Habilitar a Análise do Comportamento de Usuários e de Entidades (UEBA) no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Na etapa de implantação anterior, você habilitou o conteúdo de segurança do Microsoft Sentinel necessário para proteger seus sistemas. Neste artigo, você aprenderá a habilitar e usar o recurso UEBA para simplificar o processo de análise. Este artigo faz parte do guia de implantação do Microsoft Sentinel.

À medida que o Microsoft Azure Sentinel coleta logs e alertas de todas as fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando várias técnicas e recursos de machine learning, o Microsoft Azure Sentinel consegue identificar atividade anormal e ajudar a determinar se um ativo foi comprometido. Saiba mais sobre o UEBA.

Observação

Para obter informações sobre a disponibilidade de recursos nas nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel está disponível como parte da plataforma de operações de segurança unificada no portal do Microsoft Defender. O Microsoft Sentinel no portal do Defender agora tem suporte para uso em produção. Para obter mais informações, confira Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para habilitar ou desabilitar esse recurso (esses pré-requisitos não são necessários para usar o recurso):

• Seu usuário deve receber as funções de Administrador global ou Administrador de segurança do Microsoft Entra ID no locatário.

• Seu usuário precisa ter pelo menos uma das seguintes funções do Azure (Saiba mais sobre o RBAC do Azure):

  • Colaborador do Microsoft Sentinel nos níveis do workspace ou grupo de recursos.
  • Colaborador do Log Analytics nos níveis do grupo de recursos ou da assinatura.

• Seu workspace não precisa ter nenhum bloqueio de recurso do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.

Observação

• Nenhuma licença especial é necessária para adicionar a funcionalidade da UEBA ao Microsoft Sentinel e não há custo adicional para usá-la.
• No entanto, como a UEBA gera novos dados e os armazena em novas tabelas que o UEBA cria no workspace do Log Analytics, serão aplicadas cobranças adicionais de armazenamento de dados.

Como habilitar a Análise do Comportamento de Usuários e de Entidades

• Os usuários do Microsoft Sentinel no portal do Azure devem seguir as instruções na guia do portal do Azure.
• Os usuários do Microsoft Sentinel como parte da plataforma unificada de operações de segurança no portal Microsoft Defender devem seguir as instruções na guia do portal do Defender.

1. Vá para a página de Configuração de comportamento da entidade.

   Portal do Azure

   Acesse a página Configuração do comportamento da entidade de qualquer uma destas três maneiras:

   • Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e selecione Configurações de comportamento da entidade na barra de menus superior.

   • Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.

   • Na página do conector de dados do Microsoft Defender XDR, selecione o link Acesse a página de configuração do UEBA.

   Portal do Defender

   Para acessar a página Configuração do comportamento da entidade, faça o seguinte:

   1. No menu de navegação do portal do Microsoft Defender, selecione Configurações.
   2. Na página Configurações, selecione Microsoft Sentinel.
   3. No próximo menu, selecione Análise de comportamento da entidade.
   4. Em seguida, selecione Definir UEBA a fim de abrir uma guia do navegador com a página Configuração do comportamento da entidade no portal do Azure.

2. Na página Configuração de comportamento da entidade, mude a opção para Ativada.

   

3. Marque as caixas de seleção ao lado dos tipos de origem do Active Directory dos quais você deseja sincronizar entidades de usuário com o Microsoft Sentinel.

   • Active Directory local (Versão prévia)
   • Microsoft Entra ID

   Para sincronizar entidades de usuário do Active Directory local, seu locatário do Azure deve ser integrado ao Microsoft Defender para Identidade (autônomo ou como parte do Microsoft Defender XDR) e você deve ter o sensor MDI instalado no controlador de domínio do Active Directory. Confira Pré-requisitos do Microsoft Defender para Identidade para obter mais informações.

4. Marque as caixas de seleção ao lado das fontes de dados nas quais você quer habilitar o UEBA.

   Observação

   Abaixo da lista de fontes de dados existentes, você verá uma lista de fontes de dados com suporte do UEBA que ainda não foram conectadas.

   Depois de habilitar a UEBA, ao conectar novas fontes de dados, você terá a opção de habilitá-las para a UEBA diretamente do painel do conector de dados se elas forem compatíveis com a UEBA.

5. Selecione Aplicar. Se você tiver acessado essa página por meio da página Comportamento da entidade, você retornará para ela.

Próximas etapas

Neste artigo, você aprendeu a habilitar e configurar a Análise do Comportamento de Usuários e de Entidades (UEBA) no Microsoft Sentinel. Para obter mais informações sobre o UEBA:

Investigar entidades com páginas de entidade