Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel

• Dotyczy:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

W poprzednim kroku wdrażania włączono zawartość zabezpieczeń usługi Microsoft Sentinel, którą należy chronić. Z tego artykułu dowiesz się, jak włączyć funkcję UEBA i używać jej w celu usprawnienia procesu analizy. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.

Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, analizuje je i tworzy podstawowe profile behawioralne jednostek organizacji (takich jak użytkownicy, hosty, adresy IP i aplikacje) w horyzoncie czasu i grupy równorzędnej. Korzystając z różnych technik i możliwości uczenia maszynowego, usługa Microsoft Sentinel może następnie identyfikować nietypowe działania i pomóc w ustaleniu, czy element zawartości został naruszony. Dowiedz się więcej na temat analizy UEBA.

Uwaga

Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.

Ważne

Usługa Microsoft Sentinel jest dostępna w publicznej wersji zapoznawczej dla ujednoliconej platformy operacji zabezpieczeń w portalu usługi Microsoft Defender. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.

Wymagania wstępne

Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z funkcji):

• Użytkownik musi mieć przypisane role globalnego Administracja istratora identyfikatora entra firmy Microsoft lub Administracja istratora zabezpieczeń w dzierżawie.

• Użytkownik musi mieć przypisaną co najmniej jedną z następujących ról platformy Azure (Dowiedz się więcej o kontroli dostępu opartej na rolach platformy Azure):

  • Współautor usługi Microsoft Sentinel na poziomach obszaru roboczego lub grupy zasobów.
  • Współautor usługi Log Analytics na poziomach grupy zasobów lub subskrypcji.

• Obszar roboczy nie może mieć zastosowanych żadnych blokad zasobów platformy Azure. Dowiedz się więcej na temat blokowania zasobów platformy Azure.

Uwaga

• Do dodania funkcji UEBA do usługi Microsoft Sentinel nie jest wymagana żadna specjalna licencja i korzystanie z niej nie wiąże się z żadnymi dodatkowymi kosztami.
• Ponieważ jednak ueBA generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez ueBA w obszarze roboczym usługi Log Analytics, zostaną naliczone dodatkowe opłaty za magazyn danych.

Jak włączyć analizę zachowań użytkowników i jednostek

• Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal postępuj zgodnie z instrukcjami na karcie Azure Portal .
• Użytkownicy usługi Microsoft Sentinel w ramach ujednoliconej platformy operacji zabezpieczeń w portalu Usługi Microsoft Defender postępuj zgodnie z instrukcjami na karcie Portal usługi Defender.

1. Przejdź do strony Konfiguracja zachowania jednostki.

   Witryna Azure Portal

   Użyj dowolnego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki:

   • Wybierz pozycję Zachowanie jednostki z menu nawigacji usługi Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.

   • Wybierz Ustawienia z menu nawigacji usługi Microsoft Sentinel, wybierz kartę Ustawienia, a następnie w obszarze ekspander analizy zachowań jednostek wybierz pozycję Ustaw analizę UEBA.

   • Na stronie łącznika danych XDR usługi Microsoft Defender wybierz link Przejdź do strony konfiguracji UEBA.

   Portal usługi Defender

   Aby przejść do strony konfiguracja zachowania jednostki:

   1. W menu nawigacji portalu Microsoft Defender wybierz pozycję Ustawienia.
   2. Na stronie Ustawienia wybierz pozycję Microsoft Sentinel.
   3. Z następnego menu wybierz pozycję Analiza zachowań jednostek.
   4. Następnie wybierz pozycję Ustaw analizę UEBA , która otworzy nową kartę przeglądarki ze stroną Konfiguracja zachowania jednostki w witrynie Azure Portal.

2. Na stronie Konfiguracja zachowania jednostki przełącz przełącznik na Wł.

   

3. Zaznacz pola wyboru obok typów źródłowych usługi Active Directory, z których chcesz zsynchronizować jednostki użytkowników z usługą Microsoft Sentinel.

   • Lokalna usługa Active Directory (wersja zapoznawcza)
   • Tożsamość Microsoft Entra

   Aby zsynchronizować jednostki użytkowników z lokalna usługa Active Directory, dzierżawa platformy Azure musi być dołączona do usługi Microsoft Defender for Identity (autonomicznej lub w ramach usługi Microsoft Defender XDR), a na kontrolerze domeny usługi Active Directory musi być zainstalowany czujnik MDI. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.

4. Zaznacz pola wyboru obok źródeł danych, dla których chcesz włączyć analizę UEBA.

   Uwaga

   Poniżej listy istniejących źródeł danych zostanie wyświetlona lista źródeł danych obsługiwanych przez ueBA, które nie zostały jeszcze połączone.

   Po włączeniu funkcji UEBA będziesz mieć możliwość łączenia nowych źródeł danych w celu włączenia ich dla analizy UEBA bezpośrednio z poziomu okienka łącznika danych, jeśli są one obsługiwane przez interfejs UEBA.

5. Wybierz Zastosuj. Jeśli uzyskasz dostęp do tej strony za pośrednictwem strony Zachowanie jednostki, zostaniesz tam zwrócony.

Następne kroki

W tym artykule przedstawiono sposób włączania i konfigurowania analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy UEBA:

Badanie jednostek za pomocą stron jednostek