Rilevamento avanzato delle minacce con Analisi del comportamento di utenti ed entità (UEBA) in Microsoft Sentinel

• Si applica a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Nota

Per informazioni sulla disponibilità delle funzionalità nei cloud degli Stati Uniti per enti pubblici, vedere le tabelle di Microsoft Sentinel nella disponibilità delle funzionalità cloud per i clienti del governo degli Stati Uniti.

Identificare le minacce all'interno dell'organizzazione e il loro potenziale impatto, sia che si tratti di un'entità compromessa o di un utente malintenzionato, è sempre stato un processo dispendioso in termini di tempo e di lavoro. Sifting through alerts, connecting the dots, and active hunting all add up to massive quantit of time and effort expended with minimal returns, and the possibility of sofisticat threats simply evading discovery. Minacce particolarmente elusive come zero-day, mirate e avanzate minacce persistenti possono essere le più pericolose per l'organizzazione, rendendo il loro rilevamento tutto più critico.

La funzionalità UEBA in Microsoft Sentinel elimina la fatica e l'incertezza dai carichi di lavoro degli analisti e fornisce intelligence utile e affidabile, in modo che possano concentrarsi sull'indagine e la correzione.

Importante

Microsoft Sentinel è disponibile come parte dell'anteprima pubblica per la piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender. Per altre informazioni, vedere Microsoft Sentinel nel portale di Microsoft Defender.

Tutti i vantaggi di UEBA sono disponibili nella piattaforma unificata per le operazioni di sicurezza nel portale di Microsoft Defender.

Che cos'è Analisi del comportamento dell'utente e dell'entità (UEBA)?

Poiché Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, li analizza e crea profili comportamentali di base delle entità dell'organizzazione (ad esempio utenti, host, indirizzi IP e applicazioni) nel tempo e nell'orizzonte del gruppo peer. Usando un'ampia gamma di tecniche e funzionalità di Machine Learning, Microsoft Sentinel può quindi identificare le attività anomale e determinare se un asset è stato compromesso. Inoltre, può determinare la sensibilità relativa di risorse specifiche, identificare gruppi peer di risorse e valutare l'impatto potenziale di qualsiasi risorsa compromessa: il cosiddetto raggio di attacco. Con queste informazioni, è possibile classificare in ordine di priorità l'indagine e la gestione degli eventi imprevisti in modo efficace.

Architettura di analisi UEBA

Analisi basata sulla sicurezza

Ispirandosi al paradigma di Gartner per le soluzioni UEBA, Microsoft Sentinel offre un approccio "da esterno a interno" basato su tre quadri di riferimento:

• Casi d'uso: assegnando priorità a vettori di attacco e scenari pertinenti in base alla ricerca sulla sicurezza allineata al framework MITRE ATT&CK di tattiche, tecniche e tecniche secondarie che mette varie entità come vittime, responsabili o punti di pivot nella catena di uccisioni; Microsoft Sentinel è incentrato in particolare sui log più importanti che ogni origine dati può fornire.

• Origini dati: supportano innanzitutto le origini dati di Azure, Microsoft Sentinel seleziona in modo accurato anche origini dati di terze parti per fornire dati corrispondenti agli scenari delle minacce.

• Analisi: usando diversi algoritmi di apprendimento automatico (ML), Microsoft Sentinel identifica le attività anomale e presenta le prove in modo chiaro e conciso sotto forma di arricchimenti contestuali. Di seguito sono riportati alcuni esempi.

  

Microsoft Sentinel presenta artefatti che consentono agli analisti della sicurezza di comprendere chiaramente le attività anomale nel contesto e rispetto al profilo di base dell'utente. Le azioni eseguite da un utente, un host o un indirizzo vengono valutate in modo contestuale e un risultato "true" indica che è stata identificata un'anomalia:

• in posizioni geografiche, dispositivi e ambienti;
• negli orizzonti temporali e di frequenza, rispetto alla cronologia dell'utente;
• rispetto al comportamento dei pari;
• rispetto al comportamento dell'organizzazione.

Le informazioni sull'entità utente usate da Microsoft Sentinel per compilare i profili utente provengono dall'ID Microsoft Entra (e/o dal Active Directory locale, ora in anteprima). Quando si abilita UEBA, sincronizza l'ID Microsoft Entra con Microsoft Sentinel, archiviando le informazioni in un database interno visibile tramite la tabella IdentityInfo .

• In Microsoft Sentinel nella portale di Azure eseguire una query sulla tabella IdentityInfo in Log Analytics nella pagina Log.
• Nella piattaforma unificata per le operazioni di sicurezza in Microsoft Defender eseguire una query su questa tabella in Ricerca avanzata.

Ora in anteprima, è anche possibile sincronizzare le informazioni sull'entità utente Active Directory locale usando Microsoft Defender per identità.

Vedere Abilitare Analisi del comportamento dell'utente e dell'entità in Microsoft Sentinel per informazioni su come abilitare UEBA e sincronizzare le identità utente.

Punteggio

Ogni attività viene valutata con "Punteggio di priorità di indagine", che determina la probabilità di un utente specifico che esegue un'attività specifica, in base all'apprendimento comportamentale dell'utente e dei colleghi. Le attività identificate come più anomale ricevono un punteggio più alto, su una scala da 0 a 10.

Per un esempio di funzionamento, vedere come viene usata l'analisi del comportamento nelle app di Microsoft Defender per il cloud.

Altre informazioni sulle entità in Microsoft Sentinel e vedere l'elenco completo di entità e identificatori supportati.

Pagine delle entità

Le informazioni sulle pagine delle entità sono ora disponibili in Pagine entità in Microsoft Sentinel.

Esecuzione di query sui dati di analisi del comportamento

Usando KQL, è possibile eseguire una query sulla tabella BehaviorAnalytics .

Ad esempio, se si vogliono trovare tutti i casi di un utente che non è riuscito ad accedere a una risorsa di Azure, in cui è stato il primo tentativo dell'utente di connettersi da un determinato paese o area geografica e le connessioni da tale paese/area geografica non sono comuni anche per i peer dell'utente, è possibile usare la query seguente:

BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True

• In Microsoft Sentinel nella portale di Azure eseguire una query sulla tabella BehaviorAnalytics in Log Analytics nella pagina Log.
• Nella piattaforma unificata per le operazioni di sicurezza in Microsoft Defender eseguire una query su questa tabella in Ricerca avanzata.

Metadati peer utente - tabella e notebook

I metadati dei peer utente forniscono un contesto importante nei rilevamenti delle minacce, nell'analisi di un evento imprevisto e nella ricerca di una potenziale minaccia. Gli analisti della sicurezza possono osservare le normali attività dei peer di un utente per determinare se le attività dell'utente sono insolite rispetto a quelle dei colleghi.

Microsoft Sentinel calcola e classifica i peer di un utente, in base all'appartenenza al gruppo di sicurezza Microsoft Entra dell'utente, alla lista di distribuzione e così via e archivia i peer classificati 1-20 nella tabella UserPeerAnalytics . Lo screenshot seguente mostra lo schema della tabella UserPeerAnalytics e visualizza i primi otto peer classificati dell'utente Kendall Collins. Microsoft Sentinel usa il termine frequency-inverse document frequency (TF-IDF) algoritmo per normalizzare la pesatura per calcolare la classificazione: il più piccolo è il gruppo, maggiore è il peso.

È possibile usare il notebook di Jupyter fornito nel repository GitHub di Microsoft Sentinel per visualizzare i metadati peer dell'utente. Per istruzioni dettagliate su come usare il notebook, vedere il notebook Analisi guidata - Metadati di sicurezza utente.

Nota

La tabella UserAccessAnalytics è stata deprecata.

Ricerca di query ed query di esplorazione

Microsoft Sentinel offre un set predefinito di query di ricerca, query di esplorazione e cartella di lavoro di Analisi comportamento utente ed entità, basata sulla tabella BehaviorAnalytics . Questi strumenti presentano dati arricchiti, incentrati su casi d'uso specifici, che indicano un comportamento anomalo.

Per altre informazioni, vedi:

• Cercare le minacce con Microsoft Sentinel
• Visualizzare e monitorare i dati

Man mano che gli strumenti di difesa legacy diventano obsoleti, le organizzazioni possono avere un patrimonio digitale così vasto e poroso che diventa ingestibile ottenere un quadro completo del rischio e della postura che potrebbero affrontare il proprio ambiente. Basandosi su sforzi reattivi, ad esempio l'analisi e le regole, consentono agli attori malintenzionati di imparare a eludere tali sforzi. Questo è il momento in cui l'UEBA entra in gioco, fornendo metodologie e algoritmi di assegnazione dei punteggi ai rischi per capire cosa sta realmente accadendo.

Passaggi successivi

In questo documento sono state illustrate le funzionalità di analisi del comportamento delle entità di Microsoft Sentinel. Per indicazioni pratiche sull'implementazione e per usare le informazioni dettagliate acquisite, vedere gli articoli seguenti:

• Abilitare l'analisi del comportamento delle entità in Microsoft Sentinel.
• Vedere l'elenco delle anomalie rilevate dal motore UEBA.
• Analizzare gli eventi imprevisti con i dati UEBA.
• Cercare minacce per la sicurezza.

Per altre informazioni, vedere anche le informazioni di riferimento sull'UEBA di Microsoft Sentinel.