Analyse du comportement des utilisateurs et des entités
Qu’est-ce que l’analyse comportementale des utilisateurs et des entités (UEBA) ?
UEBA utilise l’apprentissage automatique pour examiner les modèles de comportement humain et d’analyse statistique afin d’identifier les comportements malveillants ou risqués. Cette technique permet d’identifier les utilisateurs les plus risqués de votre organisation et leur impact potentiel sur votre organisation.
Fonctionnalité UEBA de Microsoft Defender for Cloud Apps
Defender for Cloud Apps signale les résultats d’UEBA avec un score de priorité d’investigation, qui agrège l’activité et les alertes d’Azure Advanced Threat Protection, Microsoft Defender for Cloud Apps et Microsoft Entra ID Protection au cours des sept derniers jours.
Defender for Cloud Apps utilise le score d’alerte, le score d’activité et l’impact sur l’utilisateur pour déterminer le score de priorité de l’examen.
- La notation des alertes augmente le score de priorité si l’alerte est plus grave, est plus fréquente ou affecte davantage d’utilisateurs.
- La notation d’activité augmente le score de priorité si un utilisateur spécifique a une probabilité élevée d’effectuer l’action spécifique sur la base d’analyses comportementales.
- L’impact d’utilisateur augmente la note de priorité si les utilisateurs peuvent occasionner une quantité significative de dommages. Par exemple, un utilisateur disposant de privilèges élevés qui peut accéder à des biens à forte valeur aurait un impact d'utilisateur élevé.
En combinant ces trois types de résultats, le score de priorité des examens examine non seulement le risque d’activité, mais également la risques et les dommages qu’elle peut occasionner.
Détection des menaces UEBA dans Defender for Cloud Apps
Le tableau de bord Defender for Cloud Apps liste les principaux utilisateurs à examiner en fonction de leur score de priorité d’examen. Vous pouvez également sélectionner Afficher tous les utilisateurs pour afficher tous les utilisateurs.
Si vous sélectionnez un utilisateur, vous pouvez afficher les détails de la priorité de son examen.
Dans cet exemple, nous pouvons voir que l'utilisateur est un comptable, qu'il possède 41 appareils et qu'il a des activités, notamment des connexions à partir d'adresses IP à risque et des redirections de boîtes de réception suspectes. Le niveau élevé d’accès, le niveau d’exposition élevé et le nombre d’activités suspectes sont à l’origine du score de priorité particulière de cet utilisateur.
Les éléments du tableau de bord peuvent être sélectionnés pour fournir des détails supplémentaires. Par ailleurs, si vous sélectionnez Actions de l’utilisateur dans le tableau de bord, vous pouvez exécuter des actions pour tenter de résoudre la menace, notamment demander à l’utilisateur de se connecter à nouveau, révoquer des privilèges d’administrateur ou suspendre l’utilisateur.
La vidéo suivante décrit UEBA et la façon dont l’UEBA est implémentée dans Microsoft Defender for Cloud Apps :