Habilitar a Análise de Comportamento de Usuário e Entidade (UEBA) no Microsoft Sentinel

• Aplica-se a:

  Microsoft Sentinel in the Azure portal, Microsoft Sentinel in the Microsoft Defender portal

Na etapa de implantação anterior, você habilitou o conteúdo de segurança do Microsoft Sentinel necessário para proteger seus sistemas. Neste artigo, você aprenderá como habilitar e usar o recurso UEBA para simplificar o processo de análise. Este artigo faz parte do guia de implantação do Microsoft Sentinel.

À medida que o Microsoft Sentinel coleta logs e alertas de todas as suas fontes de dados conectadas, ele os analisa e cria perfis comportamentais de linha de base das entidades da sua organização (como usuários, hosts, endereços IP e aplicativos) ao longo do tempo e do horizonte do grupo de pares. Usando uma variedade de técnicas e recursos de aprendizado de máquina, o Microsoft Sentinel pode identificar atividades anômalas e ajudá-lo a determinar se um ativo foi comprometido. Saiba mais sobre a UEBA.

Nota

Para obter informações sobre a disponibilidade de recursos em nuvens do governo dos EUA, consulte as tabelas do Microsoft Sentinel em Disponibilidade de recursos de nuvem para clientes do governo dos EUA.

Importante

O Microsoft Sentinel agora está disponível em geral na plataforma de operações de segurança unificada da Microsoft no portal Microsoft Defender. Para obter mais informações, consulte Microsoft Sentinel no portal do Microsoft Defender.

Pré-requisitos

Para habilitar ou desabilitar esse recurso (esses pré-requisitos não são necessários para usar o recurso):

• Seu usuário deve receber as funções de Administrador Global ou Administrador de Segurança do Microsoft Entra ID em seu locatário.

• Seu usuário deve receber pelo menos uma das seguintes funções do Azure (Saiba mais sobre o Azure RBAC):

  • Microsoft Sentinel Contributor nos níveis de espaço de trabalho ou grupo de recursos.
  • Colaborador do Log Analytics no grupo de recursos ou níveis de assinatura.

• Seu espaço de trabalho não deve ter nenhum bloqueio de recursos do Azure aplicado a ele. Saiba mais sobre o bloqueio de recursos do Azure.

Nota

• Nenhuma licença especial é necessária para adicionar a funcionalidade UEBA ao Microsoft Sentinel e não há custo adicional para usá-la.
• No entanto, como a UEBA gera novos dados e os armazena em novas tabelas que a UEBA cria em seu espaço de trabalho do Log Analytics, serão aplicadas taxas adicionais de armazenamento de dados.

Como habilitar a Análise de Comportamento de Usuário e Entidade

• Os usuários do Microsoft Sentinel no portal do Azure, siga as instruções na guia Portal do Azure.
• Os usuários do Microsoft Sentinel como parte da plataforma unificada de operações de segurança no portal do Microsoft Defender, siga as instruções na guia Portal do Defender.

1. Vá para a página Configuração do comportamento da entidade.

   Portal do Azure

   Use qualquer uma destas três maneiras de chegar à página Configuração de comportamento da entidade:

   • Selecione Comportamento da entidade no menu de navegação do Microsoft Sentinel e, em seguida, selecione Configurações de comportamento da entidade na barra de menu superior.

   • Selecione Configurações no menu de navegação do Microsoft Sentinel, selecione a guia Configurações e, em seguida, no expansor Análise de comportamento de entidade, selecione Definir UEBA.

   • Na página do conector de dados do Microsoft Defender XDR, selecione o link Ir para a página de configuração da UEBA.

   Portal do Defender

   Para aceder à página Configuração do comportamento da entidade:

   1. No menu de navegação do portal Microsoft Defender, selecione Configurações.
   2. Na página Configurações, selecione Microsoft Sentinel.
   3. No menu seguinte, selecione Análise de comportamento de entidade.
   4. Em seguida, selecione Definir UEBA , que abrirá uma nova guia do navegador com a página Configuração de comportamento de entidade no portal do Azure.

2. Na página Configuração do comportamento da entidade, alterne para Ativado.

   

3. Marque as caixas de seleção ao lado dos tipos de origem do Ative Directory dos quais você deseja sincronizar entidades de usuário com o Microsoft Sentinel.

   • Ative Directory local (Pré-visualização)
   • Microsoft Entra ID

   Para sincronizar entidades de usuário do Ative Directory local, seu locatário do Azure deve ser integrado ao Microsoft Defender for Identity (autônomo ou como parte do Microsoft Defender XDR) e você deve ter o sensor MDI instalado no controlador de domínio do Ative Directory. Consulte Pré-requisitos do Microsoft Defender for Identity para obter mais informações.

4. Marque as caixas de seleção ao lado das fontes de dados nas quais você deseja habilitar o UEBA.

   Nota

   Abaixo da lista de fontes de dados existentes, você verá uma lista de fontes de dados suportadas pela UEBA que você ainda não conectou.

   Depois de habilitar o UEBA, você terá a opção, ao conectar novas fontes de dados, de habilitá-las para a UEBA diretamente do painel do conector de dados, se elas forem compatíveis com a UEBA.

5. Selecione Aplicar. Se você acessou esta página através da página Comportamento da entidade, você será retornado lá.

Próximos passos

Neste artigo, você aprendeu como habilitar e configurar o User and Entity Behavior Analytics (UEBA) no Microsoft Sentinel. Para mais informações sobre a UEBA:

Investigar entidades com páginas de entidades