Włączanie analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel
Artykuł
Dotyczy:
Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal
W poprzednim kroku wdrażania włączono zawartość zabezpieczeń usługi Microsoft Sentinel, którą należy chronić. Z tego artykułu dowiesz się, jak włączyć funkcję UEBA i używać jej w celu usprawnienia procesu analizy. Ten artykuł jest częścią przewodnika wdrażania usługi Microsoft Sentinel.
Ponieważ usługa Microsoft Sentinel zbiera dzienniki i alerty ze wszystkich połączonych źródeł danych, analizuje je i tworzy podstawowe profile behawioralne jednostek organizacji (takich jak użytkownicy, hosty, adresy IP i aplikacje) w horyzoncie czasu i grupy równorzędnej. Korzystając z różnych technik i możliwości uczenia maszynowego, usługa Microsoft Sentinel może następnie identyfikować nietypowe działania i pomóc w ustaleniu, czy element zawartości został naruszony. Dowiedz się więcej na temat analizy UEBA.
Uwaga
Aby uzyskać informacje o dostępności funkcji w chmurach dla instytucji rządowych USA, zobacz tabele usługi Microsoft Sentinel w temacie Dostępność funkcji w chmurze dla klientów instytucji rządowych USA.
Ważne
Usługa Microsoft Sentinel jest ogólnie dostępna na ujednoliconej platformie operacji zabezpieczeń firmy Microsoft w portalu usługi Microsoft Defender. W wersji zapoznawczej usługa Microsoft Sentinel jest dostępna w portalu usługi Defender bez usługi Microsoft Defender XDR lub licencji E5. Aby uzyskać więcej informacji, zobacz Microsoft Sentinel w portalu usługi Microsoft Defender.
Wymagania wstępne
Aby włączyć lub wyłączyć tę funkcję (te wymagania wstępne nie są wymagane do korzystania z funkcji):
Użytkownik musi być przypisany do roli administratora zabezpieczeń usługi Microsoft Entra ID w dzierżawie lub równoważnych uprawnieniach.
Do dodania funkcji UEBA do usługi Microsoft Sentinel nie jest wymagana żadna specjalna licencja i korzystanie z niej nie wiąże się z żadnymi dodatkowymi kosztami.
Ponieważ jednak ueBA generuje nowe dane i przechowuje je w nowych tabelach tworzonych przez ueBA w obszarze roboczym usługi Log Analytics, zostaną naliczone dodatkowe opłaty za magazyn danych.
Jak włączyć analizę zachowań użytkowników i jednostek
Użytkownicy usługi Microsoft Sentinel w witrynie Azure Portal postępuj zgodnie z instrukcjami na karcie Azure Portal .
Użytkownicy usługi Microsoft Sentinel w portalu usługi Microsoft Defender postępuj zgodnie z instrukcjami na karcie Portal usługi Defender.
Przejdź do strony Konfiguracja zachowania jednostki.
Użyj dowolnego z tych trzech sposobów, aby przejść do strony konfiguracji zachowania jednostki:
Wybierz pozycję Zachowanie jednostki z menu nawigacji usługi Microsoft Sentinel, a następnie wybierz pozycję Ustawienia zachowania jednostki na górnym pasku menu.
Wybierz pozycję Ustawienia z menu nawigacji usługi Microsoft Sentinel, wybierz kartę Ustawienia , a następnie w obszarze ekspander analizy zachowania jednostek wybierz pozycję Ustaw analizę UEBA.
Na stronie łącznika danych XDR usługi Microsoft Defender wybierz link Przejdź do strony konfiguracji UEBA.
Aby przejść do strony konfiguracja zachowania jednostki:
W menu nawigacyjnym portalu Microsoft Defender wybierz pozycję Ustawienia.
Na stronie Ustawienia wybierz pozycję Microsoft Sentinel.
Z następnego menu wybierz pozycję Analiza zachowań jednostek.
Następnie wybierz pozycję Ustaw analizę UEBA , która otworzy nową kartę przeglądarki ze stroną Konfiguracja zachowania jednostki w witrynie Azure Portal.
Na stronie Konfiguracja zachowania jednostki przełącz przełącznik na Wł.
Zaznacz pola wyboru obok typów źródłowych usługi Active Directory, z których chcesz zsynchronizować jednostki użytkowników z usługą Microsoft Sentinel.
Lokalna usługa Active Directory (wersja zapoznawcza)
Tożsamość Microsoft Entra
Aby zsynchronizować jednostki użytkowników z lokalna usługa Active Directory, dzierżawa platformy Azure musi być dołączona do usługi Microsoft Defender for Identity (autonomicznej lub w ramach usługi Microsoft Defender XDR), a na kontrolerze domeny usługi Active Directory musi być zainstalowany czujnik MDI. Aby uzyskać więcej informacji, zobacz Wymagania wstępne usługi Microsoft Defender for Identity.
Zaznacz pola wyboru obok źródeł danych, dla których chcesz włączyć analizę UEBA.
Uwaga
Poniżej listy istniejących źródeł danych zostanie wyświetlona lista źródeł danych obsługiwanych przez ueBA, które nie zostały jeszcze połączone.
Po włączeniu funkcji UEBA będziesz mieć możliwość łączenia nowych źródeł danych w celu włączenia ich dla analizy UEBA bezpośrednio z poziomu okienka łącznika danych, jeśli są one obsługiwane przez interfejs UEBA.
Wybierz Zastosuj. Jeśli uzyskasz dostęp do tej strony za pośrednictwem strony Zachowanie jednostki, zostaniesz tam zwrócony.
Następne kroki
W tym artykule przedstawiono sposób włączania i konfigurowania analizy zachowań użytkowników i jednostek (UEBA) w usłudze Microsoft Sentinel. Aby uzyskać więcej informacji na temat analizy UEBA: