Abilitare l'analisi del comportamento degli utenti e delle entità (User and Entity Behavior Analytics, UEBA) in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nel passaggio precedente della distribuzione è stato abilitato il contenuto di sicurezza di Microsoft Sentinel necessario per proteggere i sistemi. Questo articolo illustra come abilitare e usare la funzionalità UEBA per semplificare il processo di analisi. Questo articolo fa parte della Guida alla distribuzione di Microsoft Sentinel.

Quando Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione, come utenti, host, indirizzi IP e applicazioni, basati sul tempo e su gruppi peer. L'uso di varie tecniche e funzionalità di Machine Learning permette a Microsoft Sentinel di identificare le attività anomale e determinare se una risorsa è stata compromessa. Altre informazioni su UEBA.

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud per enti pubblici degli Stati Uniti, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per enti pubblici degli Stati Uniti.

Importante

Microsoft Sentinel è disponibile al pubblico nel portale di Microsoft Defender nella della piattaforma operativa di sicurezza unificata Microsoft. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Prerequisiti

Per abilitare o disabilitare questa funzionalità (questi prerequisiti non sono necessari per usare la funzionalità):

• L'utente deve essere assegnato al ruolo Di amministratore della sicurezza dell'ID Microsoft Entra NEL tenant o alle autorizzazioni equivalenti.

• All'utente deve essere assegnato almeno uno dei seguenti ruoli di Azure (Altre informazioni sul controllo degli accessi in base al ruolo di Azure):

  • Collaboratore di Microsoft Sentinel a livello di area di lavoro o gruppo di risorse.
  • Collaboratore Log Analytics a livello di gruppo di risorse o sottoscrizione.

• All'area di lavoro non devono essere applicati blocchi delle risorse di Azure. Altre informazioni sul blocco delle risorse di Azure.

Nota

• Non è necessaria alcuna licenza speciale per aggiungere funzionalità UEBA a Microsoft Sentinel e non sono previsti costi aggiuntivi per l'uso.
• Tuttavia, poiché UEBA genera nuovi dati e li archivia in nuove tabelle create da UEBA nell'area di lavoro Log Analytics, verranno applicati addebiti aggiuntivi per l'archiviazione dei dati.

Come abilitare l'analisi del comportamento degli utenti e delle entità

• Gli utenti di Microsoft Sentinel nel portale di Azure seguono le istruzioni nella scheda portale di Azure.
• Gli utenti di Microsoft Sentinel, in quanto parte della piattaforma operativa di sicurezza unificata nel portale di Microsoft Defender, seguono le istruzioni nella scheda del portale di Defender.

1. Passare alla pagina Configurazione del comportamento dell'entità.

   Azure portal

   Usare uno dei tre modi seguenti per accedere alla pagina Configurazione del comportamento dell'entità:

   • Selezionare Comportamento dell’entità dal menu di spostamento di Microsoft Sentinel, quindi selezionare Impostazioni del comportamento dell’entità dalla barra dei menu in alto.

   • Selezionare Impostazioni dal menu di spostamento di Microsoft Sentinel, selezionare la scheda Impostazioni, quindi nell'espansore dell’Analisi del comportamento dell'entità, selezionare Imposta UEBA.

   • Nella pagina del connettore dati Microsoft Defender XDR selezionare il collegamento Vai alla pagina di configurazione UEBA.

   Portale di Defender

   Per passare alla pagina Configurazione del comportamento dell'entità:

   1. Dal menu di spostamento del portale di Microsoft Defender selezionare Impostazioni.
   2. Nella pagina Impostazioni selezionare Microsoft Sentinel.
   3. Nel menu successivo selezionare Analisi comportamento entità.
   4. Selezionare quindi Imposta UEBA per aprire una nuova scheda del browser con la pagina Configurazione del comportamento dell'entità nel portale di Azure.

2. Nella pagina Configurazione del comportamento dell'entità impostare l'interruttore su On.

   

3. Contrassegnare le caselle di controllo accanto ai tipi di origine di Active Directory da cui si desidera sincronizzare le entità utente con Microsoft Sentinel.

   • Active Directory locale (anteprima)
   • Microsoft Entra ID

   Per sincronizzare le entità utente da Active Directory locale, il tenant di Azure deve essere caricato in Microsoft Defender per identità (autonomo o come parte di Microsoft Defender XDR) ed è necessario che il sensore di interfaccia a documenti multipli sia installato nel controller di dominio di Active Directory. Per altre informazioni, vedere Prerequisiti di Microsoft Defender per identità.

4. Contrassegnare le caselle di controllo accanto alle origini dati in cui si vuole abilitare UEBA.

   Nota

   Sotto l'elenco delle fonti di dati esistenti, viene visualizzato un elenco di fonti di dati supportate da UEBA che non sono ancora state collegate.

   Dopo aver abilitato UEBA, quando si connettono nuove origini dati, sarà possibile abilitarle per UEBA direttamente dal riquadro del connettore dati se sono compatibili con UEBA.

5. Selezionare Applica. Se è stato eseguito l'accesso a questa pagina tramite la pagina Comportamento dell'entità, si verrà rimandati a tale pagina.

Passaggi successivi

In questo articolo si è appreso come abilitare e configurare l’analisi del comportamento degli utenti e delle entità (UEBA) in Microsoft Sentinel. Per altre informazioni su UEBA:

Analizzare le entità con pagine di entità