Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Аналитика поведения пользователей и сущностей (UEBA) в Microsoft Sentinel анализирует журналы и оповещения из подключенных источников данных для создания базовых профилей поведения сущностей вашей организации, таких как пользователи, узлы, IP-адреса и приложения. С помощью машинного обучения UEBA определяет аномальное действие, которое может указывать на скомпрометированный ресурс.
Вы можете включить аналитику поведения пользователей и сущностей двумя способами с одинаковым результатом:
- В параметрах рабочей области Microsoft Sentinel: включите UEBA для рабочей области и выберите источники данных для подключения на портале Microsoft Defender или на портале Azure.
- Из поддерживаемых соединителей данных: Включите UEBA при настройке соединителей данных, поддерживающих UEBA, на портале Microsoft Defender.
В этой статье объясняется, как включить UEBA и настроить источники данных из параметров рабочей области Microsoft Sentinel и из поддерживаемых соединителей данных.
Дополнительные сведения об UEBA см. в статье "Определение угроз с помощью аналитики поведения сущностей".
Примечание.
Сведения о доступности функций в облаках правительства США см. в таблицах Microsoft Sentinel в Доступность функций облака для клиентов правительства США.
Внимание
После 31 марта 2027 г. Microsoft Sentinel больше не будет поддерживаться на портале Azure и будет доступен только на портале Microsoft Defender. Все клиенты, использующие Microsoft Sentinel на портале Azure, будут перенаправлены на портал Defender и будут использовать Microsoft Sentinel только на портале Defender.
Если вы по-прежнему используете Microsoft Sentinel на портале Azure, рекомендуется приступить к планированию перехода на портал Defender , чтобы обеспечить плавный переход и воспользоваться всеми преимуществами унифицированных операций безопасности, предлагаемых Microsoft Defender.
Предварительные условия
Чтобы включить или отключить эту функцию (эти предварительные требования не требуются для использования этой функции):
Пользователь должен быть назначен на роль Администратора безопасности Microsoft Entra ID в вашем клиенте или иметь эквивалентные разрешения.
Пользователю необходимо назначить по крайней мере одну из следующих ролей Azure (дополнительные сведения о Azure RBAC):
- Владелец на уровне группы ресурсов или выше.
- Участник на уровне группы ресурсов или выше.
- (Наименее привилегированный) Участник Microsoft Sentinel на уровне рабочей области или выше и участник Log Analytics на уровне группы ресурсов или выше.
К рабочей области не должны быть применены блокировки ресурсов Azure. Дополнительные сведения о блокировке ресурсов Azure.
Примечание.
- Для добавления функций UEBA в Microsoft Sentinel не требуется специальная лицензия, и дополнительных затрат на их использование нет.
- Однако так как UEBA создает новые данные и сохраняет их в новых таблицах, создаваемых UEBA в рабочей области Log Analytics, применяются дополнительные расходы на хранение данных .
Включение UEBA из параметров рабочей области
Чтобы включить UEBA из параметров рабочей области Microsoft Sentinel, выполните следующие действия.
Перейдите на страницу конфигурации поведения сущностей .
Используйте один из трех способов, чтобы получить доступ к странице конфигурации поведения сущности :
Выберите поведение сущности в меню навигации Microsoft Sentinel, а затем выберите параметры поведения сущностей в верхней строке меню.
Выберите "Параметры" в меню навигации Microsoft Sentinel, перейдите на вкладку Параметры, а затем в раскрывающемся элементе аналитика поведения сущностей выберите "Задать UEBA".
На странице соединителя данных XDR в Microsoft Defender выберите ссылку на страницу конфигурации UEBA .
На странице конфигурации поведения сущностей включите функцию UEBA.
Выберите службы каталогов, из которых требуется синхронизировать сущности пользователей с Microsoft Sentinel.
- Локальная установка Active Directory (предварительная версия)
- Идентификатор Microsoft Entra
Чтобы синхронизировать сущности пользователей из локальной службы Active Directory, необходимо интегрировать ваш клиент Azure с Microsoft Defender для удостоверений (либо как отдельным решением, либо в составе Microsoft Defender XDR), и датчик MDI должен быть установлен на контроллере домена Active Directory. Дополнительные сведения см. в разделе "Предварительные требования Microsoft Defender для идентификации".
Выберите "Подключить все источники данных ", чтобы подключить все подходящие источники данных или выбрать определенные источники данных из списка.
Эти источники данных можно включить только из Defender и порталов Azure:
- Журналы входов в систему
- Журналы аудита
- Активность Azure
- События безопасности
Эти источники данных можно включить только на портале Defender (предварительная версия):
- Журналы входа управляемой идентификации AAD (Microsoft Entra ID)
- Журналы регистрации представителя службы AAD (идентификатор Microsoft Entra)
- AWS CloudTrail
- События аутентификации устройства
- Okta CL
- Журналы аудита GCP
Дополнительные сведения об источниках данных и аномалиях UEBA см. в справочнике по Microsoft Sentinel UEBA и аномалиях UEBA.
Примечание.
После включения UEBA можно включить поддерживаемые источники данных для UEBA непосредственно из области соединителя данных или на странице параметров портала Defender, как описано в этой статье.
Нажмите Подключиться.
Включите обнаружение аномалий в рабочей области Microsoft Sentinel:
- В меню навигации на портале Microsoft Defender выберите Параметры>Microsoft Sentinel>рабочие пространства SIEM.
- Выберите рабочую область, которую вы хотите настроить.
- На странице конфигурации рабочей области выберите аномалии и переключите переключатель для обнаружения аномалий.
Включение UEBA с помощью поддерживаемых коннекторов
Чтобы включить UEBA из поддерживаемых коннекторов данных на портале Microsoft Defender:
В меню навигации портала Microsoft Defender выберите Microsoft Sentinel > Конфигурация > Соединители данных.
Выберите поддерживаемый соединитель данных UEBA, поддерживающий UEBA. Дополнительные сведения о поддерживаемых соединителях данных и таблицах UEBA см. в справочнике по Microsoft Sentinel UEBA.
На панели соединителя данных выберите Открыть страницу коннектора.
На странице сведений о соединителе выберите дополнительные параметры.
В разделе "Настройка UEBA" переключитесь на таблицы, которые необходимо включить для UEBA.
Дополнительные сведения о настройке соединителей данных Microsoft Sentinel см. в статье "Подключение источников данных к Microsoft Sentinel с помощью соединителей данных".
Установка решения UEBA Essentials (необязательно)
Решение UEBA Essentials — это коллекция готовых запросов охоты, которые курируются и поддерживаются экспертами по безопасности Майкрософт. Это решение включает запросы обнаружения аномалий в нескольких облаках в Azure, Amazon Web Services (AWS), Google Cloud Platform (GCP) и Okta.
Установите решение, чтобы быстро приступить к поиску угроз и расследованиям с помощью данных UEBA, а не создавать эти возможности обнаружения с нуля.
Дополнительные сведения см. в разделе "Установка или обновление решений Microsoft Sentinel".
Включить уровень поведения UEBA (предварительная версия)
Уровень поведения UEBA создает обогащенные сводки действий, наблюдаемых в нескольких источниках данных. В отличие от оповещений или аномалий, поведение не обязательно указывает на риск - они создают слой абстракции, который оптимизирует данные для исследований, охоты и обнаружения путем повышения ясности, контекста и корреляции.
Дополнительные сведения о уровне поведения UEBA и его включении см. в разделе "Включение уровня поведения UEBA" в Microsoft Sentinel.
Следующие шаги
Узнайте, как исследовать аномалии UEBA и использовать данные UEBA в исследованиях: