Comprendere l'analisi del comportamento

  • 8 minuti

Identificare le minacce all'interno dell'organizzazione e il loro impatto potenziale, che si tratti di un'entità compromessa o di un utente interno malintenzionato, è sempre stato un processo lungo e laborioso. Per passare al setaccio gli avvisi, ricavare informazioni utili ed eseguire attivamente la ricerca, sono necessarie grandi quantità di tempo e lavoro per ottenere risultati minimi. È inoltre possibile che le minacce sofisticate non vengano individuate. Minacce sfuggenti come le minacce zero-day, quelle mirate e quelle avanzate persistenti possono essere le più pericolose per l'organizzazione e rilevarle è ancora più importante.

La funzionalità relativa al comportamento delle entità in Microsoft Sentinel elimina la fatica e l'incertezza dai carichi di lavoro degli analisti. Fornisce intelligence utile e affidabile, per consentire agli analisti di concentrarsi sull'indagine e sulla correzione.

Microsoft Sentinel raccoglie log e avvisi da tutte le origini dati connesse, esegue l'analisi e crea profili comportamentali di base delle entità dell'organizzazione (utenti, host, indirizzi IP, applicazioni e così via). L'analisi viene eseguita nel tempo e per gruppo peer. Microsoft Sentinel usa varie tecniche e funzionalità di Machine Learning per identificare le attività anomale e determinare se una risorsa è stata compromessa. Inoltre, può determinare la sensibilità relativa di risorse specifiche, identificare gruppi peer di risorse e valutare l'impatto potenziale di qualsiasi risorsa compromessa: il cosiddetto raggio di attacco. Con queste informazioni, è possibile classificare in ordine di priorità l'indagine e la gestione degli eventi imprevisti in modo efficace.

Panoramica dell'architettura

Diagram of the E U B A architecture overview.

Analisi basata sulla sicurezza

Adottando il paradigma di Gartner per le soluzioni UEBA, Microsoft Sentinel offre un approccio "da esterno a interno" basato su tre quadri di riferimento:

Casi d'uso: Microsoft Sentinel assegna priorità a vettori di attacco e scenari pertinenti in base alla ricerca sulla sicurezza allineata al framework MITRE ATT&CK di tattiche, tecniche e subtechniques. La classificazione in ordine di priorità consente di identificare varie entità come vittime, autori o punti cardine nella kill chain. Microsoft Sentinel è incentrato in particolare sui log più importanti che ogni origine dati può fornire.

Origini dati: supportano innanzitutto le origini dati di Azure, Microsoft Sentinel seleziona in modo accurato anche origini dati di terze parti per fornire dati corrispondenti agli scenari delle minacce.

Analisi: Microsoft Sentinel usa diversi algoritmi di Machine Learning (ML) e identifica le attività anomale presentando le prove in modo chiaro e conciso sotto forma di arricchimenti contestuali. Vedere gli esempi seguenti.

Image of Security Driven Analytics enrichment.

Microsoft Sentinel presenta artefatti che consentono agli analisti della sicurezza di comprendere chiaramente le attività anomale nel contesto e rispetto al profilo di base dell'utente. Le azioni eseguite da un utente, un host o un indirizzo vengono valutate in modo contestuale e un risultato "true" indica che è stata identificata un'anomalia:

  • In posizioni geografiche, dispositivi e ambienti.

  • Negli orizzonti temporali e di frequenza, rispetto alla cronologia dell'utente.

  • Rispetto al comportamento dei pari.

  • Rispetto al comportamento dell'organizzazione.

image showing the E U B A Context rings.

Punteggio

A ogni attività viene assegnato un punteggio usando il "Punteggio della priorità di indagine". Il punteggio determina la probabilità che un utente specifico esegua una determinata attività, in base a quanto appreso sul comportamento dell'utente e dei colleghi. Le attività identificate come più anomale ricevono un punteggio più alto, su una scala da 0 a 10.