Sdílet prostřednictvím

Pokročilá detekce hrozeb s využitím analýzy chování uživatelů a entit (UEBA) v Microsoft Sentinel

  • Platí pro: Microsoft Sentinel in the Microsoft Defender portal, Microsoft Sentinel in the Azure portal

Detekce neobvyklého chování v rámci organizace je často složitá a časově náročná. Microsoft Sentinel analýza chování uživatelů a entit (UEBA) tuto výzvu zjednodušuje tím, že se nepřetržitě učí z vašich dat a objeví smysluplné anomálie, které analytikům pomáhají efektivněji zjišťovat a zkoumat potenciální hrozby.

Tento článek vysvětluje, co je Microsoft Sentinel Analýza chování uživatelů a entit (UEBA), jak funguje, jak se k němu připojit a jak používat UEBA k detekci a prošetřování anomálií, aby se zlepšily možnosti detekce hrozeb.

Jak UEBA funguje

Microsoft Sentinel UEBA používá strojové učení k vytváření dynamických profilů chování pro uživatele, hostitele, IP adresy, aplikace a další entity. Pak detekuje anomálie porovnáním aktuální aktivity se zavedenými směrnými plány, což pomáhá bezpečnostním týmům identifikovat hrozby, jako jsou ohrožené účty, vnitřní útoky a laterální pohyb.

Jak Microsoft Sentinel přijímá data z připojených zdrojů, UEBA se aplikuje:

  • Modelování chování pro detekci odchylek
  • Analýza partnerské skupiny a vyhodnocení poloměru výbuchu za účelem posouzení dopadu neobvyklé aktivity

Diagram soustředných kruhů označených jako Uživatel, Peers a Organization, znázorňující kontext entity v analýze UEBA

UEBA přiřazuje skóre rizika neobvyklým chováním, přičemž bere v úvahu přidružené entity, závažnost anomálií a kontext, včetně:

  • Odchylky mezi geografickými umístěními, zařízeními a prostředími
  • Změny v průběhu času a četnosti aktivit v porovnání s historickým chováním entity
  • Rozdíly ve srovnání s partnerskými skupinami
  • Odchylky od vzorců chování v celé organizaci

Tento diagram znázorňuje, jak povolíte UEBA a jak UEBA analyzuje data a přiřadí skóre rizika , aby bylo možné určit prioritu šetření:

Diagram znázorňující architekturu UEBA znázorňující tok dat z připojených zdrojů prostřednictvím modelování chování za účelem dosažení skóre rizika

Další informace o tabulkách UEBA najdete v tématu Zkoumání anomálií pomocí dat UEBA.

Další informace o tom, které anomálie UEBA detekuje, najdete v tématu Anomalies zjištěné modulem strojového učení Microsoft Sentinel.

UEBA je nativně integrovaný do Microsoft Sentinel a portálu Microsoft Defender a poskytuje bezproblémové prostředí pro provozní týmy zabezpečení a vložená prostředí, která zlepšují vyšetřování hrozeb a reakci.

Povolení UEBA k vytváření profilů chování a zjišťování anomálií

Abyste plně využili výhod pokročilých funkcí detekce hrozeb UEBA:

  1. Povolit UEBA v Microsoft Sentinel, připojit klíčové zdroje dat, jako jsou Microsoft Entra ID, Defender for Identity a Office 365. Další informace najdete v tématu Povolení analýzy chování entit.

  2. Nainstalujte řešení UEBA Essentials, kolekci desítek předem připravených dotazů proaktivního vyhledávání kurátorovaných a spravovaných odborníky na zabezpečení Microsoftu. Řešení zahrnuje dotazy na detekci anomálií s více cloudy napříč Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) a Okta. Instalace řešení vám pomůže rychle začít s proaktivním vyhledáváním hrozeb a vyšetřováním pomocí dat UEBA místo toho, abyste tyto možnosti detekce vytvářeli úplně od začátku.

    Informace o instalaci řešení Microsoft Sentinel najdete v tématu Instalace nebo aktualizace Microsoft Sentinel řešení.

  3. Integrujte přehledy UEBA do sešitů, pracovních postupů incidentů a dotazů proaktivního vyhledávání, abyste maximalizovali jejich hodnotu napříč pracovními postupy SOC.

Zkoumání anomálií pomocí dat UEBA

Microsoft Sentinel ukládá přehledy UEBA napříč několika tabulkami, které jsou optimalizované pro jiný účel. Analytici běžně korelují data napříč těmito tabulkami za účelem zkoumání neobvyklého chování.

Tato tabulka poskytuje přehled dat v každé z tabulek UEBA:

Table Účel Klíčové podrobnosti
Informace o identitě Podrobné profily entit (uživatelé, zařízení, skupiny) Sestavené z Microsoft Entra ID a volitelně z lokálního Active Directory přes Microsoft Defender for Identity. Základní informace o chování uživatelů.
BehaviorAnalytics Rozšířená data o chování pomocí geografické polohy a analýzy hrozeb Obsahuje odchylky od základní úrovně se prioritizačním skóre. Data závisí na povolených konektorech (Entra ID, AWS, GCP, Okta atd.).
UserPeerAnalytics Dynamicky počítané skupiny vrstevníků pro základní úrovně chování Seřadí prvních 20 kolegů na základě členství ve skupině zabezpečení, seznamů adresátů a dalších přidružení. Používá algoritmus TF-IDF (frekvence termínů–inverzní frekvence dokumentů), kde menší skupiny nesou vyšší váhu.
Anomalies Události identifikované jako neobvyklé Podporuje pracovní postupy detekce a vyšetřování.
SentinelBehaviorInfo Souhrn chování identifikovaných v nezpracovaných protokolech Přeloží nezpracované protokoly zabezpečení do strukturovaných souhrnů "kdo udělal co komu", které obsahují vysvětlení v přirozeném jazyce a přiřazení MITRE ATT&CK.
SentinelBehaviorEntities Profily entit zapojených do identifikovaných chování Informace o entitách , jako jsou soubory, procesy, zařízení a uživatelé, se podílejí na zjištěném chování.

Poznámka:

Vrstva chování pro UEBA je samostatná funkce, kterou povolíte nezávisle na UEBA. Tabulky SentinelBehaviorInfo a SentinelBehaviorEntities se vytvoří pouze, pokud ve svém pracovním prostoru povolíte vrstvu chování.

Tento snímek obrazovky ukazuje příklad dat v tabulce UserPeerAnalytics s osmi nejlépe hodnocenými peery pro uživatele Kendall Collins. Sentinel používá algoritmus TF-IDF k normalizaci hmotností při výpočtu partnerských pořadí. Menší skupiny mají vyšší váhu.

Snímek obrazovky s tabulkou metadat uživatelských vrstevníků

Podrobnější informace o datech UEBA a jejich použití najdete tady:

Bodování UEBA

UEBA poskytuje dvě skóre, která týmům zabezpečení pomáhají efektivně určit prioritu vyšetřování a detekovat anomálie:

Aspekt Skóre priority šetření Skóre anomálií
tabulka BehaviorAnalytics Anomalies
Pole InvestigationPriority AnomalyScore
Rozsah 0–10
(0 = neškodné, 10 = velmi neobvyklé)		 0–1
(0 = neškodné, 1 = velmi neobvyklé)
Ukazatel Jak neobvyklá je jedna událost založená na logice řízené profilem Holistické neobvyklé chování napříč několika událostmi pomocí strojového učení
Používá se pro Rychlé třídění a podrobná analýza jednotlivých událostí Identifikace vzorů a agregovaných anomálií v průběhu času
zpracování Téměř v reálném čase, na úrovni událostí Dávkové zpracování, úroveň chování
Jak se počítá Kombinuje skóre anomálií entit (vzácnost entit, jako jsou uživatel, zařízení, země/oblast) s skóre časové řady (abnormální vzory v průběhu času, například náhlé zvýšení počtu neúspěšných přihlášení). Detektor anomálií využívající AI/ML, který je natrénovaný na telemetrii vašeho pracovního prostoru

Například když uživatel poprvé provede operaci Azure:

  • Skóre priority šetření: Vysoká, protože se jedná o první událost.
  • Anomaly score: Low, protože občasné první akce v Azure jsou běžné a nejsou ze své podstaty rizikové.

I když tyto skóre slouží k různým účelům, můžete očekávat určitou korelaci. Vysoké skóre anomálií často odpovídají vysoké prioritě šetření, ale ne vždy. Každé skóre poskytuje jedinečný přehled pro vícestupňovou detekci.

Použití integrovaných funkcí UEBA v portálu Defender

Díky zpřístupnění anomálií v grafech vyšetřování a uživatelských stránkách a zobrazení výzvy analytikům k začlenění dat anomálií do dotazů proaktivního vyhledávání usnadňuje UEBA rychlejší detekci hrozeb, inteligentnější stanovení priorit a efektivnější reakci na incidenty.

Tato část popisuje klíčové prostředí analytika UEBA dostupné na portálu Microsoft Defender.

Widget domovské stránky UEBA

Domovská stránka portálu Defender obsahuje widget UEBA, kde analytici okamžitě mají přehled o neobvyklém chování uživatelů a zrychlují tak pracovní postupy detekce hrozeb. Pokud ještě není tenant onboardovaný do UEBA, tento widget také poskytuje správcům zabezpečení rychlý přístup k procesu onboardingu.

Snímek obrazovky widgetu UEBA zobrazující nedávné anomálie uživatelů a výzvu k onboardingu, pokud tenant ještě není nakonfigurovaný

Přehledy UEBA v šetřeních uživatelů

Analytici můžou rychle vyhodnotit riziko uživatelů pomocí kontextu UEBA zobrazeného na bočních panelech a na kartě Přehled na všech stránkách uživatelů na portálu Defender. Když se zjistí neobvyklé chování, portál automaticky označí uživatele pomocí anomálií UEBA , které pomáhají určit prioritu vyšetřování na základě nedávné aktivity. Další informace najdete na stránce entity Uživatele v Microsoft Defender.

Každá stránka uživatele obsahuje část Top UEBA anomálie , která zobrazuje tři nejlepší anomálie z posledních 30 dnů a přímé odkazy na předem připravené dotazy na anomálie a časovou osu událostí sentinelu pro hlubší analýzu.

Snímek obrazovky, který znázorňuje kartu Přehled stránky Uživatelů pro uživatele s anomáliemi UEBA za posledních 30 dnů.

Předdefinované dotazy na anomálie uživatelů při vyšetřování incidentů

Během vyšetřování incidentů můžou analytici spouštět integrované dotazy přímo z grafů incidentů na portálu Defender a načíst tak všechny anomálie uživatelů související s případem.

Snímek obrazovky, který znázorňuje graf incidentů s možností

Další informace najdete v tématu Vyšetřování incidentů v portálu Microsoft Defender.

Obohacení pokročilých dotazů proaktivního vyhledávání a vlastních detekcí pomocí dat UEBA

Když analytici zapisují dotazy rozšířeného vyhledávání nebo vlastního zjišťování pomocí tabulek souvisejících s UEBA, zobrazí portál Microsoft Defender banner s výzvou, aby se připojili k tabulce Anomalies. Toto obohacuje vyšetřování o behaviorální poznatky a posiluje celkovou analýzu.

Snímek obrazovky zobrazující stránku Advanced Hunting s bannerem vyzývajícím analytika k připojení k tabulce Anomálie a obohacení analýzy pomocí behaviorálních poznatků.

Další informace naleznete v tématu:

Agregace přehledů chování pomocí vrstvy chování UEBA

I když UEBA vytváří základní profily pro detekci neobvyklých aktivit, nová vrstva chování UEBA agreguje související události z nezpracovaných protokolů zabezpečení s velkým objemem na jasné, strukturované a smysluplné chování, které vysvětluje, kdo udělal co komu na první pohled.

Vrstva chování rozšiřuje nezpracované logy o:

  • Vysvětlení přirozeného jazyka , která umožňují okamžité pochopení složitých aktivit
  • Mapování MITRE ATT&CK, které spojují chování se známými taktikami a technikami
  • Identifikace rolí entit , která objasňuje zúčastněné subjekty a cíle

Díky převodu fragmentovaných protokolů na koherentní objekty chování vrstva chování urychluje proaktivní vyhledávání hrozeb, zjednodušuje vytváření detekce a poskytuje bohatší kontext pro detekci anomálií UEBA. Tyto funkce společně pomáhají analytikům rychle pochopit nejen to, že se stalo něco neobvyklého, ale co se stalo a proč je důležité.

Další informace najdete v tématu Přeložit nezpracované protokoly zabezpečení do přehledů chování pomocí chování UEBA v Microsoft Sentinel.

Cenový model

UEBA je součástí Microsoft Sentinel bez dalších poplatků. Data UEBA se ukládají v tabulkách Log Analytics a řídí se standardními cenami Microsoft Sentinel. Další informace najdete na cenách Microsoft Sentinel.

Další kroky

Praktické pokyny k implementaci a používání UEBA najdete v tématech:

Školicí materiály najdete tady:

  • Last updated on