Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Usługa User and Entity Behavior Analytics (UEBA) w Microsoft Sentinel analizuje dzienniki i alerty z połączonych źródeł danych w celu utworzenia podstawowych profilów behawioralnych jednostek organizacji, takich jak użytkownicy, hosty, adresy IP i aplikacje. Korzystając z uczenia maszynowego, ueba identyfikuje nietypowe działanie, które może wskazywać na naruszenie zabezpieczeń zasobu.
Analizę zachowań użytkowników i jednostek można włączyć na dwa sposoby, z tym samym wynikiem:
- Z poziomu Microsoft Sentinel ustawień obszaru roboczego: włącz funkcję UEBA dla obszaru roboczego i wybierz źródła danych do nawiązania połączenia w portalu Microsoft Defender lub Azure Portal.
- Z obsługiwanych łączników danych: włącz interfejs UEBA podczas konfigurowania łączników danych obsługiwanych przez interfejs UEBA w portalu Microsoft Defender.
W tym artykule wyjaśniono, jak włączyć funkcję UEBA i skonfigurować źródła danych z ustawień obszaru roboczego Microsoft Sentinel i z obsługiwanych łączników danych.
Aby uzyskać więcej informacji na temat interfejsu UEBA, zobacz Identyfikowanie zagrożeń za pomocą analizy zachowań jednostek.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów rządowych USA.
Ważna
Po 31 marca 2027 r. Microsoft Sentinel nie będą już obsługiwane w Azure Portal i będą dostępne tylko w portalu Microsoft Defender. Wszyscy klienci korzystający z Microsoft Sentinel w Azure Portal zostaną przekierowane do portalu usługi Defender i będą używać Microsoft Sentinel tylko w portalu usługi Defender.
Jeśli nadal używasz Microsoft Sentinel w Azure Portal, zalecamy rozpoczęcie planowania przejścia do portalu usługi Defender w celu zapewnienia płynnego przejścia i pełnego wykorzystania ujednoliconego środowiska operacji zabezpieczeń oferowanego przez Microsoft Defender.
Wymagania wstępne
Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z tej funkcji):
Użytkownik musi zostać przypisany do roli administratora zabezpieczeń Microsoft Entra ID w dzierżawie lub równoważnych uprawnień.
Użytkownikowi musi zostać przypisana co najmniej jedna z następujących ról Azure (dowiedz się więcej o Azure RBAC):
- Właściciel na poziomie grupy zasobów lub nowszej.
- Współautor na poziomie grupy zasobów lub nowszej.
- (Najmniej uprzywilejowane) Microsoft Sentinel Współautor na poziomie obszaru roboczego lub nowszym i Współautor usługi Log Analytics na poziomie grupy zasobów lub nowszej.
Obszar roboczy nie może mieć żadnych blokad zasobów Azure. Dowiedz się więcej na temat blokowania zasobów Azure.
Uwaga
- Do dodania funkcji UEBA do Microsoft Sentinel nie jest wymagana żadna specjalna licencja, a korzystanie z niej nie wymaga żadnych dodatkowych kosztów.
- Ponieważ jednak ueba generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez ueba w obszarze roboczym usługi Log Analytics, zostaną naliczone dodatkowe opłaty za magazyn danych .
Włączanie interfejsu UEBA z poziomu ustawień obszaru roboczego
Aby włączyć funkcję UEBA z poziomu ustawień obszaru roboczego Microsoft Sentinel:
Przejdź do strony Konfiguracja zachowania jednostki .
Skorzystaj z jednego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki :
Wybierz pozycję Zachowanie jednostki z menu nawigacji Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.
Wybierz pozycję Ustawienia z menu nawigacji Microsoft Sentinel, wybierz kartę Ustawienia, a następnie w obszarze Ekspander analizy zachowania jednostki wybierz pozycję Ustaw ueba.
Na stronie łącznika danych Microsoft Defender XDR wybierz link Przejdź do strony konfiguracji UEBA.
Na stronie Konfiguracja zachowania jednostki przełącz opcję Włącz funkcję UEBA.
Wybierz usługi katalogowe, z których chcesz zsynchronizować jednostki użytkownika z Microsoft Sentinel.
- Lokalna usługa Active Directory (wersja zapoznawcza)
- Microsoft Entra ID
Aby zsynchronizować jednostki użytkownika z lokalna usługa Active Directory, należy dołączyć dzierżawę Azure do Microsoft Defender for Identity (autonomicznej lub jako część Microsoft Defender XDR), a czujnik MDI musi być zainstalowany na kontrolerze domeny usługi Active Directory. Aby uzyskać więcej informacji, zobacz Microsoft Defender for Identity wymagania wstępne.
Wybierz pozycję Połącz wszystkie źródła danych , aby połączyć wszystkie kwalifikujące się źródła danych, lub wybierz z listy określone źródła danych.
Te źródła danych można włączyć tylko z poziomu usługi Defender i portali Azure:
- Dzienniki logowania
- Dzienniki inspekcji
- działanie Azure
- Zdarzenia zabezpieczeń
Te źródła danych można włączyć tylko w portalu usługi Defender (wersja zapoznawcza):
- Dzienniki logowania tożsamości zarządzanej usługi AAD (Microsoft Entra ID)
- Dzienniki logowania jednostki usługi AAD (Microsoft Entra ID)
- AWS CloudTrail
- Zdarzenia logowania urządzenia
- Okta CL
- Dzienniki inspekcji GCP
Aby uzyskać więcej informacji na temat źródeł danych UEBA i anomalii, zobacz Microsoft Sentinel dokumentacja UEBA i anomalie UEBA.
Uwaga
Po włączeniu interfejsu UEBA można włączyć obsługiwane źródła danych dla interfejsu UEBA bezpośrednio w okienku łącznika danych lub na stronie Ustawienia portalu usługi Defender, zgodnie z opisem w tym artykule.
Wybierz pozycję Połącz.
Włącz wykrywanie anomalii w obszarze roboczym Microsoft Sentinel:
- Z menu nawigacji portalu Microsoft Defender wybierz pozycję Ustawienia>Microsoft Sentinel>SIEM obszary robocze.
- Wybierz obszar roboczy, który chcesz skonfigurować.
- Na stronie konfiguracji obszaru roboczego wybierz pozycję Anomalie i przełącz opcję Wykryj anomalie.
Włączanie interfejsu UEBA z obsługiwanych łączników
Aby włączyć interfejs UEBA z obsługiwanych łączników danych w portalu Microsoft Defender:
W menu nawigacji portalu Microsoft Defender wybierz pozycję Microsoft Sentinel > Łączniki danych konfiguracji>.
Wybierz łącznik danych obsługiwany przez interfejs UEBA, który obsługuje interfejs UEBA. Aby uzyskać więcej informacji na temat obsługiwanych łączników i tabel danych UEBA, zobacz Microsoft Sentinel dokumentacji UEBA.
W okienku łącznika danych wybierz pozycję Otwórz stronę łącznika.
Na stronie Szczegóły łącznika wybierz pozycję Opcje zaawansowane.
W obszarze Konfigurowanie interfejsu UEBA przełącz tabele, które chcesz włączyć dla interfejsu UEBA.
Aby uzyskać więcej informacji na temat konfigurowania łączników danych Microsoft Sentinel, zobacz Łączenie źródeł danych z Microsoft Sentinel przy użyciu łączników danych.
Instalowanie rozwiązania UEBA Essentials (opcjonalnie)
Rozwiązanie UEBA Essentials to zbiór kilkudziesięciu wstępnie utworzonych zapytań dotyczących zagrożeń nadzorowanych i obsługiwanych przez ekspertów firmy Microsoft w dziedzinie zabezpieczeń. Rozwiązanie obejmuje zapytania wykrywania anomalii w wielu chmurach w Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) i Okta.
Zainstaluj rozwiązanie, aby szybko rozpocząć wyszukiwanie zagrożeń i badania przy użyciu danych UEBA, zamiast tworzyć te możliwości wykrywania od podstaw.
Aby uzyskać więcej informacji, zobacz Instalowanie lub aktualizowanie rozwiązań Microsoft Sentinel.
Włączanie warstwy zachowań UEBA (wersja zapoznawcza)
Warstwa zachowania UEBA generuje wzbogacone podsumowania aktywności obserwowane w wielu źródłach danych. W przeciwieństwie do alertów lub anomalii zachowania niekoniecznie wskazują na ryzyko — tworzą warstwę abstrakcji, która optymalizuje dane pod kątem badań, wyszukiwania zagrożeń i wykrywania poprzez zwiększenie przejrzystości, kontekstu i korelacji.
Aby uzyskać więcej informacji na temat warstwy zachowań UEBA i sposobu jej włączania, zobacz Włączanie warstwy zachowań UEBA w Microsoft Sentinel.
Następne kroki
Dowiedz się, jak badać anomalie UEBA i używać danych UEBA w badaniach: