Partilhar via


Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel

Na etapa de implantação anterior, você habilitou o conteúdo de segurança do Microsoft Sentinel necessário para proteger seus sistemas. Neste artigo, você aprenderá como habilitar e usar o recurso UEBA para simplificar o processo de análise. Este artigo faz parte do guia de implantação do Microsoft Sentinel.

À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando uma variedade de técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Saiba mais sobre a UEBA.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para habilitar ou desabilitar esse recurso (esses pré-requisitos não são necessários para usar o recurso):

  • Seu usuário deve ser atribuído à função de Administrador de Segurança do Microsoft Entra ID em seu locatário ou às permissões equivalentes.

  • Seu usuário deve receber pelo menos uma das seguintes funções do Azure (Saiba mais sobre o Azure RBAC):

    • Microsoft Sentinel Contributor nos níveis de espaço de trabalho ou grupo de recursos.
    • Colaborador do Log Analytics no grupo de recursos ou níveis de assinatura.
  • Seu espaço de trabalho não deve ter nenhum bloqueio de recursos do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.

Nota

  • Nenhuma licença especial é necessária para adicionar a funcionalidade UEBA ao Microsoft Sentinel e não há custo adicional para usá-la.
  • No entanto, como a UEBA gera novos dados e os armazena em novas tabelas que a UEBA cria em seu espaço de trabalho do Log Analytics, serão aplicadas taxas adicionais de armazenamento de dados.

Como habilitar a Análise de Comportamento de Usuário e Entidade

  • Os usuários do Microsoft Sentinel no portal do Azure, siga as instruções na guia Portal do Azure.
  • Os usuários do Microsoft Sentinel como parte da plataforma unificada de operações de segurança no portal do Microsoft Defender, siga as instruções na guia Portal do Defender.
  1. Vá para a página Configuração do comportamento da entidade.

    Use qualquer uma destas três maneiras de chegar à página Configuração de comportamento da entidade:

    • Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e, em seguida, selecione Configurações de comportamento da entidade na barra de menu superior.

    • Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.

    • Na página do conector de dados do Microsoft Defender XDR, selecione o link Ir para a página de configuração da UEBA.

  2. Na página Configuração do comportamento da entidade, alterne para Ativado.

    Captura de ecrã das definições de configuração da UEBA.

  3. Marque as caixas de seleção ao lado dos tipos de origem do Ative Directory dos quais você deseja sincronizar entidades de usuário com o Microsoft Sentinel.

    • Ative Directory local (Pré-visualização)
    • Microsoft Entra ID

    Para sincronizar entidades de usuário do Ative Directory local, seu locatário do Azure deve ser integrado ao Microsoft Defender for Identity (autônomo ou como parte do Microsoft Defender XDR) e você deve ter o sensor MDI instalado no controlador de domínio do Ative Directory. Consulte Pré-requisitos do Microsoft Defender for Identity para obter mais informações.

  4. Marque as caixas de seleção ao lado das fontes de dados nas quais você deseja habilitar o UEBA.

    Nota

    Abaixo da lista de fontes de dados existentes, você verá uma lista de fontes de dados suportadas pela UEBA que você ainda não conectou.

    Depois de habilitar o UEBA, você terá a opção, ao conectar novas fontes de dados, de habilitá-las para a UEBA diretamente do painel do conector de dados, se elas forem compatíveis com a UEBA.

  5. Selecione Aplicar. Se você acessou esta página através da página Comportamento da entidade, você será retornado lá.

Próximos passos

Neste artigo, você aprendeu como habilitar e configurar o User and Entity Behavior Analytics (UEBA) no Microsoft Sentinel. Para mais informações sobre a UEBA: