaných entit a identifikátorů.

Stránky entit

Informace o stránkách entit se teď dají najít v tématu Prošetření entit se stránkami entit v Microsoft Sentinelu.

Dotazování na data analýzy chování

Pomocí jazyka KQL můžeme dotazovat tabulku BehaviorAnalytics.

Pokud například chceme najít všechny případy uživatele, který se nepodařilo přihlásit k prostředku Azure, kde se uživatel poprvé pokusil připojit z dané země nebo oblasti a připojení z dané země nebo oblasti jsou neobvyklé i pro partnerské vztahy uživatele, můžeme použít následující dotaz:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

Metadata partnerských vztahů uživatelů – tabulka a poznámkový blok

Metadata partnerských vztahů uživatelů poskytují důležitý kontext při detekcích hrozeb, při vyšetřování incidentu a při proaktivním vyhledávání potenciální hrozby. Analytici zabezpečení můžou sledovat běžné aktivity partnerských vztahů uživatele a určit, jestli jsou aktivity uživatele neobvyklé ve srovnání s aktivitami jeho partnerských vztahů.

Microsoft Sentinel vypočítá a řadí partnerské vztahy uživatele na základě členství ve skupinách zabezpečení Microsoft Entra, seznamu adresátů, et cetera a ukládá partnerské vztahy seřazené 1–20 v tabulce UserPeerAnalytics . Následující snímek obrazovky ukazuje schéma tabulky UserPeerAnalytics a zobrazuje prvních osm hodnocených partnerských vztahů uživatele Kendall Collins. Microsoft Sentinel používá algoritmus četnosti inverzních dokumentů (TF-IDF) k normalizaci vážení pro výpočet pořadí: menší skupina, tím vyšší váha.

Screen shot of user peers metadata table

K vizualizaci metadat partnerských vztahů uživatelů můžete použít poznámkový blok Jupyter poskytnutý v úložišti GitHub microsoft Sentinelu. Podrobné pokyny k používání poznámkového bloku najdete v poznámkovém bloku Analýza s asistencí – poznámkový blok metadat zabezpečení uživatele.

Poznámka:

Tabulka UserAccessAnalytics je zastaralá.

Dotazy proaktivního vyhledávání a průzkumné dotazy

Microsoft Sentinel poskytuje sadu dotazů proaktivního vyhledávání, průzkumných dotazů a sešitu Analýza chování uživatelů a entit, který je založený na tabulce BehaviorAnalytics . Tyto nástroje představují rozšířená data zaměřená na konkrétní případy použití, které označují neobvyklé chování.

Další informace naleznete v tématu:

Vzhledem k tomu, že zastaralé nástroje ochrany starších verzí, mohou mít organizace takovou obrovskou a obrovskou digitální aktiva, že se stává nespravovatelnou k získání komplexního obrazu o riziku a stavu svého prostředí může být vystaveno. Spoléhání se silně na reaktivní úsilí, jako jsou analýzy a pravidla, umožňují špatným hercům naučit se, jak tyto snahy obejít. V tomto místě hraje UEBA tím, že poskytuje metodologie a algoritmy vyhodnocování rizik, které vám pomůžou zjistit, co se skutečně děje.

Další kroky

V tomto dokumentu jste se dozvěděli o možnostech analýzy chování entit v Microsoft Sentinelu. Praktické pokyny k implementaci a použití přehledů, které jste získali, najdete v následujících článcích:

Další informace najdete také v referenčních informacích k jazyku UEBA služby Microsoft Sentinel.