UEBA (User and Entity Behavior Analytics) inschakelen in Microsoft Sentinel

• Van toepassing op:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

In de vorige implementatiestap hebt u de beveiligingsinhoud van Microsoft Sentinel ingeschakeld die u nodig hebt om uw systemen te beveiligen. In dit artikel leert u hoe u de UEBA-functie inschakelt en gebruikt om het analyseproces te stroomlijnen. Dit artikel maakt deel uit van de implementatiehandleiding voor Microsoft Sentinel.

Omdat Microsoft Sentinel logboeken en waarschuwingen verzamelt van alle verbonden gegevensbronnen, analyseert microsoft deze en bouwt het basislijngedragsprofielen van de entiteiten van uw organisatie (zoals gebruikers, hosts, IP-adressen en toepassingen) in de tijd en de horizon van de peergroep. Met behulp van verschillende technieken en machine learning-mogelijkheden kan Microsoft Sentinel vervolgens afwijkende activiteiten identificeren en u helpen bepalen of een asset is aangetast. Meer informatie over UEBA.

Notitie

Zie de tabellen Microsoft Sentinel in de beschikbaarheid van functies voor amerikaanse overheidsklanten voor informatie over de beschikbaarheid van functies in cloudclouds.

Belangrijk

Microsoft Sentinel is beschikbaar als onderdeel van de openbare preview voor het geïntegreerde platform voor beveiligingsbewerkingen in de Microsoft Defender-portal. Zie Microsoft Sentinel in de Microsoft Defender-portal voor meer informatie.

Vereisten

Als u deze functie wilt in- of uitschakelen (deze vereisten zijn niet vereist voor het gebruik van de functie):

• Uw gebruiker moet de rollen Microsoft Entra ID Global Beheer istrator of Security Beheer istrator in uw tenant hebben toegewezen.

• Aan uw gebruiker moet ten minste één van de volgende Azure-rollen zijn toegewezen (meer informatie over Azure RBAC):

  • Microsoft Sentinel-inzender op het niveau van de werkruimte of resourcegroep.
  • Log Analytics-inzender op het niveau van de resourcegroep of het abonnement.

• Er mogen geen Azure-resourcevergrendelingen op uw werkruimte zijn toegepast. Meer informatie over het vergrendelen van Azure-resources.

Notitie

• Er is geen speciale licentie vereist om UEBA-functionaliteit toe te voegen aan Microsoft Sentinel en er zijn geen extra kosten verbonden aan het gebruik ervan.
• Omdat UEBA echter nieuwe gegevens genereert en opslaat in nieuwe tabellen die UEBA maakt in uw Log Analytics-werkruimte, worden er extra kosten voor gegevensopslag in rekening gebracht .

Analyse van gebruikers- en entiteitsgedrag inschakelen

• Gebruikers van Microsoft Sentinel in Azure Portal volgen de instructies op het tabblad Azure Portal .
• Gebruikers van Microsoft Sentinel als onderdeel van het geïntegreerde beveiligingsbewerkingsplatform in de Microsoft Defender-portal volgen de instructies op het tabblad Defender-portal .

1. Ga naar de configuratiepagina voor entiteitsgedrag .

   Azure-portal

   Gebruik een van deze drie manieren om naar de configuratiepagina voor entiteitsgedrag te gaan:

   • Selecteer Entiteitsgedrag in het navigatiemenu van Microsoft Sentinel en selecteer vervolgens Instellingen voor entiteitsgedrag in de bovenste menubalk.

   • Selecteer Instellingen in het navigatiemenu van Microsoft Sentinel, selecteer het tabblad Instellingen en selecteer vervolgens onder de uitbreiding analyse voor entiteitsgedrag de optie UEBA instellen.

   • Selecteer op de pagina Microsoft Defender XDR-gegevensconnector de koppeling Naar de UEBA-configuratiepagina .

   Defender-portal

   Ga als volgende naar de pagina voor de configuratie van entiteitsgedrag :

   1. Selecteer Instellingen in het navigatiemenu van de Microsoft Defender-portal.
   2. Selecteer Microsoft Sentinel op de pagina Instellingen.
   3. Selecteer in het volgende menu De analyse van entiteitsgedrag.
   4. Selecteer vervolgens UEBA instellen waarmee een nieuw browsertabblad wordt geopend met de pagina Voor het configureren van entiteitsgedrag in Azure Portal.

2. Schakel op de pagina Configuratie van entiteitsgedrag de wisselknop in op Aan.

   

3. Schakel de selectievakjes in naast de Active Directory-brontypen waaruit u gebruikersentiteiten wilt synchroniseren met Microsoft Sentinel.

   • On-premises Active Directory (preview)
   • Microsoft Entra ID

   Als u gebruikersentiteiten wilt synchroniseren vanuit on-premises Active Directory, moet uw Azure-tenant worden toegevoegd aan Microsoft Defender for Identity (zelfstandig of als onderdeel van Microsoft Defender XDR) en moet de MDI-sensor zijn geïnstalleerd op uw Active Directory-domeincontroller. Zie vereisten voor Microsoft Defender voor identiteit voor meer informatie.

4. Schakel de selectievakjes in naast de gegevensbronnen waarop u UEBA wilt inschakelen.

   Notitie

   Onder de lijst met bestaande gegevensbronnen ziet u een lijst met door UEBA ondersteunde gegevensbronnen die u nog niet hebt verbonden.

   Zodra u UEBA hebt ingeschakeld, hebt u de mogelijkheid om nieuwe gegevensbronnen rechtstreeks vanuit het deelvenster gegevensconnector in te schakelen voor UEBA als ze geschikt zijn voor UEBA.

5. Selecteer Toepassen. Als u deze pagina hebt geopend via de pagina Entiteitsgedrag , wordt u daar geretourneerd.

Volgende stappen

In dit artikel hebt u geleerd hoe u UEBA (User and Entity Behavior Analytics) inschakelt en configureert in Microsoft Sentinel. Voor meer informatie over UEBA:

Entiteiten onderzoeken met entiteitspagina's