Abilitare Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nel passaggio precedente della distribuzione è stato abilitato il contenuto di sicurezza di Microsoft Sentinel necessario per proteggere i sistemi. Questo articolo illustra come abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. Questo articolo fa parte della Guida alla distribuzione per Microsoft Sentinel.

Quando Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione, come utenti, host, indirizzi IP e applicazioni, basati sul tempo e su gruppi peer. Usando un'ampia gamma di tecniche e funzionalità di Machine Learning, Microsoft Sentinel può quindi identificare le attività anomale e determinare se un asset è stato compromesso. Altre informazioni su UEBA.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Microsoft Sentinel nel portale di Defender è ora supportato per l'uso in produzione. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per abilitare o disabilitare questa funzionalità (questi prerequisiti non sono necessari per usare la funzionalità):

• All'utente devono essere assegnati i ruoli microsoft Entra ID Globale Amministrazione istrator o Security Amministrazione istrator nel tenant.

• All'utente deve essere assegnato almeno uno dei ruoli di Azure seguenti (Altre informazioni sul controllo degli accessi in base al ruolo di Azure):

  • Collaboratore di Microsoft Sentinel a livello di area di lavoro o gruppo di risorse.
  • Collaboratore log analytics a livello di gruppo di risorse o sottoscrizione.

• All'area di lavoro non devono essere applicati blocchi delle risorse di Azure. Altre informazioni sul blocco delle risorse di Azure.

Nota

• Non è necessaria alcuna licenza speciale per aggiungere funzionalità UEBA a Microsoft Sentinel e non sono previsti costi aggiuntivi per l'uso.
• Tuttavia, poiché UEBA genera nuovi dati e li archivia in nuove tabelle create da UEBA nell'area di lavoro Log Analytics, verranno applicati costi aggiuntivi per l'archiviazione dei dati.

Come abilitare Analisi comportamento utente ed entità

• Gli utenti di Microsoft Sentinel nella portale di Azure, seguire le istruzioni nella scheda portale di Azure.
• Gli utenti di Microsoft Sentinel come parte della piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender, seguire le istruzioni nella scheda Portale di Defender.

1. Passare alla pagina Configurazione comportamento entità.

   Azure portal

   Usare uno dei tre modi seguenti per accedere alla pagina di configurazione del comportamento dell'entità:

   • Selezionare Comportamento entità dal menu di spostamento di Microsoft Sentinel, quindi selezionare Impostazioni comportamento entità dalla barra dei menu in alto.

   • Selezionare Impostazioni dal menu di spostamento di Microsoft Sentinel, selezionare la scheda Impostazioni, quindi nell'espansore Analisi comportamento entità selezionare Imposta UEBA.

   • Nella pagina del connettore dati XDR di Microsoft Defender selezionare il collegamento Vai alla pagina di configurazione UEBA.

   Portale di Defender

   Per accedere alla pagina Configurazione comportamento entità:

   1. Dal menu di spostamento del portale di Microsoft Defender selezionare Impostazioni.
   2. Nella pagina Impostazioni selezionare Microsoft Sentinel.
   3. Dal menu successivo selezionare Analisi comportamento entità.
   4. Selezionare quindi Imposta UEBA che aprirà una nuova scheda del browser con la pagina Configurazione comportamento entità nella portale di Azure.

2. Nella pagina Configurazione comportamento entità impostare l'interruttore su Sì.

   

3. Contrassegnare le caselle di controllo accanto ai tipi di origine di Active Directory da cui si desidera sincronizzare le entità utente con Microsoft Sentinel.

   • Active Directory locale (anteprima)
   • Microsoft Entra ID

   Per sincronizzare le entità utente da Active Directory locale, è necessario eseguire l'onboarding del tenant di Azure in Microsoft Defender per identità (autonomo o come parte di Microsoft Defender XDR) ed è necessario che il sensore MDI sia installato nel controller di dominio di Active Directory. Per altre informazioni, vedere Microsoft Defender per identità prerequisiti.

4. Contrassegnare le caselle di controllo accanto alle origini dati in cui si vuole abilitare UEBA.

   Nota

   Sotto l'elenco delle origini dati esistenti verrà visualizzato un elenco di origini dati supportate da UEBA non ancora connesse.

   Dopo aver abilitato UEBA, sarà possibile, quando si connettono nuove origini dati, abilitarle per UEBA direttamente dal riquadro del connettore dati se sono compatibili con UEBA.

5. Selezionare Applica. Se si accede a questa pagina tramite la pagina Comportamento entità, verrà restituito tale pagina.

Passaggi successivi

In questo articolo si è appreso come abilitare e configurare Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel. Per altre informazioni su UEBA:

Analizzare le entità con le pagine di entità