Felhasználói és entitási viselkedéselemzés (UEBA) engedélyezése a Microsoft Sentinelben

• A következőre érvényes::

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Az előző üzembe helyezési lépésben engedélyezte a Microsoft Sentinel biztonsági tartalmát, amely a rendszerek védelméhez szükséges. Ebből a cikkből megtudhatja, hogyan engedélyezheti és használhatja az UEBA funkciót az elemzési folyamat gördülékenyebbé tételéhez. Ez a cikk a Microsoft Sentinel üzembe helyezési útmutatójának része.

Mivel a Microsoft Sentinel naplókat és riasztásokat gyűjt az összes csatlakoztatott adatforrásból, elemzi őket, és alapszintű viselkedési profilokat készít a szervezet entitásairól (például felhasználókról, gazdagépekről, IP-címekről és alkalmazásokról) az idő és a társcsoport horizontja során. A Microsoft Sentinel többféle technikát és gépi tanulási képességet használva azonosíthatja a rendellenes tevékenységeket, és segíthet megállapítani, hogy sérült-e egy eszköz. További információ az UEBA-ról.

Feljegyzés

Az US Government-felhőkben elérhető funkciókról a Microsoft Sentinel-táblákban talál információt az USA kormányzati ügyfelei számára elérhető felhőfunkciókban.

Fontos

A Microsoft Sentinel az egyesített biztonsági üzemeltetési platform nyilvános előzetes verziójának részeként érhető el a Microsoft Defender portálon. További információ: Microsoft Sentinel a Microsoft Defender portálon.

Előfeltételek

A funkció engedélyezéséhez vagy letiltásához (ezek az előfeltételek nem szükségesek a funkció használatához):

• A felhasználóhoz hozzá kell rendelni a Microsoft Entra ID Global Rendszergazda istrator vagy Security Rendszergazda istrator szerepkört a bérlőben.

• A felhasználóhoz az alábbi Azure-szerepkörök legalább egyikét hozzá kell rendelni (további információ az Azure RBAC-ről):

  • Microsoft Sentinel-közreműködő a munkaterület vagy az erőforráscsoport szintjén.
  • Log Analytics-közreműködő az erőforráscsoport vagy az előfizetés szintjén.

• A munkaterületre nem vonatkozhat Azure-erőforrás-zárolás. További információ az Azure-erőforrások zárolásáról.

Feljegyzés

• Az UEBA-funkciók Microsoft Sentinelhez való hozzáadásához nincs szükség különleges licencre, és a használatuk nem jár további költségekkel.
• Mivel azonban az UEBA új adatokat hoz létre, és azokat új táblákban tárolja, amelyeket az UEBA hoz létre a Log Analytics-munkaterületen, további adattárolási díjakat kell fizetnie.

Felhasználó- és entitás viselkedéselemzésének engedélyezése

• A Microsoft Sentinel felhasználói az Azure Portalon az Azure Portal lapján található utasításokat követve.
• A Microsoft Sentinel felhasználói a Microsoft Defender portál egyesített biztonsági üzemeltetési platformjának részeként kövesse a Defender portál lapján található utasításokat.

1. Lépjen az Entitás viselkedésének konfigurációs lapjára.

   Azure Portalra

   Az entitás viselkedésének konfigurációs lapjára az alábbi három módszer bármelyikével léphet:

   • Válassza az Entitás viselkedése lehetőséget a Microsoft Sentinel navigációs menüjében, majd a felső menüsávon válassza az Entitás viselkedési beállításait .

   • Válassza a Gépház a Microsoft Sentinel navigációs menüjében, válassza a Gépház lapot, majd az Entitás viselkedéselemzése kibontó alatt válassza az UEBA beállítása lehetőséget.

   • A Microsoft Defender XDR adatösszekötő lapján válassza a Go the UEBA configuration page linket.

   Defender portál

   Az Entitás viselkedésének konfigurációs lapjának megnyitása:

   1. A Microsoft Defender portál navigációs menüjében válassza a Gépház.
   2. A Gépház lapon válassza a Microsoft Sentinel lehetőséget.
   3. A következő menüben válassza az Entitás viselkedéselemzése lehetőséget.
   4. Ezután válassza az UEBA beállítása lehetőséget, amely egy új böngészőlapot nyit meg az Entitás viselkedésének konfigurációs oldalával az Azure Portalon.

2. Az Entitás viselkedésének konfigurációs lapján kapcsolja be a kapcsolót.

   

3. Jelölje be azon Active Directory-forrástípusok melletti jelölőnégyzeteket, amelyekből a felhasználói entitásokat szinkronizálni szeretné a Microsoft Sentinellel.

   • Helyszíni Active Directory (előzetes verzió)
   • Microsoft Entra ID

   A felhasználói entitások helyi Active Directory való szinkronizálásához az Azure-bérlőt a Microsoft Defender for Identity szolgáltatásba kell előkészíteni (önállóan vagy a Microsoft Defender XDR részeként), és az MDI-érzékelőnek telepítve kell lennie az Active Directory tartományvezérlőn. További információért tekintse meg a Microsoft Defender for Identity előfeltételeit .

4. Jelölje be azon adatforrások melletti jelölőnégyzeteket, amelyeken engedélyezni szeretné az UEBA-t.

   Feljegyzés

   A meglévő adatforrások listája alatt az UEBA által támogatott, még nem csatlakoztatott adatforrások listája látható.

   Miután engedélyezte az UEBA-t, lehetősége lesz arra, hogy új adatforrások csatlakoztatásakor közvetlenül az adatösszekötő panelről engedélyezze őket az UEBA számára, ha azok UEBA-kompatibilisek.

5. Válassza az Alkalmazás lehetőséget. Ha az Entitás viselkedési lapján keresztül fért hozzá ehhez a laphoz, a rendszer ott adja vissza.

Következő lépések

Ebből a cikkből megtudhatja, hogyan engedélyezheti és konfigurálhatja a Felhasználó és entitás viselkedéselemzését (UEBA) a Microsoft Sentinelben. További információ az UEBA-ról:

Entitások vizsgálata entitáslapokkal