Aktivieren von User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel

• Gilt für:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Im vorherigen Bereitstellungsschritt haben Sie die Microsoft Sentinel-Sicherheitsinhalte aktiviert, die Sie zum Schutz Ihrer Systeme benötigen. In diesem Artikel erfahren Sie, wie Sie das Feature „User and Entity Behavior Analytics“ (UEBA) aktivieren und verwenden, um den Analyseprozess zu optimieren. Dieser Artikel ist Teil des Bereitstellungshandbuchs für Microsoft Sentinel.

Microsoft Sentinel sammelt zeit- und peergruppenübergreifend Protokolle und Warnungen von allen verbundenen Datenquellen, analysiert sie und erstellt Baselineprofile für das Verhalten von Entitäten (Benutzer, Hosts, IP-Adressen und Anwendungen) einer Organisation. Mit verschiedenen Techniken und Machine Learning-Funktionen kann Microsoft Sentinel anomale Aktivitäten erkennen und Sie dabei unterstützen, festzustellen, ob eine Ressource kompromittiert wurde. Erfahren Sie mehr über UEBA.

Hinweis

Informationen über die Verfügbarkeit von Funktionen in US-Regierungs-Clouds finden Sie in den Microsoft Sentinel-Tabellen in Cloud-Funktionsverfügbarkeit für US-Regierungskunden.

Wichtig

Microsoft Sentinel ist als Teil der vereinheitlichten Security Operations-Plattform im Microsoft Defender-Portal verfügbar. Microsoft Sentinel im Defender-Portal wird jetzt für die Verwendung in der Produktion unterstützt. Weitere Informationen finden Sie unter Microsoft Sentinel im Microsoft Defender-Portal.

Voraussetzungen

So aktivieren oder deaktivieren Sie dieses Feature (diese Voraussetzungen müssen nicht erfüllt sein, um das Feature zu verwenden)

• Ihrem Benutzer muss die Microsoft Entra ID-Rolle Globaler Administrator oder Sicherheitsadministrator in Ihrem Mandanten zugewiesen sein.

• Ihrem Benutzer muss mindestens eine der folgenden Azure-Rollen zugewiesen sein (Weitere Informationen zu Azure RBAC):

  • Microsoft Sentinel-Mitwirkender auf Arbeitsbereichs -oder Ressourcengruppenebene.
  • Log Analytics-Mitwirkender auf Ressourcengruppen- oder Abonnementebene.

• In Ihrem Arbeitsbereich dürfen keine Azure-Ressourcensperren aktiviert sein. Erfahren Sie mehr über Azure-Ressourcensperren.

Hinweis

• Zum Hinzufügen von UEBA-Funktionalität zu Microsoft Sentinel ist keine spezielle Lizenz erforderlich, und es fallen keine zusätzliche Gebühren für die Verwendung an.
• Da UEBA jedoch neue Daten generiert und in neuen Tabellen speichert, die UEBA in Ihrem Log Analytics-Arbeitsbereich erstellt, fallen zusätzliche Gebühren für die Datenspeicherung an.

Aktivieren von User and Entity Behavior Analytics

• Benutzer von Microsoft Sentinel im Azure-Portal befolgen die Anweisungen auf der Registerkarte Azure-Portal.
• Benutzer von Microsoft Sentinel im Rahmen der einheitlichen Security Operations-Plattform im Microsoft Defender-Portal befolgen die Anweisungen auf der Registerkarte Defender-Portal.

1. Wechseln Sie zur Seite Konfiguration des Entitätsverhaltens.

   Azure portal

   Verwenden Sie eine der folgenden drei Methoden, um zur Seite Konfiguration des Entitätsverhaltens zu gelangen:

   • Wählen Sie das Entitätsverhalten im Microsoft Sentinel-Navigationsmenü aus, und wählen Sie dann Einstellungen für Entitätsverhalten aus der Menüleiste oben aus.

   • Wählen Sie Einstellungen im Microsoft Sentinel-Navigationsmenü aus, wählen Sie die Registerkarte Einstellungen aus, und wählen Sie dann unter der Erweiterung Entitätsverhaltensanalyse die Option UEBA festlegen aus.

   • Wählen Sie auf der Seite des Microsoft Defender XDR-Datenconnectors den Link Zur UEBA-Konfigurationsseite wechseln aus.

   Defender-Portal

   So wechseln Sie zur Seite Konfiguration des Entitätsverhaltens:

   1. Wählen Sie im Navigationsmenü des Microsoft Defender-Portals Einstellungen aus.
   2. Wählen Sie auf der Seite Einstellungen die Option Microsoft Sentinel aus.
   3. Wählen Sie im nächsten Menü Analyse des Entitätsverhaltens aus.
   4. Wählen Sie dann UEBA festlegen aus, woraufhin eine neue Browserregisterkarte mit der Seite Konfiguration des Entitätsverhaltens im Azure-Portal geöffnet wird.

2. Legen Sie auf der Seite Entitätsverhaltenseinstellungen die Option auf Ein fest.

   

3. Aktivieren Sie die Kontrollkästchen neben den Active Directory-Quelltypen, deren Benutzerentitäten Sie mit Microsoft Sentinel synchronisieren möchten.

   • Active Directory lokal (Vorschau)
   • Microsoft Entra ID

   Um Benutzerentitäten aus dem lokalen Active Directory zu synchronisieren, muss Ihr Azure-Mandant in Microsoft Defender for Identity (entweder eigenständig oder als Teil von Microsoft Defender XDR) integriert sein, und Sie müssen den MDI-Sensor auf Ihrem Active Directory-Domänencontroller installiert haben. Weitere Informationen finden Sie unter Microsoft Defender for Identity-Voraussetzungen.

4. Aktivieren Sie die Kontrollkästchen neben den Datenquellen, für die Sie UEBA aktivieren möchten.

   Hinweis

   Unterhalb der Liste der vorhandenen Datenquellen finden Sie eine Liste der von UEBA unterstützten Datenquellen, mit denen Sie noch keine Verbindung hergestellt haben.

   Nachdem Sie UEBA aktiviert haben, können Sie beim Herstellen einer Verbindung mit neuen Datenquellen diese im Bereich des Datenconnectors direkt für UEBA aktivieren (sofern sie UEBA-fähig sind).

5. Wählen Sie Übernehmen. Wenn Sie über die Seite Entitätsverhalten auf diese Seite zugegriffen haben, werden Sie dorthin zurückgeleitet.

Nächste Schritte

In diesem Dokument haben Sie erfahren, wie Sie User and Entity Behavior Analytics (UEBA) in Microsoft Sentinel aktivieren und konfigurieren. Weitere Informationen zu UEBA:

Untersuchen von Entitäten mit Entitätsseiten