Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Notitie
Zie voor informatie over de beschikbaarheid van functies in overheidsclouds de Microsoft Sentinel-tabellen in Beschikbaarheid van functies voor Amerikaanse overheidsklanten.
Het detecteren van afwijkend gedrag binnen uw organisatie is complex en traag. Microsoft Sentinel User and Entity Behavior Analytics (UEBA) stroomlijnt anomaliedetectie en -onderzoek met behulp van machine learning-modellen om dynamische basislijnen en peervergelijkingen voor uw tenant te bouwen. In plaats van alleen logboeken te verzamelen, leert UEBA van uw gegevens om bruikbare intelligentie weer te geven waarmee analisten afwijkingen kunnen detecteren en onderzoeken.
In dit artikel wordt uitgelegd hoe Microsoft Sentinel UEBA werkt en hoe u UEBA gebruikt om afwijkingen weer te geven en te onderzoeken en uw mogelijkheden voor bedreigingsdetectie te verbeteren.
Belangrijk
Microsoft Sentinel is algemeen beschikbaar in de Microsoft Defender-portal, waaronder voor klanten zonder Microsoft Defender XDR of een E5-licentie.
Vanaf juli 2026 worden alle klanten die Microsoft Sentinel in Azure Portal gebruiken, omgeleid naar de Defender-portal en gebruiken ze alleen Microsoft Sentinel in de Defender-portal. Vanaf juli 2025 worden veel nieuwe klanten automatisch onboarden en omgeleid naar de Defender portal.
Als u Nog steeds Microsoft Sentinel gebruikt in Azure Portal, raden we u aan om te beginnen met het plannen van uw overgang naar de Defender-portal om een soepele overgang te garanderen en optimaal te profiteren van de geïntegreerde beveiligingsbewerkingen die door Microsoft Defender worden aangeboden. Zie Het is tijd om te verplaatsen voor meer informatie: De Azure-portal van Microsoft Sentinel buiten gebruik stellen voor betere beveiliging.
Alle voordelen van UEBA zijn beschikbaar in de Microsoft Defender-portal.
Wat is UEBA?
Omdat Microsoft Sentinel logboeken en waarschuwingen verzamelt van al uw verbonden gegevensbronnen, gebruikt UEBA kunstmatige intelligentie (AI) om basislijngedragsprofielen te bouwen van de entiteiten van uw organisatie, zoals gebruikers, hosts, IP-adressen en toepassingen, in de loop van de tijd en in peergroepen. UEBA identificeert vervolgens afwijkende activiteit en helpt u te bepalen of een asset is aangetast.
UEBA bepaalt ook de relatieve gevoeligheid van bepaalde activa, identificeert peergroepen van assets en evalueert de mogelijke impact van een bepaalde gecompromitteerde asset- de 'blast radius'. Met deze informatie kunt u prioriteit geven aan uw onderzoek, opsporing en incidentafhandeling.
UEBA-analysearchitectuur
Beveiligingsgestuurde analyses
Microsoft Sentinel is geïnspireerd op het paradigma van Gartner voor UEBA-oplossingen en biedt een 'buiten-in'-benadering op basis van drie referentieframes:
Gebruiksvoorbeelden: Door prioriteit te geven aan relevante aanvalsvectoren en -scenario's op basis van beveiligingsonderzoek dat is afgestemd op het MITRE ATT&CK-framework van tactieken, technieken en subtechniques die verschillende entiteiten als slachtoffers, daders of draaipunten in de kill chain plaatsen; Microsoft Sentinel richt zich specifiek op de meest waardevolle logboeken die elke gegevensbron kan bieden.
Gegevensbronnen: Hoewel Microsoft Sentinel ten eerste azure-gegevensbronnen ondersteunt, selecteert Microsoft Sentinel zorgvuldig gegevensbronnen van derden om gegevens te leveren die overeenkomen met onze bedreigingsscenario's.
Analytics: Met behulp van verschillende MACHINE Learning-algoritmen (ML) identificeert Microsoft Sentinel afwijkende activiteiten en presenteert duidelijk en beknopt bewijs in de vorm van contextuele verrijkingen, waarvan enkele voorbeelden hieronder worden weergegeven.
Buiten-in benadering van gedragsanalyse
Microsoft Sentinel presenteert artefacten die uw beveiligingsanalisten helpen een duidelijk inzicht te krijgen in afwijkende activiteiten in context en in vergelijking met het basislijnprofiel van de gebruiker. Acties die door een gebruiker (of een host of een adres) worden uitgevoerd, worden contextueel geëvalueerd, waarbij een 'true'-resultaat een geïdentificeerde anomalie aangeeft:
- over geografische locaties, apparaten en omgevingen.
- over tijd- en frequentieperioden (vergeleken met de eigen geschiedenis van de gebruiker).
- in vergelijking met het gedrag van peers.
- in vergelijking met het gedrag van de organisatie.
De gebruikersentiteitsgegevens die Microsoft Sentinel gebruikt om de gebruikersprofielen te bouwen, zijn afkomstig van uw Microsoft Entra-id (en/of uw on-premises Active Directory, nu in preview). Wanneer u UEBA inschakelt, wordt uw Microsoft Entra-id gesynchroniseerd met Microsoft Sentinel, waarbij de gegevens in een interne database worden opgeslagen die zichtbaar is via de tabel IdentityInfo .
- In Microsoft Sentinel in Azure Portal voert u een query uit op de tabel IdentityInfo in Log Analytics op de pagina Logboeken .
- In de Defender-portal voert u een query uit op deze tabel in Geavanceerde opsporing.
Nu in preview kunt u ook uw on-premises Active Directory-gebruikersentiteitsgegevens synchroniseren met behulp van Microsoft Defender for Identity.
Zie UEBA (User and Entity Behavior Analytics) inSchakelen in Microsoft Sentinel voor meer informatie over het inschakelen van UEBA en het synchroniseren van gebruikersidentiteiten.
Scoren
Elke activiteit wordt gescoord met 'Onderzoekprioriteitsscore', die de waarschijnlijkheid bepalen van een specifieke gebruiker die een specifieke activiteit uitvoert, op basis van gedragsleer van de gebruiker en hun peers. Activiteiten geïdentificeerd als de meest abnormale ontvangst van de hoogste scores (op een schaal van 0-10).
Bekijk hoe gedragsanalyses worden gebruikt in Microsoft Defender voor Cloud Apps voor een voorbeeld van hoe dit werkt.
Meer informatie over entiteiten in Microsoft Sentinel en bekijk de volledige lijst met ondersteunde entiteiten en id's.
Entiteitspagina's
Informatie over entiteitspagina's vindt u nu op entiteitspagina's in Microsoft Sentinel.
Query's uitvoeren op analysegegevens voor gedrag
Met behulp van KQL kunnen we een query uitvoeren op de tabel BehaviorAnalytics .
Als we bijvoorbeeld alle gevallen willen vinden van een gebruiker die zich niet kon aanmelden bij een Azure-resource, waarbij de gebruiker voor het eerst verbinding wilde maken vanuit een bepaald land/bepaalde regio en verbindingen vanuit dat land/die regio ongebruikelijk zijn, zelfs voor de peers van de gebruiker, kunnen we de volgende query gebruiken:
BehaviorAnalytics
| where ActivityType == "FailedLogOn"
| where ActivityInsights.FirstTimeUserConnectedFromCountry == True
| where ActivityInsights.CountryUncommonlyConnectedFromAmongPeers == True
- In Microsoft Sentinel in Azure Portal voert u een query uit op de tabel BehaviorAnalytics in Log Analytics op de pagina Logboeken .
- In de Defender-portal voert u een query uit op deze tabel in Geavanceerde opsporing.
Metagegevens van gebruikerspeeringen - tabel en notebook
Metagegevens van gebruikerspeeringen bieden belangrijke context in bedreigingsdetectie, bij het onderzoeken van een incident en bij het opsporen van een mogelijke bedreiging. Beveiligingsanalisten kunnen de normale activiteiten van de peers van gebruikers observeren om te bepalen of de activiteiten van een gebruiker ongebruikelijk zijn in vergelijking met die van hun peers.
Microsoft Sentinel berekent en rangschikt de peers van een gebruiker op basis van het Microsoft Entra-beveiligingsgroepslidmaatschap van de gebruiker, adressenlijst, enzovoort, en slaat de peers rang 1-20 op in de tabel UserPeerAnalytics . In de onderstaande schermopname ziet u het schema van de tabel UserPeerAnalytics en worden de acht beste peers van de gebruiker Kendall Collins weergegeven. Microsoft Sentinel maakt gebruik van het termfrequentie-inverse documentfrequentie-algoritme (TF-IDF) om het gewicht te normaliseren bij het berekenen van de rang: hoe kleiner de groep, hoe hoger het gewicht.
U kunt het Jupyter-notebook in de GitHub-opslagplaats van Microsoft Sentinel gebruiken om de metagegevens van gebruikerspeeringen te visualiseren. Zie het notebook Begeleide Analyse - Metagegevens van Gebruikersbeveiliging voor gedetailleerde instructies over het gebruik van het notebook.
Notitie
De tabel UserAccessAnalytics is afgeschaft.
Opsporingsquery's en verkenningsquery's
Microsoft Sentinel biedt kant-en-klare sets van opsporingsquery's, verkenningsquery's en de werkmap User and Entity Behavior Analytics, die is gebaseerd op de tabel BehaviorAnalytics. Deze hulpprogramma's bevatten verrijkte gegevens, gericht op specifieke use cases, die duiden op afwijkend gedrag.
Zie voor meer informatie:
Naarmate verouderde verdedigingshulpprogramma's verouderd raken, kunnen organisaties zo'n enorme en poreuze digitale activa hebben dat het onbeheerbaar wordt om een uitgebreid beeld te krijgen van het risico en de houding van hun omgeving. Door sterk te vertrouwen op reactieve inspanningen, zoals analyses en regels, kunnen slechte actoren leren hoe ze deze inspanningen kunnen omzeilen. Hier komt UEBA om te spelen, door methodologieën en algoritmen voor risicoscores te bieden om erachter te komen wat er echt gebeurt.
Volgende stappen
In dit document hebt u geleerd over de analysemogelijkheden van Microsoft Sentinel voor entiteitsgedrag. Zie de volgende artikelen voor praktische hulp bij de implementatie en om de inzichten te gebruiken die u hebt opgedaan:
- Analyse van entiteitsgedrag inSchakelen in Microsoft Sentinel.
- Bekijk de lijst met afwijkingen die zijn gedetecteerd door de UEBA-engine.
- Incidenten onderzoeken met UEBA-gegevens.
- Jagen op beveiligingsdreigingen.
Zie ook de naslaginformatie over Microsoft Sentinel UEBA voor meer informatie.